As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Referência de controle para o CSPM do Security Hub
Essa referência de controle fornece uma tabela dos controles CSPM disponíveis do AWS Security Hub com links para mais informações sobre cada controle. Na tabela, os controles são listados em ordem alfabética por ID de controle. Apenas os controles em uso ativo pelo CSPM do Security Hub estão incluídos aqui. Os controles descontinuados são excluídos da tabela.
A tabela fornece as seguintes informações para cada controle:
+ **ID de controle de segurança** — Essa ID se aplica a todos os padrões AWS service (Serviço da AWS) e indica o recurso ao qual o controle está relacionado. O console CSPM do Security Hub exibe o controle de segurança IDs, independentemente de as [descobertas de controle consolidadas estarem](controls-findings-create-update.md#consolidated-control-findings) ativadas ou desativadas em sua conta. No entanto, as descobertas do CSPM do Security Hub fazem referência ao controle de segurança IDs somente se as descobertas de controle consolidado estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns controles IDs variam de acordo com o padrão em suas descobertas de controle. Para um mapeamento do controle específico do padrão IDs para o controle de segurança IDs, consulte. [Como a consolidação afeta o controle IDs e os títulos](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
Se quiser configurar [automações](automations.md) para controles de segurança, recomendamos filtrar com base na ID do controle, e não no título ou na descrição. Embora o Security Hub CSPM possa ocasionalmente atualizar títulos ou descrições de controle, o controle IDs permanece o mesmo.
O controle IDs pode pular números. Esses são espaços reservados para futuros controles.
+ **Título de controle de segurança**: esse título se aplica a todos os padrões. O console do CSPM do Security Hub exibe os títulos de controle de segurança, independentemente de as descobertas de controle consolidadas estarem ativadas ou desativadas em sua conta. Entretanto, as descobertas do CSPM do Security Hub fazem referência aos títulos de controle de segurança somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns títulos de controle podem variar de acordo com o padrão em suas descobertas de controle. Para um mapeamento do controle específico do padrão IDs para o controle de segurança IDs, consulte. [Como a consolidação afeta o controle IDs e os títulos](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
+ **Padrões aplicáveis**: indica a quais padrões um controle se aplica. Escolha um controle para analisar os requisitos específicos de estruturas de conformidade de terceiros.
+ **Gravidade**: a gravidade de um controle identifica sua importância do ponto de vista da segurança. Para obter informações sobre como o CSPM do Security Hub determina a gravidade do controle, consulte [Níveis de gravidade para as descobertas de controles](controls-findings-create-update.md#control-findings-severity).
+ **Oferece suporte a parâmetros personalizados**: indica se o controle oferece suporte a valores personalizados para um ou mais parâmetros. Escolha um controle para analisar os detalhes dos parâmetros. Para obter mais informações, consulte [Noções básicas sobre os parâmetros de controles no CSPM do Security Hub](custom-control-parameters.md).
+ **Tipo de programação**: indica quando o controle é avaliado. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).
Escolha um controle para analisar os detalhes adicionais. Os controles são listados em ordem alfabética por ID de controle de segurança.
| ID do controle de segurança | Título de controle de segurança | Padrões aplicáveis | Gravidade | Oferece suporte a parâmetros personalizados | Tipo de programação |
| --- | --- | --- | --- | --- | --- |
| [Account.1](account-controls.md#account-1) | As informações de contato de segurança devem ser fornecidas para um Conta da AWS | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [Account.2](account-controls.md#account-2) | Conta da AWS deve fazer parte de uma AWS Organizations organização | NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [ACM.1](acm-controls.md#acm-1) | Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações e periódico |
| [ACM.2](acm-controls.md#acm-2) | Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits | AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ACM.3](acm-controls.md#acm-3) | Os certificados do ACM devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Amplify.1](amplify-controls.md#amplify-1) | As aplicações do Amplify devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Amplify.2](amplify-controls.md#amplify-2) | As ramificações do Amplify devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [APIGateway1](apigateway-controls.md#apigateway-1). | O API Gateway, o WebSocket REST e o registro de execução da API devem estar habilitados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [APIGateway.2](apigateway-controls.md#apigateway-2) | Os estágios da API REST de Gateway devem ser configurados para usar certificados SSL para autenticação de back-end | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [APIGateway.3](apigateway-controls.md#apigateway-3) | API Gateway: os estágios da API REST devem ter AWS X-Ray o rastreamento ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [APIGateway.4](apigateway-controls.md#apigateway-4) | O API Gateway deve ser associado a uma ACL da web do WAF | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [APIGateway5.](apigateway-controls.md#apigateway-5) | Os dados do cache da API REST de Gateway devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [APIGateway8.](apigateway-controls.md#apigateway-8) | As rotas do API de Gateway devem especificar um tipo de autorização | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [APIGateway9.](apigateway-controls.md#apigateway-9) | O registro de acesso deve ser configurado para os estágios V2 do API de Gateway | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [APIGateway.10](apigateway-controls.md#apigateway-10) | As integrações do API Gateway V2 devem usar HTTPS para conexões privadas | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [AppConfig1](appconfig-controls.md#appconfig-1). | AWS AppConfig os aplicativos devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [AppConfig.2](appconfig-controls.md#appconfig-2) | AWS AppConfig perfis de configuração devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [AppConfig.3](appconfig-controls.md#appconfig-3) | AWS AppConfig ambientes devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [AppConfig.4](appconfig-controls.md#appconfig-4) | AWS AppConfig associações de extensão devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [AppFlow1](appflow-controls.md#appflow-1). | AppFlow Os fluxos da Amazon devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [AppRunner1](apprunner-controls.md#apprunner-1). | Os serviços do App Runner devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [AppRunner.2](apprunner-controls.md#apprunner-2) | Os conectores de VPC do App Runner devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [AppSync.2](appsync-controls.md#appsync-2) | AWS AppSync deve ter o registro em nível de campo ativado | AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [AppSync.4](appsync-controls.md#appsync-4) | AWS AppSync GraphQL APIs deve ser marcado | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [AppSync5.](appsync-controls.md#appsync-5) | AWS AppSync O GraphQL não APIs deve ser autenticado com chaves de API | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Athena.2](athena-controls.md#athena-2) | Os catálogos de dados do Athena devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Athena.3](athena-controls.md#athena-3) | Os grupos de trabalho do Athena devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Athena.4](athena-controls.md#athena-4) | Os grupos de trabalho do Athena devem ter o registro em log habilitado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [AutoScaling1](autoscaling-controls.md#autoscaling-1). | Os grupos do Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB | AWS Melhores práticas básicas de segurança, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [AutoScaling.2](autoscaling-controls.md#autoscaling-2) | O grupo Amazon EC2 Auto Scaling deve abranger diversas zonas de disponibilidade | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [AutoScaling.3](autoscaling-controls.md#autoscaling-3) | As configurações de lançamento de grupos do Auto Scaling devem configurar as instâncias do EC2 para exigir o Instance Metadata Service versão 2 () IMDSv2 | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Auto Scaling](autoscaling-controls.md#autoscaling-5) | As instâncias do Amazon EC2 lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [AutoScaling.6](autoscaling-controls.md#autoscaling-6) | Os grupos do Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [AutoScaling9.](autoscaling-controls.md#autoscaling-9) | Os grupos do EC2 Auto Scaling devem usar modelos de lançamento do EC2 | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [AutoScaling.10](autoscaling-controls.md#autoscaling-10) | Os grupos do EC2 Auto Scaling devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Backup.1](backup-controls.md#backup-1) | AWS Backup os pontos de recuperação devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Backup.2](backup-controls.md#backup-2) | AWS Backup os pontos de recuperação devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Backup.3](backup-controls.md#backup-3) | AWS Backup cofres devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Backup.4](backup-controls.md#backup-4) | AWS Backup os planos de relatórios devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Backup.5](backup-controls.md#backup-5) | AWS Backup planos de backup devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Lote.1](batch-controls.md#batch-1) | As filas de trabalhos do Batch devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Lote.2](batch-controls.md#batch-2) | As políticas de agendamento do Batch devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Lote.3](batch-controls.md#batch-3) | Os ambientes de computação do Batch devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Lote.4](batch-controls.md#batch-4) | As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [CloudFormation.2](cloudformation-controls.md#cloudformation-2) | CloudFormation as pilhas devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [CloudFormation.3](cloudformation-controls.md#cloudformation-3) | CloudFormation as pilhas devem ter a proteção de encerramento ativada | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFormation.4](cloudformation-controls.md#cloudformation-4) | CloudFormation as pilhas devem ter funções de serviço associadas | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFront1](cloudfront-controls.md#cloudfront-1). | CloudFront as distribuições devem ter um objeto raiz padrão configurado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFront.3](cloudfront-controls.md#cloudfront-3) | CloudFront as distribuições devem exigir criptografia em trânsito | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFront.4](cloudfront-controls.md#cloudfront-4) | CloudFront as distribuições devem ter o failover de origem configurado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFront5.](cloudfront-controls.md#cloudfront-5) | CloudFront as distribuições devem ter o registro ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFront.6](cloudfront-controls.md#cloudfront-6) | CloudFront as distribuições devem ter o WAF ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFront7.](cloudfront-controls.md#cloudfront-7) | CloudFront as distribuições devem usar certificados personalizados SSL/TLS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFront8.](cloudfront-controls.md#cloudfront-8) | CloudFront distribuições devem usar SNI para atender solicitações HTTPS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFront9.](cloudfront-controls.md#cloudfront-9) | CloudFront as distribuições devem criptografar o tráfego para origens personalizadas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFront.10](cloudfront-controls.md#cloudfront-10) | CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFront1.2](cloudfront-controls.md#cloudfront-12) | CloudFront distribuições não devem apontar para origens inexistentes do S3 | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudFront1.3](cloudfront-controls.md#cloudfront-13) | CloudFront as distribuições devem usar o controle de acesso de origem | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFront1.4](cloudfront-controls.md#cloudfront-14) | CloudFront distribuições devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [CloudFront1.5](cloudfront-controls.md#cloudfront-15) | CloudFront as distribuições devem usar a política de segurança TLS recomendada | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFront1.6](cloudfront-controls.md#cloudfront-16) | CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudFront1.7](cloudfront-controls.md#cloudfront-17) | CloudFront as distribuições devem usar grupos de chaves confiáveis para assinaturas URLs e cookies | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CloudTrail1](cloudtrail-controls.md#cloudtrail-1). | CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança básica, NIST SP 800-53 AWS Rev. 5 AWS | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) | CloudTrail deve ter a criptografia em repouso ativada | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 AWS Foundational Security Best Practices v1.0.0, NIST SP AWS 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudTrail.3](cloudtrail-controls.md#cloudtrail-3) | Pelo menos uma CloudTrail trilha deve ser ativada | NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudTrail.4](cloudtrail-controls.md#cloudtrail-4) | CloudTrail a validação do arquivo de log deve ser ativada | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST AWS SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudTrail5.](cloudtrail-controls.md#cloudtrail-5) | CloudTrail as trilhas devem ser integradas ao Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudTrail.6](cloudtrail-controls.md#cloudtrail-6) | Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público | Referência do CIS AWS Foundations v1.2.0, Referência do CIS AWS Foundations v1.4.0, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações e periódico |
| [CloudTrail7.](cloudtrail-controls.md#cloudtrail-7) | Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3 | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI AWS DSS v4.0.1 AWS | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudTrail9.](cloudtrail-controls.md#cloudtrail-9) | CloudTrail trilhas devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10) | CloudTrail Os armazenamentos de dados de eventos do Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [CloudWatch1](cloudwatch-controls.md#cloudwatch-1). | Um filtro de métrica de log e um alarme devem existir para uso do usuário “raiz” | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch.2](cloudwatch-controls.md#cloudwatch-2) | Verificar se existe um alarme e um filtro de métrica de log para chamadas de API não autorizadas | Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch.3](cloudwatch-controls.md#cloudwatch-3) | Verificar se existe um alarme e um filtro de métrica de log para login do Management Console sem MFA | Referência do CIS AWS Foundations v1.2.0 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch.4](cloudwatch-controls.md#cloudwatch-4) | Verificar se existe um alarme e um filtro de métrica de log para alterações de política do IAM | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch5.](cloudwatch-controls.md#cloudwatch-5) | Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch.6](cloudwatch-controls.md#cloudwatch-6) | Certifique-se de que exista um filtro métrico de registro e um alarme para falhas Console de gerenciamento da AWS de autenticação | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch7.](cloudwatch-controls.md#cloudwatch-7) | Certifique-se de que exista um filtro métrico de registro e um alarme para desativação ou exclusão programada do cliente criado CMKs | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch8.](cloudwatch-controls.md#cloudwatch-8) | Verificar se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3 | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch9.](cloudwatch-controls.md#cloudwatch-9) | Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch.10](cloudwatch-controls.md#cloudwatch-10) | Verificar se existe um alarme e um filtro de métrica de log para alterações do grupo de segurança | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch1.1](cloudwatch-controls.md#cloudwatch-11) | Verificar se existe um alarme e um filtro de métrica de log para alterações em listas de controle de acesso à rede (NACL) | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch1.2](cloudwatch-controls.md#cloudwatch-12) | Verificar se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch1.3](cloudwatch-controls.md#cloudwatch-13) | Verificar se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch1.4](cloudwatch-controls.md#cloudwatch-14) | Verificar se existe um alarme e um filtro de métrica de log para alterações de VPC | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [CloudWatch1.5](cloudwatch-controls.md#cloudwatch-15) | CloudWatch os alarmes devem ter ações especificadas configuradas | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [CloudWatch1.6](cloudwatch-controls.md#cloudwatch-16) | CloudWatch os grupos de registros devem ser mantidos por um período de tempo especificado | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [CloudWatch1.7](cloudwatch-controls.md#cloudwatch-17) | CloudWatch ações de alarme devem ser ativadas | NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CodeArtifact1](codeartifact-controls.md#codeartifact-1). | CodeArtifact repositórios devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [CodeBuild1](codebuild-controls.md#codebuild-1). | CodeBuild O repositório de origem do Bitbucket não URLs deve conter credenciais confidenciais | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CodeBuild.2](codebuild-controls.md#codebuild-2) | CodeBuild as variáveis de ambiente do projeto não devem conter credenciais de texto não criptografado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CodeBuild.3](codebuild-controls.md#codebuild-3) | CodeBuild Os registros do S3 devem ser criptografados | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CodeBuild.4](codebuild-controls.md#codebuild-4) | CodeBuild ambientes de projeto devem ter uma configuração de registro | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CodeBuild7.](codebuild-controls.md#codebuild-7) | CodeBuild as exportações do grupo de relatórios devem ser criptografadas em repouso | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [CodeGuruProfiler1](codeguruprofiler-controls.md#codeguruprofiler-1). | CodeGuru Os grupos de criação de perfil do Profiler devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [CodeGuruReviewer1](codegurureviewer-controls.md#codegurureviewer-1). | CodeGuru As associações do repositório do revisor devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Cognito.1](cognito-controls.md#cognito-1) | Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Cognito.2](cognito-controls.md#cognito-2) | Os bancos de identidades do Cognito não devem permitir identidades não autenticadas | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Cognito.3](cognito-controls.md#cognito-3) | As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Cognito.4](cognito-controls.md#cognito-4) | Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Cognito.5](cognito-controls.md#cognito-5) | O MFA deve ser ativado para grupos de usuários do Cognito | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Cognito.6](cognito-controls.md#cognito-6) | Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Config.1](config-controls.md#config-1) | AWS Config deve ser habilitado e usar a função vinculada ao serviço para registro de recursos | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança básica, NIST SP 800-53 Rev. 5, PCI AWS DSS v3.2.1 AWS | CRÍTICO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [Connect.1](connect-controls.md#connect-1) | Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Connect.2](connect-controls.md#connect-2) | As instâncias do Amazon Connect devem ter CloudWatch o registro ativado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DataFirehose1](datafirehose-controls.md#datafirehose-1). | Os fluxos de entrega do Firehose devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [DataSync1](datasync-controls.md#datasync-1). | DataSync as tarefas devem ter o registro ativado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DataSync.2](datasync-controls.md#datasync-2) | DataSync as tarefas devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Detetive.1](detective-controls.md#detective-1) | Gráficos de comportamento do Detective devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [DMS.1](dms-controls.md#dms-1) | As instâncias de replicação do Database Migration Service não devem ser públicas | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [DMS.2](dms-controls.md#dms-2) | Os certificados do DMS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [DMS.3](dms-controls.md#dms-3) | As assinaturas de eventos do DMS devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [DMS.4](dms-controls.md#dms-4) | As instâncias de replicação do DMS devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [DMS.5](dms-controls.md#dms-5) | Os grupos de sub-redes de replicação do DMS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [DMS.6](dms-controls.md#dms-6) | As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DMS.7](dms-controls.md#dms-7) | As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DMS.8](dms-controls.md#dms-8) | As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DMS.9](dms-controls.md#dms-9) | Os endpoints do DMS devem usar SSL | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DMS.10](dms-controls.md#dms-10) | Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DMS.11](dms-controls.md#dms-11) | Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DMS.12](dms-controls.md#dms-12) | Os endpoints do DMS para o Redis OSS devem ter o TLS habitado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DMS.13](dms-controls.md#dms-13) | As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DocumentDB.1](documentdb-controls.md#documentdb-1) | Os clusters do Amazon DocumentDB devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DocumentDB.2](documentdb-controls.md#documentdb-2) | Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [DocumentDB.3](documentdb-controls.md#documentdb-3) | Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DocumentDB.4](documentdb-controls.md#documentdb-4) | Os clusters do Amazon DocumentDB devem publicar registros de auditoria em Logs CloudWatch | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DocumentDB.5](documentdb-controls.md#documentdb-5) | Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Documento DB.6](documentdb-controls.md#documentdb-6) | Os clusters do Amazon DocumentDB devem ser criptografados em trânsito | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [DynamoDB.1](dynamodb-controls.md#dynamodb-1) | As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [DynamoDB.2](dynamodb-controls.md#dynamodb-2) | As tabelas do DynamoDB devem ter a recuperação ativada point-in-time | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DynamoDB.3](dynamodb-controls.md#dynamodb-3) | Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [DynamoDB.4](dynamodb-controls.md#dynamodb-4) | As tabelas do DynamoDB devem estar presentes em um plano de backup | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [DynamoDB.5](dynamodb-controls.md#dynamodb-5) | As tabelas do DynamoDB devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [DynamoDB.6](dynamodb-controls.md#dynamodb-6) | As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [DynamoDB.7](dynamodb-controls.md#dynamodb-7) | Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EC2.1](ec2-controls.md#ec2-1) | Os snapshots do EBS não devem ser restauráveis publicamente | AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EC2.2](ec2-controls.md#ec2-2) | Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.3](ec2-controls.md#ec2-3) | Os volumes anexados do EBS devem ser criptografados em repouso. | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.4](ec2-controls.md#ec2-4) | As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [EC2.6](ec2-controls.md#ec2-6) | O registro de fluxo de VPC deve ser ativado em todos VPCs | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 AWS | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EC2.7](ec2-controls.md#ec2-7) | A criptografia padrão do EBS deve estar ativada | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS AWS Foundational Security Best Practices v1.0.0, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EC2.8](ec2-controls.md#ec2-8) | As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2 | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Melhores práticas de segurança AWS básica, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.9](ec2-controls.md#ec2-9) | As instâncias do EC2 não devem ter um endereço público IPv4 | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.10](ec2-controls.md#ec2-10) | O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2 | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EC2.12](ec2-controls.md#ec2-12) | O EC2 não utilizado EIPs deve ser removido | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.13](ec2-controls.md#ec2-13) | Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou de ::/0 na porta 22 | Referência do CIS AWS Foundations v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações e periódico |
| [EC2.14](ec2-controls.md#ec2-14) | Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou de ::/0 na porta 3389 | Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações e periódico |
| [EC2.15](ec2-controls.md#ec2-15) | As sub-redes do EC2 não devem atribuir automaticamente endereços IP públicos | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.16](ec2-controls.md#ec2-16) | As listas de controle de acesso à rede não utilizadas devem ser removidas | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.17](ec2-controls.md#ec2-17) | As instâncias do EC2 não devem usar várias ENIs | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.18](ec2-controls.md#ec2-18) | Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.19](ec2-controls.md#ec2-19) | Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações e periódico |
| [EC2.20](ec2-controls.md#ec2-20) | Ambos os túneis VPN de uma conexão AWS Site-to-Site VPN devem estar ativos | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.21](ec2-controls.md#ec2-21) | A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389 | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Melhores práticas de segurança AWS básica, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, AWS PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.22](ec2-controls.md#ec2-22) | Os grupos de segurança do EC2 não utilizados devem ser removidos | | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EC2.23](ec2-controls.md#ec2-23) | Os EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.24](ec2-controls.md#ec2-24) | Os tipos de instância paravirtual do EC2 não devem ser usados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.25](ec2-controls.md#ec2-25) | Os modelos de lançamento do EC2 não devem atribuir interfaces públicas IPs às de rede | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.28](ec2-controls.md#ec2-28) | Os volumes do EBS devem estar em um plano de backup | NIST SP 800-53 Rev. 5 | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [EC2.33](ec2-controls.md#ec2-33) | Os anexos do gateway de trânsito do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.34](ec2-controls.md#ec2-34) | As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.35](ec2-controls.md#ec2-35) | As interfaces de rede do EC2 devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.36](ec2-controls.md#ec2-36) | Os gateways dos clientes do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.37](ec2-controls.md#ec2-37) | Os endereços IP elásticos do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.38](ec2-controls.md#ec2-38) | As instâncias do EC2 devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.39](ec2-controls.md#ec2-39) | Os gateways da Internet do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.40](ec2-controls.md#ec2-40) | Os gateways de NAT do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.41](ec2-controls.md#ec2-41) | A rede EC2 ACLs deve ser marcada | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.42](ec2-controls.md#ec2-42) | As tabelas de rotas do EC2 devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.43](ec2-controls.md#ec2-43) | Os grupos de segurança do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.44](ec2-controls.md#ec2-44) | As sub-redes do EC2 devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.45](ec2-controls.md#ec2-45) | Os volumes do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.46](ec2-controls.md#ec2-46) | Amazon VPCs deve ser etiquetada | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.47](ec2-controls.md#ec2-47) | Os serviços de endpoint da Amazon VPC devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.48](ec2-controls.md#ec2-48) | Os logs de fluxo da Amazon VPC devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.49](ec2-controls.md#ec2-49) | As conexões de emparelhamento da Amazon VPC devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.50](ec2-controls.md#ec2-50) | Os gateways da VPN do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.51](ec2-controls.md#ec2-51) | Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.52](ec2-controls.md#ec2-52) | Os gateways de trânsito do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.53](ec2-controls.md#ec2-53) | Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto | Referência do CIS AWS Foundations v5.0.0, Referência do CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EC2.54](ec2-controls.md#ec2-54) | Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto | Referência do CIS AWS Foundations v5.0.0, Referência do CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EC2.55](ec2-controls.md#ec2-55) | VPCs deve ser configurado com um endpoint de interface para a API ECR | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [EC2.56](ec2-controls.md#ec2-56) | VPCs deve ser configurado com um endpoint de interface para o Docker Registry | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [EC2.57](ec2-controls.md#ec2-57) | VPCs deve ser configurado com um endpoint de interface para Systems Manager | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [EC2.58](ec2-controls.md#ec2-58) | VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [EC2.60](ec2-controls.md#ec2-60) | VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [EC2.170](ec2-controls.md#ec2-170) | Os modelos de lançamento do EC2 devem usar o Instance Metadata Service versão 2 () IMDSv2 | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.171](ec2-controls.md#ec2-171) | As conexões de VPN do EC2 devem ter o registro em log habilitado | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.172](ec2-controls.md#ec2-172) | As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.173](ec2-controls.md#ec2-173) | Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.174](ec2-controls.md#ec2-174) | Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.175](ec2-controls.md#ec2-175) | Os modelos de execução do EC2 devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.176](ec2-controls.md#ec2-176) | As listas de prefixos do EC2 devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.177](ec2-controls.md#ec2-177) | As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.178](ec2-controls.md#ec2-178) | Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.179](ec2-controls.md#ec2-179) | Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EC2.180](ec2-controls.md#ec2-180) | As interfaces de rede EC2 devem ter a source/destination verificação ativada | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.181](ec2-controls.md#ec2-181) | Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EC2.182](ec2-controls.md#ec2-182) | Os snapshots do EBS não devem ser acessíveis ao público | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECR.1](ecr-controls.md#ecr-1) | Os repositórios privados do ECR devem ter a digitalização de imagens configurada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [ECR.2](ecr-controls.md#ecr-2) | Os repositórios privados do ECR devem ter a imutabilidade de tags configurada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECR.3](ecr-controls.md#ecr-3) | Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECR.4](ecr-controls.md#ecr-4) | Os repositórios públicos do ECR devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [ECR.5](ecr-controls.md#ecr-5) | Os repositórios de ECR devem ser criptografados com AWS KMS keys gerenciadas pelo cliente | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [ECS.2](ecs-controls.md#ecs-2) | Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECS.3](ecs-controls.md#ecs-3) | As definições de tarefas do ECS não devem compartilhar o namespace do processo do host | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECS.4](ecs-controls.md#ecs-4) | Os contêineres ECS devem ser executados sem privilégios | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECS.5](ecs-controls.md#ecs-5) | Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECS.8](ecs-controls.md#ecs-8) | Os segredos não devem ser passados como variáveis de ambiente do contêiner | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECS.9](ecs-controls.md#ecs-9) | As definições de tarefas do ECS devem ter uma configuração de registro em log | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECS.10](ecs-controls.md#ecs-10) | Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECS.12](ecs-controls.md#ecs-12) | Os clusters do ECS devem usar Container Insights | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECS.13](ecs-controls.md#ecs-13) | Os serviços do ECS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [ECS.14](ecs-controls.md#ecs-14) | Os clusters do ECS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [ECS.15](ecs-controls.md#ecs-15) | As definições de tarefa do ECS devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [ECS.16](ecs-controls.md#ecs-16) | Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECS.17](ecs-controls.md#ecs-17) | As definições de tarefas do ECS não devem usar o modo de rede host | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECS.18](ecs-controls.md#ecs-18) | As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECS.19](ecs-controls.md#ecs-19) | Os provedores de capacidade do ECS devem ter a proteção gerenciada de terminação ativada | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECS.20](ecs-controls.md#ecs-20) | As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ECS.21](ecs-controls.md#ecs-21) | As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EFS.1](efs-controls.md#efs-1) | O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EFS.2](efs-controls.md#efs-2) | Os volumes do Amazon EBS devem estar em um plano de backup | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EFS.3](efs-controls.md#efs-3) | Os pontos de acesso do EFS devem impor um diretório raiz | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EFS.4](efs-controls.md#efs-4) | Os pontos de acesso do EFS devem impor uma identidade de usuário | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EFS.5](efs-controls.md#efs-5) | Os pontos de acesso do EFS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EFS.6](efs-controls.md#efs-6) | Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EFS.7](efs-controls.md#efs-7) | Os sistemas de arquivos do EFS devem ter backups automáticos habilitados | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EFS.8](efs-controls.md#efs-8) | Os sistemas de arquivos do EFS devem ser criptografados em repouso | CIS AWS Foundations Benchmark v5.0.0, AWS Melhores práticas básicas de segurança | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EKS.1](eks-controls.md#eks-1) | Os endpoints do cluster EKS não devem ser acessíveis ao público | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EKS.2](eks-controls.md#eks-2) | Os clusters EKS devem ser executados em uma versão compatível do Kubernetes | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EKS.3](eks-controls.md#eks-3) | Os clusters do EKS devem usar segredos criptografados do Kubernetes | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EKS.6](eks-controls.md#eks-6) | Os clusters do EKS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EKS.7](eks-controls.md#eks-7) | As configurações do provedor de identidades do EKS devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EKS.8](eks-controls.md#eks-8) | Os clusters do EKS devem ter o registro em log de auditoria habilitado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ElastiCache1](elasticache-controls.md#elasticache-1). | ElastiCache Os clusters (Redis OSS) devem ter backups automáticos habilitados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [ElastiCache.2](elasticache-controls.md#elasticache-2) | ElastiCache os clusters devem ter atualizações automáticas de versões secundárias habilitadas | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [ElastiCache.3](elasticache-controls.md#elasticache-3) | ElastiCache os grupos de replicação devem ter o failover automático ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [ElastiCache.4](elasticache-controls.md#elasticache-4) | ElastiCache grupos de replicação devem ser encrypted-at-rest | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [ElastiCache5.](elasticache-controls.md#elasticache-5) | ElastiCache grupos de replicação devem ser encrypted-in-transit | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [ElastiCache.6](elasticache-controls.md#elasticache-6) | ElastiCache Grupos de replicação (Redis OSS) de versões anteriores devem ter o Redis OSS AUTH ativado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [ElastiCache7.](elasticache-controls.md#elasticache-7) | ElastiCache os clusters não devem usar o grupo de sub-rede padrão | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [ElasticBeanstalk1](elasticbeanstalk-controls.md#elasticbeanstalk-1). | Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ElasticBeanstalk.2](elasticbeanstalk-controls.md#elasticbeanstalk-2) | As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [ElasticBeanstalk.3](elasticbeanstalk-controls.md#elasticbeanstalk-3) | O Elastic Beanstalk deve transmitir registros para CloudWatch | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [ELB.1](elb-controls.md#elb-1) | O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS | AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [ELB.2](elb-controls.md#elb-2) | Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.3](elb-controls.md#elb-3) | Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.4](elb-controls.md#elb-4) | O Application Load Balancer deve ser configurado para eliminar cabeçalhos http | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.5](elb-controls.md#elb-5) | O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.6](elb-controls.md#elb-6) | A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.7](elb-controls.md#elb-7) | Os Classic Load Balancers devem ter a drenagem da conexão ativada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.8](elb-controls.md#elb-8) | Os Classic Load Balancers com receptores SSL devem usar uma política de segurança predefinida que tenha uma configuração forte | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.9](elb-controls.md#elb-9) | Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.10](elb-controls.md#elb-10) | O Classic Load Balancer deve abranger várias zonas de disponibilidade | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [ELB.12](elb-controls.md#elb-12) | O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.13](elb-controls.md#elb-13) | Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [ELB.14](elb-controls.md#elb-14) | O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.16](elb-controls.md#elb-16) | Os balanceadores de carga de aplicativos devem ser associados a uma ACL web do AWS WAF | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.17](elb-controls.md#elb-17) | Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.18](elb-controls.md#elb-18) | Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.21](elb-controls.md#elb-21) | Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ELB.22](elb-controls.md#elb-22) | Os grupos-alvo do ELB devem usar protocolos de transporte criptografados | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EMR.1](emr-controls.md#emr-1) | Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EMR.2](emr-controls.md#emr-2) | A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [EMR.3](emr-controls.md#emr-3) | As configurações de segurança do Amazon EMR devem ser criptografadas em repouso | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EMR.4](emr-controls.md#emr-4) | As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ES.1](es-controls.md#es-1) | Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada | AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [ES.2](es-controls.md#es-2) | Os domínios do Elasticsearch não devem ser publicamente acessíveis | AWS Melhores práticas básicas de segurança, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [ES.3](es-controls.md#es-3) | Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ES.4](es-controls.md#es-4) | O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ES.5](es-controls.md#es-5) | Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ES.6](es-controls.md#es-6) | Os domínios do Elasticsearch devem ter pelo menos três nós de dados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ES.7](es-controls.md#es-7) | Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ES.8](es-controls.md#es-8) | As conexões com os domínios do Elasticsearch devem ser criptografadas com a política de segurança TLS mais recente | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [ES.9](es-controls.md#es-9) | Os domínios do Elasticsearch devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EventBridge.2](eventbridge-controls.md#eventbridge-2) | EventBridge ônibus de eventos devem ser etiquetados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [EventBridge.3](eventbridge-controls.md#eventbridge-3) | EventBridge os ônibus de eventos personalizados devem ter uma política baseada em recursos anexada | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [EventBridge.4](eventbridge-controls.md#eventbridge-4) | EventBridge endpoints globais devem ter a replicação de eventos ativada | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [FraudDetector1](frauddetector-controls.md#frauddetector-1). | Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [FraudDetector.2](frauddetector-controls.md#frauddetector-2) | Os rótulos do Amazon Fraud Detector devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [FraudDetector.3](frauddetector-controls.md#frauddetector-3) | Os resultados do Amazon Fraud Detector devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [FraudDetector.4](frauddetector-controls.md#frauddetector-4) | As variáveis do Amazon Fraud Detector devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [FSx1](fsx-controls.md#fsx-1). | FSx para OpenZFS, os sistemas de arquivos devem ser configurados para copiar tags para backups e volumes | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [FSx.2](fsx-controls.md#fsx-2) | FSx para Lustre, os sistemas de arquivos devem ser configurados para copiar tags para backups | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [FSx.3](fsx-controls.md#fsx-3) | FSx para OpenZFS, os sistemas de arquivos devem ser configurados para implantação Multi-AZ | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [FSx.4](fsx-controls.md#fsx-4) | FSx para sistemas de arquivos NetApp ONTAP, devem ser configurados para implantação Multi-AZ | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [FSx5.](fsx-controls.md#fsx-5) | FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [Glue.1](glue-controls.md#glue-1) | AWS Glue os trabalhos devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Glue.3](glue-controls.md#glue-3) | AWS Glue as transformações de aprendizado de máquina devem ser criptografadas em repouso | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Cola.4](glue-controls.md#glue-4) | AWS Glue Os trabalhos do Spark devem ser executados em versões compatíveis do AWS Glue | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [GlobalAccelerator1](globalaccelerator-controls.md#globalaccelerator-1). | Os aceleradores do Global Accelerator devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [GuardDuty1](guardduty-controls.md#guardduty-1). | GuardDuty deve ser habilitado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [GuardDuty.2](guardduty-controls.md#guardduty-2) | GuardDuty os filtros devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [GuardDuty.3](guardduty-controls.md#guardduty-3) | GuardDuty IPSets deve ser marcado | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [GuardDuty.4](guardduty-controls.md#guardduty-4) | GuardDuty detectores devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [GuardDuty5.](guardduty-controls.md#guardduty-5) | GuardDuty O monitoramento do registro de auditoria do EKS deve estar ativado | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [GuardDuty.6](guardduty-controls.md#guardduty-6) | GuardDuty A Proteção Lambda deve estar ativada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [GuardDuty7.](guardduty-controls.md#guardduty-7) | GuardDuty O monitoramento de tempo de execução do EKS deve estar ativado | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [GuardDuty8.](guardduty-controls.md#guardduty-8) | GuardDuty A proteção contra malware para EC2 deve estar ativada | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [GuardDuty9.](guardduty-controls.md#guardduty-9) | GuardDuty A proteção do RDS deve estar ativada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [GuardDuty.10](guardduty-controls.md#guardduty-10) | GuardDuty A proteção S3 deve estar ativada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [GuardDuty1.1](guardduty-controls.md#guardduty-11) | GuardDuty O monitoramento de tempo de execução deve estar ativado | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [GuardDuty1.2](guardduty-controls.md#guardduty-12) | GuardDuty O ECS Runtime Monitoring deve estar ativado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [GuardDuty1.3](guardduty-controls.md#guardduty-13) | GuardDuty O monitoramento de tempo de execução do EC2 deve estar ativado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.1](iam-controls.md#iam-1) | As políticas do IAM não devem permitir privilégios administrativos completos "\$1" | CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança AWS básicas v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [IAM.2](iam-controls.md#iam-2) | Os usuários do IAM não devem ter políticas do IAM anexadas | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [IAM.3](iam-controls.md#iam-3) | As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança básica, NIST SP 800-53 Rev. 5, PCI AWS DSS v4.0.1 AWS | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.4](iam-controls.md#iam-4) | A chave de acesso do usuário raiz do IAM não deve existir | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0, PCI DSS AWS v3.2.1, NIST SP 800-53 Rev. 5 AWS | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.5](iam-controls.md#iam-5) | A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança básica, NIST SP 800-53 Rev. 5, PCI AWS DSS v4.0.1 AWS | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.6](iam-controls.md#iam-6) | A MFA de hardware deve estar habilitada para o usuário raiz | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança AWS básica, NIST SP 800-53 Rev. 5, PCI AWS DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.7](iam-controls.md#iam-7) | Políticas de senha para usuários do IAM que devem ter configurações fortes | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [IAM.8](iam-controls.md#iam-8) | As credenciais de usuário do IAM não utilizadas devem ser removidas | CIS AWS Foundations Benchmark v1.2.0, Melhores práticas AWS básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.9](iam-controls.md#iam-9) | A MFA deve estar habilitada para o usuário raiz | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 AWS , PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.10](iam-controls.md#iam-10) | Políticas de senha para usuários do IAM que devem ter configurações fortes | NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.11](iam-controls.md#iam-11) | Certifique-se que A política de senha do IAM exija pelo menos uma letra maiúscula | Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.12](iam-controls.md#iam-12) | Certifique-se que a política de senha do IAM exija pelo menos uma letra minúscula | Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.13](iam-controls.md#iam-13) | Certifique-se que política de senha do IAM exija pelo menos um símbolo | Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.14](iam-controls.md#iam-14) | Certifique-se que política de senha do IAM exija pelo menos um número | Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.15](iam-controls.md#iam-15) | Certifique-se que a política de senha do IAM exija um comprimento mínimo de 14 ou mais | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 AWS | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.16](iam-controls.md#iam-16) | Certifique-se que a política de senha do IAM impeça a reutilização de senhas | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI AWS DSS v4.0.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.17](iam-controls.md#iam-17) | Certifique-se que a política de senha do IAM expire senhas em até 90 dias ou menos | Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.18](iam-controls.md#iam-18) | Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI AWS DSS v4.0.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.19](iam-controls.md#iam-19) | A MFA deve estar habilitada para todos os usuários do IAM | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.21](iam-controls.md#iam-21) | As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços. | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [IAM.22](iam-controls.md#iam-22) | As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST AWS SP 800-171 Rev. 2 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.23](iam-controls.md#iam-23) | Os analisadores do IAM Access Analyzer devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IAM.24](iam-controls.md#iam-24) | Os perfis do IAM devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IAM.25](iam-controls.md#iam-25) | Os usuários do IAM devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IAM.26](iam-controls.md#iam-26) | SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos | Referência do CIS AWS Foundations v5.0.0, Referência do CIS Foundations v3.0.0 AWS | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IAM.27](iam-controls.md#iam-27) | As identidades do IAM não devem ter a AWSCloud ShellFullAccess política anexada | Referência do CIS AWS Foundations v5.0.0, Referência do CIS Foundations v3.0.0 AWS | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [IAM.28](iam-controls.md#iam-28) | O analisador de acesso externo do IAM Access Analyzer deve ser habilitado | Referência do CIS AWS Foundations v5.0.0, Referência do CIS Foundations v3.0.0 AWS | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [Inspector.1](inspector-controls.md#inspector-1) | A varredura do EC2 pelo Amazon Inspector deve estar habilitada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [Inspector.2](inspector-controls.md#inspector-2) | A varredura do ECR pelo Amazon Inspector deve estar habilitada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [Inspector.3](inspector-controls.md#inspector-3) | A varredura de código do Lambda pelo Amazon Inspector deve estar habilitada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [Inspector.4](inspector-controls.md#inspector-4) | A varredura padrão do Lambda pelo Amazon Inspector deve estar habilitada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [IoT.1](iot-controls.md#iot-1) | AWS IoT Device Defender perfis de segurança devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IoT.2](iot-controls.md#iot-2) | AWS IoT Core ações de mitigação devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IoT.3](iot-controls.md#iot-3) | AWS IoT Core as dimensões devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IoT.4](iot-controls.md#iot-4) | AWS IoT Core os autorizadores devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IoT.5](iot-controls.md#iot-5) | AWS IoT Core aliases de função devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IoT.6](iot-controls.md#iot-6) | AWS IoT Core as políticas devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IoT TEvents 1.1](iotevents-controls.md#iotevents-1) | AWS IoT Events as entradas devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IoT TEvents 1.2](iotevents-controls.md#iotevents-2) | AWS IoT Events modelos de detectores devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IoT TEvents 3.3](iotevents-controls.md#iotevents-3) | AWS IoT Events modelos de alarme devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Eu sou TSite sábio.1](iotsitewise-controls.md#iotsitewise-1) | AWS IoT SiteWise modelos de ativos devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Eu sou TSite sábio.2](iotsitewise-controls.md#iotsitewise-2) | AWS IoT SiteWise os painéis devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Eu sou TSite sábio.3](iotsitewise-controls.md#iotsitewise-3) | AWS IoT SiteWise gateways devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Eu sou TSite sábio.4](iotsitewise-controls.md#iotsitewise-4) | AWS IoT SiteWise portais devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Eu sou TSite sábio.5](iotsitewise-controls.md#iotsitewise-5) | AWS IoT SiteWise projetos devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Io TTwin Maker. 1](iottwinmaker-controls.md#iottwinmaker-1) | AWS Os trabalhos de TwinMaker sincronização de IoT devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Io TTwin Maker.2](iottwinmaker-controls.md#iottwinmaker-2) | AWS Os TwinMaker espaços de trabalho de IoT devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Io TTwin Maker.3](iottwinmaker-controls.md#iottwinmaker-3) | AWS As TwinMaker cenas de IoT devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Io TTwin Maker.4](iottwinmaker-controls.md#iottwinmaker-4) | AWS As TwinMaker entidades de IoT devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IoT TWireless 1.1](iotwireless-controls.md#iotwireless-1) | AWS Os grupos multicast do IoT Wireless devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IoT TWireless 1.2](iotwireless-controls.md#iotwireless-2) | AWS Os perfis de serviço IoT Wireless devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IoT TWireless 3.3](iotwireless-controls.md#iotwireless-3) | AWS As tarefas do IoT Wireless FUOTA devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IVS.1](ivs-controls.md#ivs-1) | Os pares de chaves de reprodução do IVS devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IVS.2](ivs-controls.md#ivs-2) | As configurações de gravação do IVS devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [IVS.3](ivs-controls.md#ivs-3) | Os canais do IVS devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Keyspaces.1](keyspaces-controls.md#keyspaces-1) | Os keyspaces do Amazon Keyspaces devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Kinesis.1](kinesis-controls.md#kinesis-1) | Os fluxos do Kinesis devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Kinesis.2](kinesis-controls.md#kinesis-2) | Os fluxos do Kinesis devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Kinesis.3](kinesis-controls.md#kinesis-3) | Os fluxos do Kinesis devem ter um período de retenção de dados adequado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [KMS.1](kms-controls.md#kms-1) | As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [KMS.2](kms-controls.md#kms-2) | As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [KMS.3](kms-controls.md#kms-3) | AWS KMS keys não deve ser excluído acidentalmente | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [KMS.4](kms-controls.md#kms-4) | AWS KMS key a rotação deve ser ativada | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 AWS , PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [KMS.5](kms-controls.md#kms-5) | As chaves do KMS não devem ser acessíveis publicamente | AWS Melhores práticas básicas de segurança | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Lambda.1](lambda-controls.md#lambda-1) | As funções do Lambda devem proibir o acesso público | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Lambda.2](lambda-controls.md#lambda-2) | As funções do Lambda devem usar os tempos de execução compatíveis | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Lambda.3](lambda-controls.md#lambda-3) | As funções do Lambda devem estar em uma VPC | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Lambda.5](lambda-controls.md#lambda-5) | As funções do Lambda da VPC devem operar em várias zonas de disponibilidade | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Lambda.6](lambda-controls.md#lambda-6) | As funções do Lambda devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Lambda.7](lambda-controls.md#lambda-7) | As funções Lambda devem ter o rastreamento AWS X-Ray ativo ativado | NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Macie.1](macie-controls.md#macie-1) | O Amazon Macie deve ser habilitado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [Macie.2](macie-controls.md#macie-2) | A descoberta automatizada de dados confidenciais do Macie deve estar habilitada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [MSK.1](msk-controls.md#msk-1) | Os clusters MSK devem ser criptografados em trânsito entre os nós do agente | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [MSK.2](msk-controls.md#msk-2) | Os clusters do MSK devem ter um monitoramento aprimorado configurado | NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [MSK.3](msk-controls.md#msk-3) | Os conectores da MSK Connect devem ser criptografados em trânsito | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [MÁSCARA.4](msk-controls.md#msk-4) | Os clusters do MSK devem ter o acesso público desabilitado | AWS Melhores práticas básicas de segurança | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [MÁSCARA.5](msk-controls.md#msk-5) | Os conectores do MSK devem ter o registro em log habilitado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [MÁSCARA 6](msk-controls.md#msk-6) | Os clusters do MSK devem desabilitar o acesso não autenticado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [MQ.2](mq-controls.md#mq-2) | Os corretores ActiveMQ devem transmitir os registros de auditoria para CloudWatch | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [MQ.4](mq-controls.md#mq-4) | Os agentes do Amazon MQ devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [MQ.5](mq-controls.md#mq-5) | Os corretores ActiveMQ devem usar o modo de implantação active/standby | NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [MQ.6](mq-controls.md#mq-6) | Os agentes do RabbitMQ devem usar o modo de implantação de cluster | NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Neptune.1](neptune-controls.md#neptune-1) | Os clusters de banco de dados Neptune devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Neptune.2](neptune-controls.md#neptune-2) | Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Neptune.3](neptune-controls.md#neptune-3) | Os snapshots do cluster de banco de dados Neptune não devem ser públicos | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Neptune.4](neptune-controls.md#neptune-4) | O cluster de banco de dados do Neptune deve ter a proteção contra exclusão habilitada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Neptune.5](neptune-controls.md#neptune-5) | Os clusters de banco de dados Neptune devem ter backups automatizados habilitados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Neptune.6](neptune-controls.md#neptune-6) | Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Neptune.7](neptune-controls.md#neptune-7) | Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Neptune.8](neptune-controls.md#neptune-8) | Os clusters de banco de dados Neptune devem ser configurados para copiar tags para snapshots | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Neptune.9](neptune-controls.md#neptune-9) | Os clusters de banco de dados Neptune devem ser implantados em várias zonas de disponibilidade | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [NetworkFirewall1](networkfirewall-controls.md#networkfirewall-1). | Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [NetworkFirewall.2](networkfirewall-controls.md#networkfirewall-2) | O registro em log do Network Firewall deve ser habilitado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [NetworkFirewall.3](networkfirewall-controls.md#networkfirewall-3) | As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [NetworkFirewall.4](networkfirewall-controls.md#networkfirewall-4) | A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos. | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [NetworkFirewall5.](networkfirewall-controls.md#networkfirewall-5) | A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes fragmentados. | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [NetworkFirewall.6](networkfirewall-controls.md#networkfirewall-6) | O grupo de regras de firewall de rede sem estado não deve estar vazio | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [NetworkFirewall7.](networkfirewall-controls.md#networkfirewall-7) | Os firewalls do Network Firewall devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [NetworkFirewall8.](networkfirewall-controls.md#networkfirewall-8) | As políticas de firewall do Network Firewall devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [NetworkFirewall9.](networkfirewall-controls.md#networkfirewall-9) | Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [NetworkFirewall.10](networkfirewall-controls.md#networkfirewall-10) | Os firewalls do Network Firewall devem ter a proteção contra alteração de sub-rede habilitada | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Opensearch.1](opensearch-controls.md#opensearch-1) | OpenSearch os domínios devem ter a criptografia em repouso ativada | AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Opensearch.2](opensearch-controls.md#opensearch-2) | OpenSearch os domínios não devem ser acessíveis ao público | AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Opensearch.3](opensearch-controls.md#opensearch-3) | OpenSearch os domínios devem criptografar os dados enviados entre os nós | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Opensearch.4](opensearch-controls.md#opensearch-4) | OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Opensearch.5](opensearch-controls.md#opensearch-5) | OpenSearch os domínios devem ter o registro de auditoria ativado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Opensearch.6](opensearch-controls.md#opensearch-6) | OpenSearch os domínios devem ter pelo menos três nós de dados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Opensearch.7](opensearch-controls.md#opensearch-7) | OpenSearch os domínios devem ter um controle de acesso refinado ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Opensearch.8](opensearch-controls.md#opensearch-8) | As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Opensearch.9](opensearch-controls.md#opensearch-9) | OpenSearch domínios devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Opensearch.10](opensearch-controls.md#opensearch-10) | OpenSearch os domínios devem ter a atualização de software mais recente instalada | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Opensearch.11](opensearch-controls.md#opensearch-11) | OpenSearch os domínios devem ter pelo menos três nós primários dedicados | NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [PCA.1](pca-controls.md#pca-1) | CA Privada da AWS a autoridade de certificação raiz deve ser desativada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [PCA.2](pca-controls.md#pca-2) | AWS As autoridades certificadoras privadas da CA devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [RDS.1](rds-controls.md#rds-1) | [RDS.1] Os snapshots do RDS devem ser privados | AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.2](rds-controls.md#rds-2) | As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Melhores práticas de segurança AWS básica, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.3](rds-controls.md#rds-3) | As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada. | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 AWS | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.4](rds-controls.md#rds-4) | Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.5](rds-controls.md#rds-5) | As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade | CIS AWS Foundations Benchmark v5.0.0, Melhores práticas de segurança AWS básicas v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.6](rds-controls.md#rds-6) | O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [RDS.7](rds-controls.md#rds-7) | O cluster de banco de dados do RDS deve ter a proteção contra exclusão habilitada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.8](rds-controls.md#rds-8) | As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.9](rds-controls.md#rds-9) | As instâncias de banco de dados do RDS devem publicar registros em Logs CloudWatch | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.10](rds-controls.md#rds-10) | A autenticação do IAM deve ser configurada para instâncias do RDS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.11](rds-controls.md#rds-11) | As instâncias do RDS devem ter backups automáticos habilitados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [RDS.12](rds-controls.md#rds-12) | A autenticação do IAM deve ser configurada para clusters do RDS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.13](rds-controls.md#rds-13) | As atualizações automáticas de versões secundárias do RDS devem estar habilitadas | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Melhores práticas de segurança AWS básica, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.14](rds-controls.md#rds-14) | Os clusters Amazon Aurora devem ter o backtracking habilitado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [RDS.15](rds-controls.md#rds-15) | Os clusters de banco de dados do RDS devem ser configurados com várias zonas de disponibilidade | CIS AWS Foundations Benchmark v5.0.0, Melhores práticas de segurança AWS básicas v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.16](rds-controls.md#rds-16) | Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.17](rds-controls.md#rds-17) | As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.18](rds-controls.md#rds-18) | As instâncias do RDS devem ser implantadas em uma VPC | | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.19](rds-controls.md#rds-19) | As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.20](rds-controls.md#rds-20) | As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.21](rds-controls.md#rds-21) | Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.22](rds-controls.md#rds-22) | Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.23](rds-controls.md#rds-23) | As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.24](rds-controls.md#rds-24) | Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.25](rds-controls.md#rds-25) | As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.26](rds-controls.md#rds-26) | As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [RDS.27](rds-controls.md#rds-27) | Os clusters de banco de dados do RDS devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.28](rds-controls.md#rds-28) | Os clusters de bancos de dados do RDS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [RDS.29](rds-controls.md#rds-29) | Os snapshots de cluster de bancos de dados do RDS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [RDS.30](rds-controls.md#rds-30) | As instâncias de bancos de dados do RDS devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [RDS.31](rds-controls.md#rds-31) | Os grupos de segurança de bancos de dados do RDS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [RDS.32](rds-controls.md#rds-32) | Os snapshots de bancos de dados do RDS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [RDS.33](rds-controls.md#rds-33) | Os grupos de sub-redes de bancos de dados do RDS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [RDS.34](rds-controls.md#rds-34) | Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.35](rds-controls.md#rds-35) | Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS.36](rds-controls.md#rds-36) | O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [RDS.37](rds-controls.md#rds-37) | Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS. 38](rds-controls.md#rds-38) | As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografadas em trânsito | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [RDS. 39](rds-controls.md#rds-39) | As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [RDS.40](rds-controls.md#rds-40) | O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [RDS. 41](rds-controls.md#rds-41) | As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [RDS. 42](rds-controls.md#rds-42) | O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [RDS. 43](rds-controls.md#rds-43) | Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [RDS. 44](rds-controls.md#rds-44) | As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [RDS. 45](rds-controls.md#rds-45) | Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [RDS. 46](rds-controls.md#rds-46) | As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [RDS. 47](rds-controls.md#rds-47) | Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots | AWS Melhores práticas básicas de segurança | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS. 48](rds-controls.md#rds-48) | Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots | AWS Melhores práticas básicas de segurança | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RDS. 50](rds-controls.md#rds-50) | Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Sim | Acionado por alterações |
| [Redshift.1](redshift-controls.md#redshift-1) | Os clusters do Amazon Redshift devem proibir o acesso público | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Redshift.2](redshift-controls.md#redshift-2) | As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Redshift.3](redshift-controls.md#redshift-3) | Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Redshift.4](redshift-controls.md#redshift-4) | Os clusters do Amazon Redshift devem ter o registro de auditoria ativado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Redshift.6](redshift-controls.md#redshift-6) | O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Redshift.7](redshift-controls.md#redshift-7) | Os clusters do Redshift devem usar roteamento de VPC aprimorado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Redshift.8](redshift-controls.md#redshift-8) | Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Redshift.10](redshift-controls.md#redshift-10) | Os clusters do Redshift devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Redshift.11](redshift-controls.md#redshift-11) | Os clusters do Redshift devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Redshift.12](redshift-controls.md#redshift-12) | As notificações de assinatura de eventos do Redshift devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Redshift.13](redshift-controls.md#redshift-13) | Os snapshots de clusters do Redshift devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Redshift.14](redshift-controls.md#redshift-14) | Os grupos de sub-redes de clusters do Redshift devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Redshift.15](redshift-controls.md#redshift-15) | Os grupos de segurança do Redshift devem permitir a entrada na porta do cluster de origens restritas | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [Redshift.16](redshift-controls.md#redshift-16) | Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Redshift.17](redshift-controls.md#redshift-17) | Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Redshift.18](redshift-controls.md#redshift-18) | Os clusters do Redshift devem ter implantações multi-AZ habilitadas | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [RedshiftServerless1](redshiftserverless-controls.md#redshiftserverless-1). | Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento aprimorado de VPC | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [RedshiftServerless.2](redshiftserverless-controls.md#redshiftserverless-2) | As conexões com grupos de trabalho do Redshift sem servidor devem ser obrigatórias para o uso de SSL | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [RedshiftServerless.3](redshiftserverless-controls.md#redshiftserverless-3) | Os grupos de trabalho do Redshift sem servidor devem proibir o acesso público | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [RedshiftServerless.4](redshiftserverless-controls.md#redshiftserverless-4) | Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [RedshiftServerless5.](redshiftserverless-controls.md#redshiftserverless-5) | Os namespaces do Redshift sem servidor não devem usar o nome de usuário admin padrão | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [RedshiftServerless.6](redshiftserverless-controls.md#redshiftserverless-6) | Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [Route53.1](route53-controls.md#route53-1) | As verificações de integridade do Route 53 devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Route53.2](route53-controls.md#route53-2) | As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [S3.1](s3-controls.md#s3-1) | Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Melhores práticas de segurança AWS básica, AWS NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [S3.2](s3-controls.md#s3-2) | Os buckets de uso geral do S3 devem bloquear o acesso público para leitura | AWS Melhores práticas básicas de segurança, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações e periódico |
| [S3.3](s3-controls.md#s3-3) | Os buckets de uso geral do S3 devem bloquear o acesso público para gravação | AWS Melhores práticas básicas de segurança, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações e periódico |
| [S3.5](s3-controls.md#s3-5) | Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Melhores práticas de segurança AWS básica, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, AWS PCI DSS v3.2.1, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [S3.6](s3-controls.md#s3-6) | As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [S3.7](s3-controls.md#s3-7) | Os buckets de uso geral do S3 devem usar replicação entre regiões | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [S3.8](s3-controls.md#s3-8) | Os buckets de uso geral do S3 devem bloquear o acesso público | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Melhores práticas de segurança básica, AWS NIST SP 800-53 Rev. 5, PCI AWS DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [S3.9](s3-controls.md#s3-9) | Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [S3.10](s3-controls.md#s3-10) | Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [S3.11](s3-controls.md#s3-11) | Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [S3.12](s3-controls.md#s3-12) | ACLs não deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3 | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [S3.13](s3-controls.md#s3-13) | Os buckets de uso geral do S3 devem ter configurações de ciclo de vida | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [S3.14](s3-controls.md#s3-14) | Os buckets de uso geral do S3 devem ter o versionamento habilitado | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [S3.15](s3-controls.md#s3-15) | Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [S3.17](s3-controls.md#s3-17) | Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [S3.19](s3-controls.md#s3-19) | Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [S3.20](s3-controls.md#s3-20) | Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST AWS SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [S3.22](s3-controls.md#s3-22) | Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto | Referência do CIS AWS Foundations v5.0.0, Referência do CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [S3.23](s3-controls.md#s3-23) | Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto | Referência do CIS AWS Foundations v5.0.0, Referência do CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [S3.24](s3-controls.md#s3-24) | Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [S3.25](s3-controls.md#s3-25) | Os buckets de diretório do S3 devem ter configurações de ciclo de vida | AWS Melhores práticas básicas de segurança | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [SageMaker1](sagemaker-controls.md#sagemaker-1). | As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [SageMaker.2](sagemaker-controls.md#sagemaker-2) | SageMaker instâncias de notebook devem ser lançadas em uma VPC personalizada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SageMaker.3](sagemaker-controls.md#sagemaker-3) | Os usuários não devem ter acesso root às instâncias do SageMaker notebook | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SageMaker.4](sagemaker-controls.md#sagemaker-4) | SageMaker as variantes de produção de endpoints devem ter uma contagem inicial de instâncias maior que 1 | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [SageMaker5.](sagemaker-controls.md#sagemaker-5) | SageMaker os modelos devem ter o isolamento de rede ativado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SageMaker.6](sagemaker-controls.md#sagemaker-6) | SageMaker as configurações de imagem do aplicativo devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [SageMaker7.](sagemaker-controls.md#sagemaker-7) | SageMaker as imagens devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [SageMaker8.](sagemaker-controls.md#sagemaker-8) | SageMaker instâncias de notebook devem ser executadas em plataformas compatíveis | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [SageMaker9.](sagemaker-controls.md#sagemaker-9) | SageMaker as definições de tarefas de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SageMaker.10](sagemaker-controls.md#sagemaker-10) | SageMaker as definições de tarefas de explicabilidade do modelo devem ter a criptografia de tráfego entre contêineres ativada | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SageMaker1.1](sagemaker-controls.md#sagemaker-11) | SageMaker as definições de trabalho de qualidade de dados devem ter o isolamento de rede ativado | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SageMaker1.2](sagemaker-controls.md#sagemaker-12) | SageMaker as definições de tarefas de viés de modelo devem ter o isolamento de rede ativado | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SageMaker1.3](sagemaker-controls.md#sagemaker-13) | SageMaker as definições de tarefas de qualidade do modelo devem ter a criptografia de tráfego entre contêineres ativada | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SageMaker1.4](sagemaker-controls.md#sagemaker-14) | SageMaker os cronogramas de monitoramento devem ter o isolamento de rede ativado | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SageMaker1.5](sagemaker-controls.md#sagemaker-15) | SageMaker as definições de tarefas de viés de modelo devem ter a criptografia de tráfego entre contêineres ativada | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SecretsManager1](secretsmanager-controls.md#secretsmanager-1). | Os segredos do Secrets Manager devem ter a alternância automática ativada | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [SecretsManager.2](secretsmanager-controls.md#secretsmanager-2) | Os segredos do Secrets Manager configurados com alternância automática devem girar com sucesso | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SecretsManager.3](secretsmanager-controls.md#secretsmanager-3) | Remover segredos do Secrets Manager não utilizados | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [SecretsManager.4](secretsmanager-controls.md#secretsmanager-4) | Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico |
| [SecretsManager5.](secretsmanager-controls.md#secretsmanager-5) | Os segredos do Secrets Manager devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [ServiceCatalog1](servicecatalog-controls.md#servicecatalog-1). | Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma AWS organização | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [SES.1](ses-controls.md#ses-1) | As listas de contatos do SES devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [SES.2](ses-controls.md#ses-2) | Os conjuntos de configuração do SES devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [SES.3](ses-controls.md#ses-3) | Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SNS.1](sns-controls.md#sns-1) | Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SNS.3](sns-controls.md#sns-3) | Os tópicos do SNS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [SNS.4](sns-controls.md#sns-4) | As políticas de acesso a tópicos do SNS não devem permitir o acesso público | AWS Melhores práticas básicas de segurança | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SQS.1](sqs-controls.md#sqs-1) | As filas do Amazon SQS devem ser criptografadas em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SQS.2](sqs-controls.md#sqs-2) | As filas do SQS devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [SQS.3](sqs-controls.md#sqs-3) | As políticas de acesso a filas do SQS não devem permitir o acesso público | AWS Melhores práticas básicas de segurança | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SSM.1](ssm-controls.md#ssm-1) | As instâncias do EC2 devem ser gerenciadas por AWS Systems Manager | AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SSM.2](ssm-controls.md#ssm-2) | As instâncias do EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT após a instalação do patch | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SSM.3](ssm-controls.md#ssm-3) | As instâncias de EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [SSM.4](ssm-controls.md#ssm-4) | Os documentos SSM não devem ser públicos | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [SSM. 5](ssm-controls.md#ssm-5) | Os documentos do SSM devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [SSM. 6](ssm-controls.md#ssm-6) | A automação de SSM deve ter o CloudWatch registro ativado | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [SSM. 7](ssm-controls.md#ssm-7) | Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público ativada | AWS Melhores práticas básicas de segurança v1.0.0 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [StepFunctions1](stepfunctions-controls.md#stepfunctions-1). | As máquinas de estado do Step Functions devem ter o registro ativado | AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [StepFunctions.2](stepfunctions-controls.md#stepfunctions-2) | As atividades do Step Functions devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Transfer.1](transfer-controls.md#transfer-1) | Os fluxos de trabalho do Transfer Family devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Transfer.2](transfer-controls.md#transfer-2) | Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [Transferência.3](transfer-controls.md#transfer-3) | Os conectores do Transfer Family devem ter o registro em log habilitado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [Transferência.4](transfer-controls.md#transfer-4) | Os contratos do Transfer Family devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Transferência.5](transfer-controls.md#transfer-5) | Os certificados do Transfer Family devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Transfer.6](transfer-controls.md#transfer-6) | Os conectores do Transfer Family devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [Transfer.7](transfer-controls.md#transfer-7) | Os perfis do Transfer Family devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações |
| [WAF.1](waf-controls.md#waf-1) | AWS O registro do WAF Classic Global Web ACL deve estar ativado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [WAF.2](waf-controls.md#waf-2) | AWS As regras regionais clássicas do WAF devem ter pelo menos uma condição | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [WAF.3](waf-controls.md#waf-3) | AWS Os grupos de regras regionais clássicos do WAF devem ter pelo menos uma regra | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [WAF.4](waf-controls.md#waf-4) | AWS A web regional clássica do WAF ACLs deve ter pelo menos uma regra ou grupo de regras | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [WAF.6](waf-controls.md#waf-6) | AWS As regras globais do WAF Classic devem ter pelo menos uma condição | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [WAF.7](waf-controls.md#waf-7) | AWS Os grupos de regras globais do WAF Classic devem ter pelo menos uma regra | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [WAF.8](waf-controls.md#waf-8) | AWS A web global do WAF Classic ACLs deve ter pelo menos uma regra ou grupo de regras | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [WAF.10](waf-controls.md#waf-10) | AWS A web do WAF ACLs deve ter pelo menos uma regra ou grupo de regras | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [WAF.11](waf-controls.md#waf-11) | AWS O registro de WAF web ACL deve estar ativado | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico |
| [WAF.12](waf-controls.md#waf-12) | AWS As regras do WAF devem ter CloudWatch métricas ativadas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [WorkSpaces1](workspaces-controls.md#workspaces-1). | WorkSpaces os volumes do usuário devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
| [WorkSpaces.2](workspaces-controls.md#workspaces-2) | WorkSpaces os volumes raiz devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações |
# Log de alterações dos controles do CSPM do Security Hub
O registro de alterações a seguir rastreia alterações materiais nos controles CSPM existentes do AWS Security Hub, o que pode resultar em alterações no status geral de um controle e no status de conformidade de suas descobertas. Para obter informações sobre como o CSPM do Security Hub avalia o status do controle, consulte [Avaliação do status de conformidade e do status de controle](controls-overall-status.md). As alterações podem levar alguns dias após serem inseridas nesse registro para afetar tudo Regiões da AWS em que o controle está disponível.
Esse log rastreia as mudanças ocorridas desde abril de 2023. Escolha um controle para revisar detalhes adicionais sobre ele. As alterações de título são observadas na descrição detalhada do controle por 90 dias.
| Data da mudança | Título e ID do controle | Descrição de alteração |
| --- | --- | --- |
| 3 de abril de 2026 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | Esse controle verifica se um cluster do Amazon EKS está sendo executado em uma versão do Kubernetes com suporte. O CSPM do Security Hub alterou o valor do parâmetro para esse controle de `1.32` para. `1.33` O suporte padrão para o Kubernetes versão 1.32 no Amazon EKS terminou em 23 de março de 2026. |
| 3 de abril de 2026 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O parâmetro Lambda.2 para tempos de execução compatíveis não é mais incluído, pois o ruby3.2 Lambda tornou esse tempo de execução obsoleto. |
| 24 de março de 2026 | [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) | O Security Hub CSPM atualizou o título do controle para refletir que o controle verifica todos os clusters de banco de dados do RDS. |
| 24 de março de 2026 | [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) | O Security Hub CSPM atualizou o título e a descrição do controle para refletir que o controle verifica as definições de tarefas do ECS. O Security Hub CSPM também atualizou o controle para não gerar descobertas para definições de tarefas `runtimePlatform` configuradas para especificar uma família de `WINDOWS_SERVER` sistemas operacionais. |
| 9 de março de 2026 | [AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso | O Security Hub CSPM retirou esse controle e o removeu do padrão [AWS Foundational Security Best Practices (FSBP](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)). AWS AppSync agora fornece criptografia padrão em todos os caches de API atuais e futuros. |
| 9 de março de 2026 | [AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito | O Security Hub CSPM retirou esse controle e o removeu do padrão [AWS Foundational Security Best Practices (FSBP](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)). AWS AppSync agora fornece criptografia padrão em todos os caches de API atuais e futuros. |
| 4 de março de 2026 | [ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário | O Security Hub CSPM retirou esse controle e o removeu do padrão [AWS Foundational Security Best Practices (FSBP) e do padrão](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) SP 800-53 Rev. 5. |
| 5 de fevereiro de 2026 | [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) | O Security Hub CSPM retirará esse controle e o removerá de todos os padrões CSPM aplicáveis do Security Hub em 9 de março de 2026. AWS AppSync está fornecendo criptografia padrão em todos os caches atuais e futuros da API. |
| 5 de fevereiro de 2026 | [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) | O Security Hub CSPM retirará esse controle e o removerá de todos os padrões CSPM aplicáveis do Security Hub em 9 de março de 2026. AWS AppSync está fornecendo criptografia padrão em todos os caches atuais e futuros da API. |
| 16 de janeiro de 2026 | [[ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário](ecs-controls.md#ecs-1) | O CSPM do Security Hub informou que esse controle será retirado e removido de todos os padrões CSPM aplicáveis do Security Hub após 16 de fevereiro de 2026. |
| 12 de janeiro de 2026 | [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4) | O Security Hub CSPM atualizou esse controle para remover o `loggingEnabled` parâmetro. |
| 12 de janeiro de 2026 | [MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada | O Security Hub CSPM retirou o controle e removeu o controle de todos os padrões aplicáveis. O Security Hub CSPM retirou o controle devido aos requisitos do Amazon MQ para atualizações automáticas de versões secundárias. [Anteriormente, o controle se aplicava ao padrão [AWS Foundational Security Best Practices (FSBP), ao padrão](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[NIST SP 800-53 Rev. 5 e ao padrão](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) PCI DSS v4.0.1.](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) |
| 12 de janeiro de 2026 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de tempo de execução de uma AWS Lambda função correspondem aos valores esperados para tempos de execução suportados em cada idioma. O Security Hub CSPM agora oferece suporte `dotnet10` como um valor de parâmetro para esse controle. AWS Lambda adicionou suporte para esse tempo de execução. |
| 15 de dezembro de 2025 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de tempo de execução de uma AWS Lambda função correspondem aos valores esperados para tempos de execução suportados em cada idioma. O Security Hub CSPM não oferece mais suporte `python3.9` como valor de parâmetro para esse controle. AWS Lambda não suporta mais esse tempo de execução. |
| 12 de dezembro de 2025 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | Esse controle verifica se um cluster do Amazon EKS está sendo executado em uma versão do Kubernetes com suporte. O CSPM do Security Hub alterou o valor do parâmetro para esse controle de `1.31` para. `1.32` O suporte padrão para o Kubernetes versão 1.31 no Amazon EKS terminou em 26 de novembro de 2025. |
| 21 de novembro de 2025 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de tempo de execução de uma AWS Lambda função correspondem aos valores esperados para tempos de execução suportados em cada idioma. O Security Hub CSPM agora suporta `nodejs24.x` e `python3.14` como valores de parâmetros para esse controle. AWS Lambda adicionou suporte para esses tempos de execução. |
| 14 de novembro de 2025 | [As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos](ec2-controls.md#ec2-15) | O Security Hub CSPM atualizou a descrição e a justificativa desse controle. Anteriormente, o controle só verificava a atribuição automática de IP IPv4 público nas sub-redes da Amazon VPC usando a bandeira. `MapPublicIpOnLaunch` Esse controle agora verifica a atribuição automática IPv4 e a atribuição automática de IP IPv6 público. A descrição e a justificativa do controle foram atualizadas para refletir essas mudanças. |
| 14 de novembro de 2025 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de tempo de execução de uma AWS Lambda função correspondem aos valores esperados para tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a `java25` como um valor de parâmetro para esse controle. O AWS Lambda adicionou suporte para esse runtime. |
| 13 de novembro de 2025 | [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) | O Security Hub CSPM alterou a severidade desse controle de `HIGH` para. `CRITICAL` Permitir o acesso público aos tópicos do Amazon SNS representa um risco de segurança significativo. |
| 13 de novembro de 2025 | [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) | O Security Hub CSPM alterou a severidade desse controle de `HIGH` para. `CRITICAL` Permitir o acesso público às filas do Amazon SQS representa um risco de segurança significativo. |
| 13 de novembro de 2025 | [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) | O Security Hub CSPM alterou a severidade desse controle de `MEDIUM` para. `HIGH` Esse tipo de monitoramento de tempo de execução fornece detecção aprimorada de ameaças para os recursos do Amazon EKS. |
| 13 de novembro de 2025 | [[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada](mq-controls.md#mq-3) | O Security Hub CSPM alterou a severidade desse controle de `LOW` para. `MEDIUM` Pequenas atualizações de versão incluem patches de segurança que são necessários para manter a segurança do agente Amazon MQ. |
| 13 de novembro de 2025 | [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) | O Security Hub CSPM alterou a severidade desse controle de `LOW` para. `MEDIUM` As atualizações de software incluem patches de segurança que são necessários para manter a segurança OpenSearch do domínio. |
| 13 de novembro de 2025 | [[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada](rds-controls.md#rds-7) | O Security Hub CSPM alterou a severidade desse controle de `LOW` para. `MEDIUM` A proteção contra exclusão ajuda a evitar a exclusão acidental dos bancos de dados do Amazon RDS e a exclusão dos bancos de dados do RDS por entidades não autorizadas. |
| 13 de novembro de 2025 | [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) | O Security Hub CSPM alterou a severidade desse controle de `LOW` para. `MEDIUM` AWS CloudTrail os dados de registro no Amazon CloudWatch Logs podem ser usados para atividades de auditoria, alarmes e outras operações de segurança importantes. |
| 13 de novembro de 2025 | [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) | O Security Hub CSPM alterou a severidade desse controle de `HIGH` para. `MEDIUM` Compartilhar AWS Service Catalog portfólios com contas específicas pode ser intencional e não necessariamente indica que um portfólio está acessível ao público. |
| 13 de novembro de 2025 | [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) | O Security Hub CSPM alterou a severidade desse controle de `MEDIUM` para. `LOW` Os nomes de `cloudfront.net` domínio padrão para CloudFront distribuições da Amazon são gerados aleatoriamente, o que reduz o risco de segurança. |
| 13 de novembro de 2025 | [[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada](elb-controls.md#elb-7) | O Security Hub CSPM alterou a severidade desse controle de `MEDIUM` para. `LOW` Em implantações de várias instâncias, outras instâncias íntegras podem lidar com as sessões do usuário quando uma instância é encerrada sem esgotar a conexão, o que reduz o impacto operacional e os riscos de disponibilidade. |
| 13 de novembro de 2025 | [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) | O Security Hub CSPM atualizou esse controle para remover o parâmetro opcional`validAdminUserNames`. |
| 23 de outubro de 2025 | [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) | O CSPM do Security Hub reverteu as alterações feitas no título, na descrição e na regra desse controle em 14 de outubro de 2025. |
| 22 de outubro de 2025 | [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) | O Security Hub CSPM atualizou esse controle para não gerar descobertas para CloudFront distribuições da Amazon que usam origens personalizadas. |
| 16 de outubro de 2025 | [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) | Esse controle verifica se uma CloudFront distribuição da Amazon está configurada para usar uma política de segurança TLS recomendada. O CSPM do Security Hub agora oferece suporte a `TLSv1.2_2025` e `TLSv1.3_2025` como valores de parâmetros para esse controle. |
| 14 de outubro de 2025 | [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) | O CSPM do Security Hub alterou o título, a descrição e a regra desse controle. [Anteriormente, o controle verificava os clusters do Redis OSS e todos os grupos de replicação, usando a regra -backup-check. elasticache-redis-cluster-automatic](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) O título do controle era: os *clusters ElastiCache (Redis OSS) deveriam ter backups automáticos habilitados*. [Esse controle agora verifica os clusters Valkey, além dos clusters Redis OSS e todos os grupos de replicação, usando a regra -enabled. elasticache-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html) O novo título e a descrição refletem que o controle verifica os dois tipos de clusters. |
| 5 de outubro de 2025 | [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) | A regra para esse controle foi atualizada para também gerar uma `PASSED` descoberta se um domínio do Amazon OpenSearch Service não tiver atualizações de software disponíveis e o status da atualização for inelegível. Anteriormente, esse controle gerava uma `PASSED` descoberta somente se um OpenSearch domínio não tivesse atualizações de software disponíveis e o status da atualização estivesse completo. |
| 24 de setembro de 2025 | [Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão [RedshiftServerless.7] Os namespaces sem servidor do Redshift não devem usar o nome do banco de dados padrão | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões aplicáveis. O CSPM do Security Hub retirou esses controles devido às limitações inerentes do Amazon Redshift que impediam a correção efetiva das descobertas `FAILED` dos controles. Anteriormente, os controles se aplicavam ao padrão [Práticas Recomendadas de Segurança Básica da AWS (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) e ao [padrão NIST SP 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html). O controle Redshift.9 também se aplica ao [padrão gerenciado por serviço do AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html). |
| 9 de setembro de 2025 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de tempo de execução de uma AWS Lambda função correspondem aos valores esperados para tempos de execução suportados em cada idioma. O CSPM do Security Hub não oferece mais suporte ao `nodejs18.x` como valor de parâmetro para esse controle. O AWS Lambda não oferece mais suporte aos runtimes do Node.js 18. |
| 13 de agosto de 2025 | [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) | O CSPM do Security Hub alterou o título e a descrição desse controle. O novo título e a descrição refletem com mais precisão que o controle verifica a configuração do `EnableNetworkIsolation` parâmetro dos modelos hospedados pela Amazon SageMaker AI. Anteriormente, o título desse controle era: *SageMaker models should block inbound traffic*. |
| 13 de agosto de 2025 | [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) | O CSPM do Security Hub alterou o título e a descrição desse controle. Os novos título e descrição refletem com mais precisão o escopo e a natureza da verificação que o controle executa. Anteriormente, o título desse controle era: *EFS mount targets should not be associated with a public subnet*. |
| 24 de julho de 2025 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | Esse controle verifica se um cluster do Amazon EKS está sendo executado em uma versão do Kubernetes com suporte. O CSPM do Security Hub alterou o valor do parâmetro para esse controle de `1.30` para. `1.31` O suporte padrão para o Kubernetes versão 1.30 no Amazon EKS terminou em 23 de julho de 2025. |
| 23 de julho de 2025 | [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) | O CSPM do Security Hub alterou o título desse controle. O novo título reflete com mais precisão que o controle verifica apenas as solicitações da frota spot do Amazon EC2 que especifiquem parâmetros de lançamento. Anteriormente, o título desse controle era: *EC2 Spot Fleet requests should enable encryption for attached EBS volumes*. |
| 30 de junho de 2025 | [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) | O CSPM do Security Hub removeu esse controle do [padrão PCI DSS v4.0.1](pci-standard.md). O PCI DSS v4.0.1 não exige explicitamente o uso de símbolos nas senhas. |
| 30 de junho de 2025 | [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) | O CSPM do Security Hub removeu esse controle do [padrão NIST SP 800-171 Revisão 2](standards-reference-nist-800-171.md). O NIST SP 800-171 Revisão 2 não exige explicitamente períodos de expiração de senhas de 90 dias ou menos. |
| 30 de junho de 2025 | [[RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados](rds-controls.md#rds-16) | O CSPM do Security Hub alterou o título desse controle. O novo título reflete com mais precisão que o controle verifica apenas os clusters de banco de dados Amazon Aurora. Anteriormente, o título desse controle era: *RDS DB clusters should be configured to copy tags to snapshots*. |
| 30 de junho de 2025 | [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) | Esse controle verifica se uma instância do notebook Amazon SageMaker AI está configurada para ser executada em uma plataforma compatível, com base no identificador da plataforma especificado para a instância do notebook. O CSPM do Security Hub não oferece mais suporte a `notebook-al2-v1` e `notebook-al2-v2` como valores de parâmetros para esse controle. As instâncias de notebooks executadas nessas plataformas tiveram o suporte encerrado em 30 de junho de 2025. |
| 30 de maio de 2025 | [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) | O CSPM do Security Hub removeu esse controle do [padrão PCI DSS v4.0.1](pci-standard.md). Esse controle verifica se as políticas de senha da conta para usuários do IAM atendem aos requisitos mínimos, incluindo um tamanho mínimo de senha de 7 caracteres. O PCI DSS v4.0.1 agora exige que as senhas tenham no mínimo 8 caracteres. O controle continua a ser aplicado ao padrão PCI DSS v3.2.1, que tem requisitos de senha diferentes. Para avaliar as políticas de senha da conta em relação aos requisitos do PCI DSS v4.0.1, é possível usar o [controle IAM.7](iam-controls.md#iam-7). Esse controle exige que as senhas tenham no mínimo 8 caracteres. Ele também oferece suporte a valores personalizados para tamanho da senha e outros parâmetros. O controle IAM.7 faz parte do padrão PCI DSS v4.0.1 no CSPM do Security Hub. |
| 8 de maio de 2025 | [RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet | O CSPM do Security Hub reverteu o lançamento do controle RDS.46 em todas as Regiões da AWS. Anteriormente, esse controle era compatível com o padrão AWS Foundational Security Best Practices (FSBP). |
| 7 de abril de 2025 | [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) | Esse controle verifica se o receptor de HTTPS para um Application Load Balancer ou o receptor de TLS para um Network Load Balancer está configurado para criptografar dados em trânsito usando uma política de segurança recomendada. O CSPM do Security Hub agora oferece suporte a dois parâmetros adicionais para esse controle: `ELBSecurityPolicy-TLS13-1-2-Res-2021-06` e `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04`. |
| 27 de março de 2025 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de runtime de uma função do AWS Lambda correspondem aos valores esperados para os runtimes com suporte em cada linguagem. O Security Hub CSPM agora oferece suporte `ruby3.4` como um valor de parâmetro para esse controle. AWS Lambda adicionou suporte para esse tempo de execução. |
| 26 de março de 2025 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. Para o parâmetro `oldestVersionSupported`, o CSPM do Security Hub alterou o valor de `1.29` para `1.30`. A versão do Kubernetes mais antiga com suporte agora é a `1.30`. |
| 10 de março de 2025 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de runtime de uma função do AWS Lambda correspondem aos valores esperados para os runtimes com suporte em cada linguagem. O Security Hub CSPM não oferece mais suporte `dotnet6` e `python3.8` como valores de parâmetros para esse controle. AWS Lambda não oferece mais suporte a esses tempos de execução. |
| 07 de março de 2025 | [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) | O Security Hub CSPM removeu esse controle do padrão AWS Foundational Security Best Practices e automatizou as verificações dos requisitos do NIST SP 800-53 Rev. 5. Como a rede do Amazon EC2-Classic foi descontinuada, instâncias do Amazon Relational Database Service (Amazon RDS) não podem mais ser implantadas fora de uma VPC. O controle continua fazendo parte do [padrão gerenciado por serviço do AWS Control Tower](service-managed-standard-aws-control-tower.md). |
| 10 de janeiro de 2025 | [Glue.2] Os trabalhos do AWS Glue devem ter o registro ativado | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. |
| 20 de dezembro de 2024 | EC2.61 até EC2.169 | O CSPM do Security Hub reverteu o lançamento dos controles EC2.61 até EC2.169. |
| 12 de dezembro de 2024 | [[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados](rds-controls.md#rds-23) | O RDS.23 verifica se um cluster ou uma instância do Amazon Relational Database Service (Amazon RDS) usa uma porta diferente da porta padrão do mecanismo de banco de dados. Atualizamos o controle para que a AWS Config regra subjacente retorne o resultado NOT\$1APPLICABLE de quatro instâncias do RDS que fazem parte de um cluster. |
| 2 de dezembro de 2024 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a nodejs22.x como parâmetro. |
| 26 de novembro de 2024 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. A versão mais antiga com suporte agora é a 1.29. |
| 20 de novembro de 2024 | [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) | O Config.1 verifica se AWS Config está habilitado, usa a função vinculada ao serviço e registra os recursos dos controles habilitados. O CSPM do Security Hub aumentou a gravidade desse controle de `MEDIUM` para `CRITICAL`. O CSPM do Security Hub também adicionou [novos códigos de status e motivos de status](controls-findings-create-update.md#control-findings-asff-compliance) para descobertas com falha do Config.1. Essas mudanças refletem a importância do Config.1 para a operação dos controles do CSPM do Security Hub. Se você tiver AWS Config ou a gravação de recursos desativada, poderá receber descobertas de controle imprecisas. Para receber uma descoberta `PASSED` para o Config.1, ative o registro de recursos para recursos que correspondam aos controles habilitados do CSPM do Security Hub e desabilite os controles que não sejam necessários em sua organização. Para obter instruções sobre a configuração do AWS Config Security Hub CSPM, consulte. [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md) Para obter uma lista de controles do CSPM do Security Hub e seus recursos correspondentes, consulte [AWS Config Recursos necessários para descobertas de controle](controls-config-resources.md). |
| 12 de novembro de 2024 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a python3.13 como parâmetro. |
| 11 de outubro de 2024 | ElastiCache controles | Títulos de controle alterados para ElastiCache .3, ElastiCache .4, ElastiCache .5 e .7. ElastiCache Os títulos não mencionam mais o Redis OSS porque os controles também se aplicam ao Valkey ElastiCache . |
| 27 de setembro de 2024 | [[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos](elb-controls.md#elb-4) | Título do controle alterado de O Application Load Balancer deve ser configurado para ignorar cabeçalhos http para O Application Load Balancer deve ser configurado para ignorar cabeçalhos http inválidos. |
| 19 de agosto de 2024 | Alterações de título para DMS.12 e controles ElastiCache | Títulos de controle alterados para DMS.12 e .1 a ElastiCache .7. ElastiCache Alteramos esses títulos para refletir uma mudança de nome no serviço Amazon ElastiCache (Redis OSS). |
| 15 de agosto de 2024 | [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) | O Config.1 verifica se AWS Config está habilitado, usa a função vinculada ao serviço e registra os recursos dos controles habilitados. O CSPM do Security Hub adicionou um parâmetro de controle personalizado denominado includeConfigServiceLinkedRoleCheck. Definindo esse parâmetro como false, você pode optar por não verificar se o AWS Config usa o perfil vinculado ao serviço. |
| 31 de julho de 2024 | [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) | Título do controle alterado de Os perfis de segurança do AWS IoT Core devem ser marcados para Os perfis de segurança do AWS IoT Device Defender devem ser marcados. |
| 29 de julho de 2024 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub não oferece mais suporte a nodejs16.x como parâmetro. |
| 29 de julho de 2024 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. A versão compatível mais antiga é a 1.28. |
| 25 de junho de 2024 | [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) | Esse controle verifica se AWS Config está ativado, usa a função vinculada ao serviço e registra os recursos dos controles habilitados. O CSPM do Security Hub atualizou o título do controle para refletir o que o controle avalia. |
| 14 de junho de 2024 | [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) | Esse controle verifica se um cluster de banco de dados Amazon Aurora MySQL está configurado para publicar logs de auditoria no Amazon Logs. CloudWatch O CSPM do Security Hub atualizou o controle para que não gere descobertas para clusters do banco de dados do Aurora Serverless v1. |
| 11 de junho de 2024 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. A versão compatível mais antiga é a 1.27. |
| 10 de junho de 2024 | [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) | Esse controle verifica se AWS Config está ativado e se a gravação de AWS Config recursos está ativada. Anteriormente, o controle produzia uma descoberta PASSED somente se você configurasse a gravação para todos os recursos. O CSPM do Security Hub atualizou o controle para produzir uma descoberta PASSED quando o registro está ativado para os recursos necessários para os controles habilitados. O controle também foi atualizado para verificar se a função AWS Config vinculada ao serviço é usada, o que fornece permissões para registrar os recursos necessários. |
| 8 de maio de 2024 | [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) | Esse controle verifica se um bucket versionado de uso geral do Amazon S3 tem a exclusão da autenticação multifator (MFA) habilitada. Anteriormente, o controle produzia uma descoberta FAILED para buckets com uma configuração de ciclo de vida. Porém, a exclusão da MFA com versionamento não pode ser habilitada em um bucket com uma configuração de ciclo de vida. O CSPM do Security Hub atualizou o controle para não produzir descobertas para buckets com uma configuração de ciclo de vida. O título de controle foi atualizado para refletir o comportamento atual. |
| 2 de maio de 2024 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | O CSPM do Security Hub atualizou a versão mais antiga do Kubernetes com suporte na qual o cluster do Amazon EKS pode ser executado para produzir uma descoberta aprovada. A versão atual mais antiga compatível é o Kubernetes 1.26. |
| 30 de abril de 2024 | [[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada](cloudtrail-controls.md#cloudtrail-3) | O título de controle alterado de CloudTrail deve ser ativado para Pelo menos uma CloudTrail trilha deve ser ativada. Atualmente, esse controle produz uma PASSED descoberta se um Conta da AWS tiver pelo menos uma CloudTrail trilha ativada. O título e a descrição foram alterados para refletir com precisão o comportamento atual. |
| 29 de abril de 2024 | [[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB](autoscaling-controls.md#autoscaling-1) | Título do controle alterado de Os grupos do Auto Scaling associados a um Classic Load Balancer devem usar verificações de integridade de balanceador de carga para Os grupos do Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB. Atualmente, esse controle avalia os balanceadores de carga de aplicações, gateways, redes e os balanceadores de carga clássicos. O título e a descrição foram alterados para refletir com precisão o comportamento atual. |
| 19 de abril de 2024 | [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1) | O controle verifica se AWS CloudTrail está habilitado e configurado com pelo menos uma trilha multirregional que inclui eventos de gerenciamento de leitura e gravação. Anteriormente, o controle gerava PASSED descobertas incorretamente quando uma conta era CloudTrail ativada e configurada com pelo menos uma trilha multirregional, mesmo que nenhuma trilha capturasse eventos de gerenciamento de leitura e gravação. O controle agora gera uma PASSED descoberta somente quando CloudTrail está habilitado e configurado com pelo menos uma trilha multirregional que captura eventos de gerenciamento de leitura e gravação. |
| 10 de abril de 2024 | [Athena.1] Os grupos de trabalho do Athena devem ser criptografados em repouso | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Os grupos de trabalho do Athena enviam logs para os buckets do Amazon Simple Storage Service (Amazon S3). O Amazon S3 agora fornece criptografia padrão com chaves gerenciadas do S3 (SS3-S3) em buckets S3 novos e existentes. |
| 10 de abril de 2024 | [AutoScaling.4] A configuração de inicialização do grupo Auto Scaling não deve ter um limite de salto de resposta de metadados maior que 1 | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Os limites de saltos de resposta de metadados para instâncias do Amazon Elastic Compute Cloud (Amazon EC2) dependem da workload. |
| 10 de abril de 2024 | [CloudFormation.1] CloudFormation as pilhas devem ser integradas ao Simple Notification Service (SNS) | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Integrar as pilhas do AWS CloudFormation a tópicos do Amazon SNS não é mais uma prática recomendada de segurança. Embora a integração de CloudFormation pilhas importantes com tópicos do SNS possa ser útil, ela não é necessária para todas as pilhas. |
| 10 de abril de 2024 | [CodeBuild.5] ambientes de CodeBuild projeto não devem ter o modo privilegiado ativado | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Ativar o modo privilegiado em um CodeBuild projeto não impõe um risco adicional ao ambiente do cliente. |
| 10 de abril de 2024 | [IAM.20] Evitar o uso do usuário-raiz | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. O objetivo desse controle é coberto por outro controle, [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1). |
| 10 de abril de 2024 | [SNS.2] O registro em log do status de entrega deve ser habilitado para mensagens de notificação enviadas a um tópico | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Registrar em log o status de entrega dos tópicos do SNS não é mais uma prática recomendada de segurança. Embora o registro em log do status de entrega de tópicos importantes do SNS possa ser útil, não é necessário para todos os tópicos. |
| 10 de abril de 2024 | [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) | O Security Hub CSPM removeu esse controle do AWS Foundational Security Best Practices and Service-Managed Standard:. AWS Control Tower O objetivo desse controle é coberto por outros dois controles, [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) e [[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado](s3-controls.md#s3-14). Esse controle ainda faz parte do NIST SP 800-53 Rev. 5. |
| 10 de abril de 2024 | [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) | O Security Hub CSPM removeu esse controle do AWS Foundational Security Best Practices and Service-Managed Standard:. AWS Control Tower Embora haja alguns casos em que as notificações de eventos para buckets do S3 sejam úteis, essa não é uma prática recomendada de segurança universal. Esse controle ainda faz parte do NIST SP 800-53 Rev. 5. |
| 10 de abril de 2024 | [[SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS](sns-controls.md#sns-1) | O Security Hub CSPM removeu esse controle do AWS Foundational Security Best Practices and Service-Managed Standard:. AWS Control Tower Por padrão, o SNS criptografa tópicos em repouso com criptografia em disco. Para obter mais informações, consulte [Criptografia de dados](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html). Usar AWS KMS para criptografar tópicos não é mais recomendado como uma prática recomendada de segurança. Esse controle ainda faz parte do NIST SP 800-53 Rev. 5. |
| 8 de abril de 2024 | [[ELB.6] A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada](elb-controls.md#elb-6) | Título do controle alterado de A proteção contra exclusão do Application Load Balancer deve estar habilitada para Os balanceadores de carga de aplicações, gateways e redes devem ter a proteção contra exclusão habilita. Atualmente, esse controle avalia os balanceadores de carga de aplicações, gateways e redes. O título e a descrição foram alterados para refletir com precisão o comportamento atual. |
| 22 de março de 2024 | [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) | O título de controle alterado de Conexões a OpenSearch domínios deve ser criptografado usando TLS 1.2 para Conexões a OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente. Anteriormente, o controle só verificava se as conexões com OpenSearch domínios usavam o TLS 1.2. O controle agora produz uma PASSED descoberta se os OpenSearch domínios estão criptografados usando a política de segurança TLS mais recente. O título do controle foi atualizado para refletir o comportamento atual. |
| 22 de março de 2024 | [[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente](es-controls.md#es-8) | Título do controle alterado de As conexões com os domínios do Elasticsearch devem ser criptografadas usando o TLS 1.2 para As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente. Anteriormente, o controle verificava apenas se as conexões com os domínios do Elasticsearch usavam o TLS 1.2. O controle agora produz uma descoberta PASSED se os domínios do Elasticsearch forem criptografados usando a política de segurança TLS mais recente. O título do controle foi atualizado para refletir o comportamento atual. |
| 12 de março de 2024 | [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1) | Título alterado de A configuração de bloqueio do acesso público do S3 deve estar habilitada para Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura](s3-controls.md#s3-2) | Título alterado de Os buckets do S3 devem proibir o acesso público para leitura para Os buckets de uso geral do S3 devem bloquear o acesso público para leitura. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação](s3-controls.md#s3-3) | Título alterado de Os buckets do S3 devem proibir o acesso público para gravação para Os buckets de uso geral do S3 devem bloquear o acesso público para gravação. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5) | Título alterado de Os buckets do S3 devem exigir que as solicitações usem Secure Socket Layer para Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS](s3-controls.md#s3-6) | Título alterado de As permissões do S3 concedidas a outras Contas da AWS nas políticas de bucket devem ser restritas para As políticas de bucket de uso geral do S3 devem restringir o acesso a outras Contas da AWS. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) | Título alterado de Os buckets do S3 devem ter a replicação entre regiões habilitada para Os buckets de uso geral do S3 devem usar replicação entre regiões. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) | Título alterado de Os buckets do S3 devem ter a replicação entre regiões habilitada para Os buckets de uso geral do S3 devem usar replicação entre regiões. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8) | Título alterado de A configuração de bloqueio do acesso público do S3 deve estar habilitada ao nível do bucket para Os buckets de uso geral do S3 devem bloquear o acesso público. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado](s3-controls.md#s3-9) | Título alterado de O registro em log de acesso ao servidor de buckets do S3 deve ser habilitado para O registro em log de acesso ao servidor deve ser habilitado para os buckets de uso geral do S3. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) | O título alterado de Os buckets do S3 com versionamento habilitado devem ter políticas de ciclo de vida configuradas para Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) | Título alterado de Os buckets do S3 devem ter as notificações de eventos habilitadas para Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) | O título alterado das listas de controle de acesso (ACLs) do S3 não deve ser usado para gerenciar o acesso do usuário aos buckets e não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) | Título alterado de Os buckets do S3 devem ter políticas de ciclo de vida configuradas para Os buckets de uso geral do S3 devem ter configurações de ciclo de vida. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado](s3-controls.md#s3-14) | Título alterado de Os buckets do S3 deve usar versionamento para Os buckets de uso geral do S3 devem ter o versionamento habilitado. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado](s3-controls.md#s3-15) | Título alterado de Os buckets do S3 devem ser configurados para usar o Bloqueio de Objetos para Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17) | Título alterado de Os buckets do S3 devem ser criptografados em repouso com AWS KMS keys para Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 7 de março de 2024 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a nodejs20.x e ruby3.3 como parâmetros. |
| 22 de fevereiro de 2024 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a dotnet8 como parâmetro. |
| 5 de fevereiro de 2024 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | O CSPM do Security Hub atualizou a versão mais antiga do Kubernetes com suporte na qual o cluster do Amazon EKS pode ser executado para produzir uma descoberta aprovada. A versão atual mais antiga compatível é o Kubernetes 1.25. |
| 10 de janeiro de 2024 | [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) | O título alterado de CodeBuild GitHub ou o repositório de origem do Bitbucket URLs deve ser usado OAuth para o repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais. O Security Hub CSPM removeu a menção OAuth porque outros métodos de conexão também podem ser seguros. O CSPM do Security Hub removeu a menção GitHub porque não é mais possível ter um token de acesso pessoal ou nome de usuário e senha no repositório de GitHub origem. URLs |
| 8 de janeiro de 2024 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub não oferece mais suporte a go1.x e java8 como parâmetros porque esses são runtimes descontinuados. |
| 29 de dezembro de 2023 | [[RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada](rds-controls.md#rds-8) | O RDS.8 verifica se uma instância de banco de dados Amazon RDS que use um dos mecanismos de banco de dados com suporte tem a proteção contra exclusão habilitada. O CSPM do Security Hub agora oferece suporte a custom-oracle-ee, oracle-ee-cdb e oracle-se2-cdb como mecanismos de banco de dados. |
| 22 de dezembro de 2023 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a java21 e python3.12 como parâmetros. O CSPM do Security Hub não oferece mais suporte a ruby2.7 como parâmetro. |
| 15 de dezembro de 2023 | [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) | CloudFront.1 verifica se uma CloudFront distribuição da Amazon tem um objeto raiz padrão configurado. O CSPM do Security Hub reduziu a gravidade desse controle de CRÍTICA para ALTA, pois adicionar o objeto raiz padrão é uma recomendação que depende da aplicação do usuário e dos requisitos específicos. |
| 5 de dezembro de 2023 | [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13) | Título de controle alterado de Grupos de segurança não deve permitir a entrada de 0.0.0.0/0 na porta 22 para Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22. |
| 5 de dezembro de 2023 | [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) | Título de controle alterado de Certifique-se de que nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 3389 para Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389. |
| 5 de dezembro de 2023 | [[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch](rds-controls.md#rds-9) | O título de controle alterado do Registro do banco de dados deve ser habilitado para que as instâncias de banco de dados do RDS publiquem os registros nos CloudWatch registros. O Security Hub CSPM identificou que esse controle só verifica se os registros estão publicados no Amazon CloudWatch Logs e não verifica se os registros do RDS estão habilitados. O controle produz uma PASSED descoberta se as instâncias de banco de dados do RDS estão configuradas para publicar registros no CloudWatch Logs. O título de controle foi atualizado para refletir o comportamento atual. |
| 5 de dezembro de 2023 | [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) | Esse controle verifica se os clusters do Amazon EKS têm o registro em log de auditoria habilitado. A AWS Config regra que o Security Hub CSPM usa para avaliar esse controle mudou de eks-cluster-logging-enabled para. eks-cluster-log-enabled |
| 17 de novembro de 2023 | [[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco](ec2-controls.md#ec2-19) | O EC2.19 verifica se o tráfego de entrada irrestrito para um grupo de segurança está acessível às portas especificadas que são consideradas de alto risco. O CSPM do Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'. |
| 16 de novembro de 2023 | [[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas](cloudwatch-controls.md#cloudwatch-15) | O título de controle alterado de CloudWatch alarmes deve ter uma ação configurada para o estado ALARME e CloudWatch os alarmes devem ter ações especificadas configuradas. |
| 16 de novembro de 2023 | [[CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado](cloudwatch-controls.md#cloudwatch-16) | O título de controle alterado dos grupos de CloudWatch registros deve ser mantido por pelo menos 1 ano; os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado. |
| 16 de novembro de 2023 | [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) | Título de controle alterado de As funções do Lambda da VPC devem operar em mais de uma zona de disponibilidade para As funções do Lambda da VPC devem operar em várias zonas de disponibilidade. |
| 16 de novembro de 2023 | [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) | Título de controle alterado de O AWS AppSync ter o registro em log em nível de solicitação e em nível de campo ativado para O AWS AppSync deve ter o registro em log em nível de campo habilitado. |
| 16 de novembro de 2023 | [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) | O título de controle alterado dos nós principais do MapReduce cluster Amazon Elastic não deve ter endereços IP públicos para os nós primários do cluster Amazon EMR não devem ter endereços IP públicos. |
| 16 de novembro de 2023 | [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) | O título de controle alterado dos OpenSearch domínios deve estar em uma VPC OpenSearch para que os domínios não possam ser acessíveis ao público. |
| 16 de novembro de 2023 | [[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2) | Título de controle alterado de Os domínios do Elasticsearch devem estar em uma VPC para Os domínios do Elasticsearch não devem ser acessíveis publicamente. |
| 31 de outubro de 2023 | [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) | O ES.4 verifica se os domínios do Elasticsearch estão configurados para enviar registros de erro para o Amazon Logs. CloudWatch Anteriormente, o controle produziu uma PASSED descoberta para um domínio do Elasticsearch que tem todos os registros configurados para serem enviados ao CloudWatch Logs. O Security Hub CSPM atualizou o controle para produzir uma PASSED descoberta somente para um domínio do Elasticsearch que está configurado para enviar registros de erros para Logs. CloudWatch O controle também foi atualizado para excluir as versões do Elasticsearch que não oferecem suporte a logs de erros da avaliação. |
| 16 de outubro de 2023 | [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13) | O EC2.13 verifica se os grupos de segurança permitem acesso de entrada irrestrito à porta 22. O CSPM do Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'. |
| 16 de outubro de 2023 | [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) | O EC2.14 verifica se os grupos de segurança permitem acesso irrestrito à porta 3389. O CSPM do Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'. |
| 16 de outubro de 2023 | [[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas](ec2-controls.md#ec2-18) | O EC2.18 verifica se os grupos de segurança em uso não permitem tráfego de entrada irrestrito. O CSPM do Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'. |
| 16 de outubro de 2023 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a python3.11 como parâmetro. |
| 4 de outubro de 2023 | [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) | O CSPM do Security Hub adicionou o parâmetro ReplicationType com um valor de CROSS-REGION para garantir que os buckets S3 tenham a replicação entre regiões habilitada em vez da replicação na mesma região. |
| 27 de setembro de 2023 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | O CSPM do Security Hub atualizou a versão mais antiga do Kubernetes com suporte na qual o cluster do Amazon EKS pode ser executado para produzir uma descoberta aprovada. A versão atual mais antiga compatível é o Kubernetes 1.24. |
| 20 de setembro de 2023 | [CloudFront.2] CloudFront as distribuições devem ter a identidade de acesso de origem ativada | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Em vez disso, consulte [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13). O controle de acesso à origem é a prática recomendada de segurança atual. Esse controle será removido da documentação em 90 dias. |
| 20 de setembro de 2023 | [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) | O Security Hub CSPM removeu esse controle do AWS Foundational Security Best Practices (FSBP) e do National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Ainda faz parte do Service-Managed Standard:. AWS Control Tower Esse controle da produz uma descoberta aprovada se os grupos de segurança estiverem conectados a instâncias do EC2 ou a uma interface de rede elástica. No entanto, para determinados casos de uso, grupos de segurança independentes não representam um risco de segurança. É possível usar outros controles do EC2, como EC2.2, EC2.13, EC2.14, EC2.18 e EC2.19, para monitorar seus grupos de segurança. |
| 20 de setembro de 2023 | [EC2.29] As instâncias do EC2 devem ser lançadas em uma VPC | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. O Amazon EC2 migrou instâncias do EC2-Classic para uma VPC. Esse controle será removido da documentação em 90 dias. |
| 20 de setembro de 2023 | [S3.4] Os buckets do S3 devem ter a criptografia no lado do servidor habilitada | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. O Amazon S3 agora fornece criptografia padrão com chaves gerenciadas do S3 (SS3-S3) em buckets S3 novos e existentes. As configurações de criptografia permanecem inalteradas para buckets existentes que são criptografados com criptografia SS3 -S3 ou SS3 -KMS do lado do servidor. Esse controle será removido da documentação em 90 dias. |
| 14 de setembro de 2023 | [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2) | Título de controle alterado de O grupo de segurança padrão da VPC não deve permitir tráfego de entrada e saída para Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída. |
| 14 de setembro de 2023 | [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) | Título de controle alterado de Virtual MFA deve ser habilitado para o usuário raiz para MFA deve ser habilitado para o usuário raiz. |
| 14 de setembro de 2023 | [[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster](rds-controls.md#rds-19) | Título de controle alterado de Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do cluster para As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos do cluster. |
| 14 de setembro de 2023 | [[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados](rds-controls.md#rds-20) | Título de controle alterado de Uma assinatura de notificações de eventos RDS deve ser configurada para eventos críticos de instância de banco de dados para Assinaturas de notificação de eventos RDS existentes devem ser configuradas para eventos críticos de instância de banco de dados. |
| 14 de setembro de 2023 | [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) | Título de controle alterado de Uma regra regional do WAF deve ter pelo menos uma condição para as regras regionais clássicas do AWS WAF devem ter pelo menos uma condição. |
| 14 de setembro de 2023 | [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) | Título de controle alterado de Um grupo de regras regionais do WAF deve ter pelo menos uma regra para grupos de regras regionais clássicas AWS WAF devem ter pelo menos uma regra. |
| 14 de setembro de 2023 | [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) | O título de controle alterado de Uma ACL da web regional do WAF deve ter pelo menos uma regra ou grupo de regras para a web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras. |
| 14 de setembro de 2023 | [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) | Título de controle alterado de Uma regra global do WAF deve ter pelo menos uma condição para As regras globais clássicas do AWS WAF devem ter pelo menos uma condição. |
| 14 de setembro de 2023 | [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) | Título de controle alterado de Um grupo de regras globais do WAF deve ter pelo menos uma regra para grupos de regras globais clássicas do AWS WAF devem ter pelo menos uma regra. |
| 14 de setembro de 2023 | [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) | O título de controle alterado de Uma ACL da Web global do WAF deve ter pelo menos uma regra ou grupo de regras para a Web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras. |
| 14 de setembro de 2023 | [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) | O título de controle alterado de Uma ACL WAFv2 da web deve ter pelo menos uma regra ou grupo de regras para a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras. |
| 14 de setembro de 2023 | [[WAF.11] O registro de ACL AWS WAF da web deve estar ativado](waf-controls.md#waf-11) | Título de controle alterado de ACL da web v2 do AWS WAF deve ser ativada para o logging de ACL da web do AWS WAF deve ser ativado. |
| 20 de julho de 2023 | [S3.4] Os buckets do S3 devem ter a criptografia no lado do servidor habilitada | S3.4 verifica se um bucket do Amazon S3 tem criptografia no lado do servidor habilitada ou se a política do bucket do S3 nega explicitamente solicitações do PutObject sem criptografia no lado do servidor. O CSPM do Security Hub atualizou esse controle para incluir criptografia no lado do servidor de camada dupla com chaves do KMS (DSSE-KMS). O controle produz uma descoberta aprovada quando um bucket do S3 é criptografado com SSE-S3, SSE-KMS ou DSSE-KMS. |
| 17 de julho de 2023 | [[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17) | O S3.17 verifica se um bucket do Amazon S3 está criptografado com um AWS KMS key. O CSPM do Security Hub atualizou esse controle para incluir criptografia no lado do servidor de camada dupla com chaves do KMS (DSSE-KMS). O controle produz uma descoberta aprovada quando um bucket do S3 é criptografado com SSE-KMS ou DSSE-KMS. |
| 9 de junho de 2023 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | O EKS.2 verifica se um cluster do Amazon EKS está sendo executado em uma versão compatível do Kubernetes. A versão mais antiga compatível agora é 1.23. |
| 9 de junho de 2023 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a ruby3.2 como parâmetro. |
| 5 de junho de 2023 | [[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso](apigateway-controls.md#apigateway-5) | APIGateway.5.verifica se todos os métodos nos estágios da API REST do Amazon API Gateway estão criptografados em repouso. O CSPM do Security Hub atualizou o controle para avaliar a criptografia de um método específico somente quando o armazenamento em cache estiver habilitado para esse método. |
| 18 de maio de 2023 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a java17 como parâmetro. |
| 18 de maio de 2023 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub não oferece mais suporte a nodejs12.x como parâmetro. |
| 23 de abril de 2023 | [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) | O ECS.10 verifica se os serviços do Amazon ECS Fargate estão executando a versão da plataforma Fargate mais recente. Os clientes podem implantar o Amazon ECS por meio do ECS diretamente ou usando. CodeDeploy O Security Hub CSPM atualizou esse controle para produzir descobertas aprovadas quando você usa CodeDeploy para implantar serviços ECS Fargate. |
| 20 de abril de 2023 | [[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS](s3-controls.md#s3-6) | O S3.6 verifica se uma política de bucket do Amazon Simple Storage Service (Amazon S3) impede que entidades principais de Contas da AWS terceiros executem ações negadas em recursos no bucket do S3. O CSPM do Security Hub atualizou o controle para considerar as condicionais em uma política de bucket. |
| 18 de abril de 2023 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a python3.10 como parâmetro. |
| 18 de abril de 2023 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub não oferece mais suporte a dotnetcore3.1 como parâmetro. |
| 17 de abril de 2023 | [[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados](rds-controls.md#rds-11) | O RDS.11 verifica se as instâncias do Amazon RDS têm backups automatizados habilitados, com um período de retenção de backup maior ou igual a sete dias. O CSPM do Security Hub atualizou esse controle para excluir réplicas de leitura da avaliação, pois nem todos os mecanismos oferecem suporte a backups automatizados em réplicas de leitura. Além disso, o RDS não oferece a opção de especificar um período de retenção de backup ao criar réplicas de leitura. As réplicas de leitura são criadas com um período de retenção de backup de 0 por padrão. |
# Controles CSPM do Security Hub para Contas da AWS
Esses controles CSPM do Security Hub avaliam. Contas da AWS
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.2, NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Identificar > Configuração de recursos
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se uma conta da Amazon Web Services (AWS) tem informações de contato de segurança. O controle falhará se as informações de contato de segurança não forem fornecidas para a conta.
Contatos de segurança alternativos AWS permitem que você entre em contato com outra pessoa sobre problemas com sua conta, caso você não esteja disponível. As notificações podem ser de Suporte, ou de outras AWS service (Serviço da AWS) equipes, sobre tópicos relacionados à segurança associados ao seu uso. Conta da AWS
### Correção
Para adicionar um contato alternativo como contato de segurança ao seu Conta da AWS, consulte [Atualizar os contatos alternativos para você Conta da AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) no *Guia de referência de gerenciamento de AWS contas*.
## [A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations
**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Gravidade:** alta
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um Conta da AWS faz parte de uma organização gerenciada por AWS Organizations. O controle falhará se a conta não fizer parte de uma organização.
O Organizations ajuda você a gerenciar centralmente seu ambiente à medida que você expande suas cargas de trabalho. AWSÉ possível usar várias Contas da AWS para isolar workloads que tenham requisitos de segurança específicos ou para cumprir estruturas como HIPAA ou PCI. Ao criar uma organização, você pode administrar várias contas como uma única unidade e gerenciar centralmente seus acessos Serviços da AWS, recursos e regiões.
### Correção
Para criar uma nova organização e Contas da AWS adicioná-la automaticamente, consulte [Criação de uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) no *Guia do AWS Organizations usuário*. Para adicionar contas a uma organização existente, consulte [Convidar um membro Conta da AWS para participar da sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) no *Guia do AWS Organizations usuário*.
# Controles CSPM do Security Hub para AWS Amplify
Esses controles CSPM do Security Hub avaliam o AWS Amplify serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Amplify.1] As aplicações do Amplify devem ser marcadas com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Amplify::App`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AWS Amplify aplicativo tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se a aplicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a aplicação não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre como adicionar tags a um AWS Amplify aplicativo, consulte [Suporte à marcação de recursos](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) no *Guia do usuário do AWS Amplify Hosting*.
## [Amplify.2] As ramificações do Amplify devem ser marcadas com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Amplify::Branch`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma AWS Amplify ramificação tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se a ramificação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a ramificação não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre como adicionar tags a uma AWS Amplify ramificação, consulte [Suporte à marcação de recursos](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) no *Guia do usuário do AWS Amplify Hosting*.
# Controles de CSPM do Security Hub para o Amazon API Gateway
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon API Gateway. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [APIGateway.1] O REST do API Gateway e o registro de execução WebSocket da API devem estar habilitados
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::ApiGateway::Stage`,`AWS::ApiGatewayV2::Stage`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `loggingLevel` | Nível de registro | Enum | `ERROR`, `INFO` | `No default value` |
Esse controle verifica se todos os estágios de uma REST ou API do Amazon WebSocket API Gateway têm o registro ativado. O controle falhará se o `loggingLevel` não for `ERROR` ou `INFO` em todos os estágios da API. A menos que você forneça valores de parâmetros personalizados para indicar que um tipo de log específico deve ser habilitado, o Security Hub CSPM produzirá uma descoberta aprovada se o nível de registro for ou`ERROR`. `INFO`
Os estágios REST ou WebSocket API do API Gateway devem ter os registros relevantes habilitados. O REST do WebSocket API Gateway e o registro de execução da API fornecem registros detalhados das solicitações feitas nos estágios REST e WebSocket API do API Gateway. Os estágios incluem respostas de back-end de integração de API, respostas do autorizador Lambda e `requestId` endpoints de integração for. AWS
### Correção
Para ativar o registro em log para operações de WebSocket REST e API, consulte [Configurar o registro de CloudWatch API usando o console do API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) no *Guia do desenvolvedor do API Gateway*.
## [APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-8
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::ApiGateway::Stage`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os estágios da API REST do Amazon API Gateway têm certificados SSL configurados. Os sistemas de back-end usam esses certificados para autenticar que as solicitações recebidas são da API Gateway.
Os estágios da API REST da API Gateway devem ser configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas da API Gateway.
### Correção
Para obter instruções detalhadas sobre como gerar e configurar certificados SSL da API REST da API Gateway, consulte [Gerar e configurar um certificado SSL para autenticação de back-end](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html) no *Guia do desenvolvedor do API Gateway*.
## [APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado
**Requisitos relacionados:** NIST.800-53.r5 CA-7
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::ApiGateway::Stage`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o rastreamento AWS X-Ray ativo está habilitado para os estágios da API REST do Amazon API Gateway.
O rastreamento ativo X-Ray permite uma resposta mais rápida às alterações de performance na infraestrutura subjacente. Alterações na performance podem resultar na falta de disponibilidade da API. O rastreamento ativo do X-Ray fornece métricas em tempo real das solicitações do usuário que fluem pelas operações da API REST da API Gateway e serviços conectados.
### Correção
Para obter instruções detalhadas sobre como habilitar o rastreamento ativo do X-Ray para operações de API REST do API Gateway, consulte o [suporte ao rastreamento ativo do Amazon API Gateway para AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html) no *Guia do desenvolvedor do AWS X-Ray *.
## [APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21)
**Categoria:** Proteger > Serviços de proteção
**Gravidade:** média
**Tipo de recurso:** `AWS::ApiGateway::Stage`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um estágio do API Gateway usa uma lista de controle de acesso à AWS WAF web (ACL). Esse controle falhará se uma AWS WAF Web ACL não estiver conectada a um estágio do REST API Gateway.
AWS WAF é um firewall de aplicativos da web que ajuda a proteger os aplicativos da web e APIs contra ataques. Isso permite configurar um ACL, que é conjunto de regras que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Certifique-se de que seu estágio do API Gateway esteja associado a uma ACL AWS WAF da web para ajudar a protegê-lo contra ataques maliciosos.
### Correção
Para obter informações sobre como usar o console do API Gateway para associar uma ACL da web AWS WAF regional a um estágio de API do API Gateway existente, consulte Como [usar AWS WAF para proteger sua APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) no *Guia do desenvolvedor do API Gateway*.
## [APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de dados em repouso
**Gravidade:** média
**Tipo de recurso:** `AWS::ApiGateway::Stage`
**AWS Config regra:** `api-gw-cache-encrypted` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se todos os métodos nos estágios da API REST do API Gateway que têm o cache ativado estão criptografados. O controle falhará se algum método em um estágio da API REST do API Gateway estiver configurado para armazenar em cache e o cache não estiver criptografado. O Security Hub CSPM avalia a criptografia de um método específico somente quando o armazenamento em cache está habilitado para esse método.
Criptografar dados em repouso reduz o risco de os dados armazenados em disco serem acessados por um usuário não autenticado. AWS Ele adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessarem os dados. Por exemplo, as permissões da API são necessárias para descriptografar os dados antes que eles possam ser lidos.
Os caches da API REST do API Gateway devem ser criptografados em repouso para uma camada adicional de segurança.
### Correção
Para configurar o cache da API para um estágio, consulte [Habilitar o armazenamento em cache do Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching) no *Guia do desenvolvedor do API Gateway*. Em **Configurações de cache**, escolha **Criptografar dados de cache**.
## [APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
**Requisitos relacionados:** NIST.800-53.r5 AC-3, NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::ApiGatewayV2::Route`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `authorizationType` | Tipo de autorização das rotas de API | Enum | `AWS_IAM`, `CUSTOM`, `JWT` | Nenhum valor padrão |
Esse controle verifica se as rotas do Amazon API Gateway têm um tipo de autorização. O controle falhará se a rota do API Gateway não tiver nenhum tipo de autorização. Opcionalmente, é possível fornecer um valor de parâmetro personalizado se quiser que o controle passe somente se a rota usar o tipo de autorização especificado no parâmetro `authorizationType`.
O API Gateway oferece suporte a vários mecanismos de controle e gerenciamento de acesso à sua API. Ao especificar um tipo de autorização, você pode restringir o acesso à sua API somente a usuários ou processos autorizados.
### Correção
Para definir um tipo de autorização para HTTP APIs, consulte [Controle e gerenciamento do acesso a uma API HTTP no API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html) no *Guia do desenvolvedor do API Gateway*. Para definir um tipo de autorização para WebSocket APIs, consulte [Controle e gerenciamento do acesso a uma WebSocket API no API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html) no *Guia do desenvolvedor do API Gateway*.
## [APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::ApiGatewayV2::Stage`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os estágios do Amazon API Gateway V2 têm o registro em log de acesso configurado. Esse controle falhará se as configurações do log de acesso não estiverem definidas.
Os logs de acesso ao API Gateway fornecem informações detalhadas sobre quem acessou sua API e como o chamador acessou a API. Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Habilite esses logs de acesso para analisar padrões de tráfego e solucionar problemas.
Para obter mais práticas recomendadas, consulte [Monitoramento de REST APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html) no *Guia do desenvolvedor do API Gateway*.
### Correção
Para configurar o registro de acesso, consulte [Configurar o registro de CloudWatch API usando o console do API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) no *Guia do desenvolvedor do API Gateway*.
## [APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::ApiGatewayV2::Integration`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma integração do API Gateway V2 tem HTTPS habilitado para conexões privadas. O controle falhará se uma conexão privada não tiver o TLS configurado.
Os VPC Links conectam o API Gateway a recursos privados. Embora os VPC Links criem conectividade privada, eles não criptografam dados inerentemente. A configuração do TLS garante o uso de HTTPS para end-to-end criptografia do cliente por meio do API Gateway até o back-end. Sem o TLS, o tráfego confidencial da API flui sem criptografia em conexões privadas. A criptografia HTTPS protege o tráfego por meio de conexões privadas contra interceptação de dados, man-in-the-middle ataques e exposição de credenciais.
### Correção
Para habilitar a criptografia em trânsito para conexões privadas em uma integração do API Gateway v2, consulte [Atualizar uma integração privada](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update) no *Guia do desenvolvedor do Amazon API Gateway*. Configure a [configuração do TLS](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig) para que a integração privada use o protocolo HTTPS.
# Controles CSPM do Security Hub para AWS AppConfig
Esses controles CSPM do Security Hub avaliam o AWS AppConfig serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [AppConfig.1] os AWS AppConfig aplicativos devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AppConfig::Application`
**Regra do AWS Config :** `appconfig-application-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AWS AppConfig aplicativo tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se a aplicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a aplicação não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um AWS AppConfig aplicativo, consulte [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)na *Referência da AWS AppConfig API*.
## [AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AppConfig::ConfigurationProfile`
**Regra do AWS Config :** `appconfig-configuration-profile-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um perfil de AWS AppConfig configuração tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se o perfil de configuração não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o perfil de configuração não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um perfil de AWS AppConfig configuração, consulte [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)na *Referência da AWS AppConfig API*.
## [AppConfig.3] AWS AppConfig ambientes devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AppConfig::Environment`
**Regra do AWS Config :** `appconfig-environment-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AWS AppConfig ambiente tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se o ambiente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o ambiente não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um AWS AppConfig ambiente, consulte [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)na *Referência da AWS AppConfig API*.
## [AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AppConfig::ExtensionAssociation`
**Regra do AWS Config :** `appconfig-extension-association-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma associação de AWS AppConfig extensão tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se a associação de extensão não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a associação da extensão não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a uma associação AWS AppConfig de extensão, consulte [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)na *Referência da AWS AppConfig API*.
# Controles CSPM do Security Hub para Amazon AppFlow
Esses controles CSPM do Security Hub avaliam o AppFlow serviço e os recursos da Amazon.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AppFlow::Flow`
**Regra do AWS Config :** `appflow-flow-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AppFlow fluxo da Amazon tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se o fluxo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o fluxo não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um AppFlow fluxo da Amazon, consulte [Criação de fluxos na Amazon AppFlow](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html) no *Guia AppFlow do usuário da Amazon*.
# Controles CSPM do Security Hub para AWS App Runner
Esses AWS Security Hub CSPM controles avaliam o AWS App Runner serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [AppRunner.1] Os serviços do App Runner devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AppRunner::Service`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AWS App Runner serviço tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se o serviço do App Runner não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o serviço do App Runner não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para obter informações sobre como adicionar tags a um AWS App Runner serviço, consulte [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)a *Referência AWS App Runner da API*.
## [AppRunner.2] Os conectores VPC do App Runner devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AppRunner::VpcConnector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um conector AWS App Runner VPC tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o conector da VPC não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o conector da VPC não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para obter informações sobre como adicionar tags a um conector AWS App Runner VPC, consulte a [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)Referência da *AWS App Runner API*.
# Controles CSPM do Security Hub para AWS AppSync
Esses controles CSPM do Security Hub avaliam o AWS AppSync serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso
**Importante**
O Security Hub CSPM retirou esse controle em 9 de março de 2026. Para obter mais informações, consulte[Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md). AWS AppSync agora fornece criptografia padrão em todos os caches de API atuais e futuros.
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::AppSync::GraphQLApi`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cache de AWS AppSync API está criptografado em repouso. O controle falhará se o cache de AP não for criptografado em repouso.
Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.
### Correção
Você não pode alterar as configurações de criptografia depois de ativar o armazenamento em cache para sua AWS AppSync API. Em vez disso, é necessário excluir o cache e recriá-lo com a criptografia habilitada. Para obter mais informações, consulte [Cache encryption](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) no *AWS AppSync Developer Guide*.
## [AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::AppSync::GraphQLApi`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `fieldLoggingLevel` | Nível de registro em log de campo | Enum | `ERROR`, `ALL`, `INFO`, `DEBUG` | `No default value` |
Esse controle verifica se uma AWS AppSync API tem o registro em nível de campo ativado. O controle falhará se o nível do log do resolvedor de campo estiver definido como **Nenhum**. A menos que você forneça valores de parâmetros personalizados para indicar que um tipo de log específico deve ser habilitado, o Security Hub CSPM produzirá uma descoberta aprovada se o nível do log do resolvedor de campo for ou`ERROR`. `ALL`
É possível usar o registro em log e as métricas para identificar, solucionar problemas e otimizar as consultas do GraphQL. Ativar o registro no AWS AppSync GraphQL ajuda você a obter informações detalhadas sobre solicitações e respostas de API, identificar e responder a problemas e cumprir os requisitos regulatórios.
### Correção
Para ativar o registro em log AWS AppSync, consulte [Instalação e configuração](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration) no *Guia do AWS AppSync desenvolvedor*.
## [AppSync.4] AWS AppSync APIs GraphQL deve ser marcado
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AppSync::GraphQLApi`
**AWS Config regra:** `tagged-appsync-graphqlapi` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma API do AWS AppSync GraphQL tem tags com as chaves específicas definidas no parâmetro. `requiredTagKeys` O controle falhará se a API do GraphQL não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a API do GraphQL não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma API do AWS AppSync GraphQL, consulte [https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)na Referência da *AWS AppSync API*.
## [AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
**Gravidade:** alta
**Tipo de recurso:** `AWS::AppSync::GraphQLApi`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `AllowedAuthorizationTypes`: ` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS` (não personalizável)
Esse controle verifica se seu aplicativo usa uma chave de API para interagir com uma API do AWS AppSync GraphQL. O controle falhará se uma API do AWS AppSync GraphQL for autenticada com uma chave de API.
Uma chave de API é um valor codificado em seu aplicativo que é gerado pelo AWS AppSync serviço quando você cria um endpoint GraphQL não autenticado. Se essa chave de API for comprometida, seu endpoint ficará vulnerável ao acesso não intencional. A menos que você ofereça suporte a um aplicativo ou site acessível ao público, não recomendamos o uso de uma chave de API para autenticação.
### Correção
Para definir uma opção de autorização para sua API do AWS AppSync GraphQL, consulte [Autorização e autenticação](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html) no Guia do *AWS AppSync desenvolvedor*.
## [AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito
**Importante**
O Security Hub CSPM retirou esse controle em 9 de março de 2026. Para obter mais informações, consulte[Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md). AWS AppSync agora fornece criptografia padrão em todos os caches de API atuais e futuros.
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::AppSync::ApiCache`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cache de AWS AppSync API está criptografado em trânsito. O controle falhará se o cache de AP não for criptografado em trânsito.
Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.
### Correção
Você não pode alterar as configurações de criptografia depois de ativar o armazenamento em cache para sua AWS AppSync API. Em vez disso, é necessário excluir o cache e recriá-lo com a criptografia habilitada. Para obter mais informações, consulte [Cache encryption](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) no *AWS AppSync Developer Guide*.
# Controles de CSPM do Security Hub para Amazon Athena
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Athena. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Athena.1] Os grupos de trabalho do Athena devem ser criptografados em repouso
**Importante**
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).
**Categoria:** Proteger > Proteção de dados > Criptografia de dados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
**Gravidade:** média
**Tipo de recurso:** `AWS::Athena::WorkGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo de trabalho do Athena está criptografado em repouso. Esse controle falha se um grupo de trabalho do Athena não estiver criptografado em repouso.
No Athena, você pode criar grupos de trabalho para executar consultas para equipes, aplicativos ou workloads diferentes. Cada grupo de trabalho tem uma configuração para ativar a criptografia em todas as consultas. Você tem a opção de usar criptografia do lado do servidor com chaves gerenciadas do Amazon Simple Storage Service (Amazon S3), criptografia do lado do servidor com chaves AWS KMS() ou criptografia do lado do cliente AWS Key Management Service com chaves KMS gerenciadas pelo cliente. Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los.
### Correção
Para habilitar a criptografia em repouso para grupos de trabalho do Athena, consulte [Editar um grupo de trabalho](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups) no *Guia do usuário do Amazon Athena*. Na seção **Configuração do resultado da consulta**, selecione **Criptografar resultados da consulta**.
## [Athena.2] Os catálogos de dados do Athena devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Athena::DataCatalog`
**AWS Config regra:** `tagged-athena-datacatalog` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um catálogo de dados do Amazon Athena tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o catálogo de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o catálogo de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um catálogo de dados do Athena, consulte [Marcar recursos do Athena com tags](https://docs.aws.amazon.com/athena/latest/ug/tags.html) no *Guia do usuário do Amazon Athena*.
## [Athena.3] Os grupos de trabalho do Athena devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Athena::WorkGroup`
**AWS Config regra:** `tagged-athena-workgroup` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um grupo de trabalho do Amazon Athena tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o grupo de trabalho não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de trabalho não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um grupo de trabalho do Athena, consulte [Adicionar e excluir tags em um grupo de trabalho individual](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete) no *Guia do usuário do Amazon Athena.*
## [Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::Athena::WorkGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo de trabalho do Amazon Athena tem o registro em log habilitado. O controle falhará se o grupo de trabalho não tiver o registro em log habilitado.
Os logs de auditoria rastreiam e monitoram as atividades do sistema. Eles fornecem um registro de eventos que pode ajudar você a detectar as violações de segurança, investigar os incidentes e cumprir os regulamentos. Os logs de auditoria também aprimoram a responsabilização e a transparência da organização em geral.
### Correção
*Para obter informações sobre como habilitar o registro em um grupo de trabalho do Athena, consulte [Habilitar métricas de CloudWatch consulta no Athena no Guia do usuário do](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html) Amazon Athena.*
# Controles CSPM do Security Hub para AWS Backup
Esses controles CSPM do Security Hub avaliam o AWS Backup serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CP-9(8), NIST.800-53.r5 SI-12
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::Backup::RecoveryPoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um ponto AWS Backup de recuperação está criptografado em repouso. O controle falhará se o ponto de recuperação não estiver criptografado em repouso.
Um ponto de AWS Backup recuperação se refere a uma cópia ou instantâneo específico dos dados que é criado como parte de um processo de backup. Ele representa um momento específico em que o backup dos dados foi feito e serve como um ponto de restauração caso os dados originais sejam perdidos, corrompidos ou fiquem inacessíveis. Criptografar os pontos de recuperação de backup adicionará uma camada extra de proteção contra acesso não autorizado. A criptografia é uma prática recomendada para proteger a confidencialidade, a integridade e a segurança dos dados de backup.
### Correção
Para criptografar um ponto AWS Backup de recuperação, consulte [Criptografia para backups AWS Backup no](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html) *Guia do AWS Backup desenvolvedor*.
## [Backup.2] os pontos de AWS Backup recuperação devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Backup::RecoveryPoint`
**AWS Config regra:** `tagged-backup-recoverypoint` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um ponto de AWS Backup recuperação tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o ponto de recuperação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o ponto de recuperação não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
**Para adicionar tags a um ponto AWS Backup de recuperação**
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. No painel de navegação, selecione **Planos de backup**.
1. Selecione um plano de backup na lista.
1. Na seção **Tags do plano de backup**, escolha **Gerenciar tags**.
1. Insira a chave e o valor da tag. Escolha **Adicionar nova tag** para adicionar pares de chave-valor.
1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.
## [Backup.3] os AWS Backup cofres devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Backup::BackupVault`
**AWS Config regra:** `tagged-backup-backupvault` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AWS Backup cofre tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o ponto de recuperação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o ponto de recuperação não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
**Para adicionar tags a um AWS Backup cofre**
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. No painel de navegação, selecione **Cofres de Backup**.
1. Selecione um cofre de backup na lista.
1. Na seção **Tags de cofre de backup**, escolha **Gerenciar tags**.
1. Insira a chave e o valor da tag. Escolha **Adicionar nova tag** para adicionar pares de chave-valor.
1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.
## [Backup.4] os planos de AWS Backup relatórios devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Backup::ReportPlan`
**AWS Config regra:** `tagged-backup-reportplan` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um plano de AWS Backup relatório tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o plano de relatórios não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o plano de relatórios não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
**Para adicionar tags a um plano de AWS Backup relatório**
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. No painel de navegação, selecione **Cofres de Backup**.
1. Selecione um cofre de backup na lista.
1. Na seção **Tags de cofre de backup**, escolha **Gerenciar tags**.
1. Selecione **Adicionar nova tag**. Insira a chave e o valor da tag. Repita o procedimento para pares de chave-valor adicionais.
1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.
## [Backup.5] os planos de AWS Backup backup devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Backup::BackupPlan`
**AWS Config regra:** `tagged-backup-backupplan` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um plano de AWS Backup backup tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o plano de backup não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o plano de backup não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
**Para adicionar tags a um plano AWS Backup de backup**
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. No painel de navegação, selecione **Cofres de Backup**.
1. Selecione um cofre de backup na lista.
1. Na seção **Tags de cofre de backup**, escolha **Gerenciar tags**.
1. Selecione **Adicionar nova tag**. Insira a chave e o valor da tag. Repita o procedimento para pares de chave-valor adicionais.
1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.
# Controles CSPM do Security Hub para AWS Batch
Esses controles CSPM do Security Hub avaliam o AWS Batch serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Batch::JobQueue`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma fila de AWS Batch trabalhos tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se a fila de trabalhos não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a fila de trabalhos não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para aplicar tags a uma fila de trabalhos do Batch, consulte [Aplicação de tags em seus recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) no *Guia do usuário do AWS Batch *.
## [Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Batch::SchedulingPolicy`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma política AWS Batch de agendamento tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se a política de programação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a política de programação não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a uma política de programação do Batch, consulte [Aplicação de tags em seus recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) no *Guia do usuário do AWS Batch *.
## [Batch.3] Ambientes de computação do Batch devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Batch::ComputeEnvironment`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um ambiente AWS Batch computacional tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se o ambiente de computação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o ambiente de computação não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um ambiente de computação do Batch, consulte [Aplicação de tags em seus recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) no *Guia do usuário do AWS Batch *.
## [Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Batch::ComputeEnvironment`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se a propriedade dos recursos computacionais em um ambiente de computação do AWS Batch gerenciado tem as chaves de tag especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se a propriedade dos recursos computacionais não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se uma propriedade de recursos de computação não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`. Esse controle não avalia ambientes computacionais não gerenciados nem ambientes gerenciados que usam AWS Fargate recursos.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre como adicionar tags aos recursos computacionais em um ambiente AWS Batch computacional gerenciado, consulte [Marcar seus recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) no Guia do *AWS Batch usuário*.
# Controles CSPM do Security Hub para AWS Certificate Manager
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos AWS Certificate Manager (ACM). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado
**Requisitos relacionados:** NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::ACM::Certificate`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)
**Tipo de agendamento:** acionado por alterações e periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `daysToExpiration` | Número de dias em que o certificado ACM deve ser renovado | Inteiro | `14` para `365` | `30` |
Esse controle verifica se um certificado AWS Certificate Manager (ACM) é renovado dentro do período de tempo especificado. Ele verifica os certificados importados e os certificados fornecidos pelo ACM. O controle falhará se o certificado não for renovado dentro do período especificado. A menos que você forneça um valor de parâmetro personalizado para o período de renovação, o Security Hub CSPM usa um valor padrão de 30 dias.
O ACM renova automaticamente os certificados que usam validação do DNS. Para os certificados que usam validação de email, é necessário responder a um email de validação de domínio. O ACM não renovará automaticamente os certificados que você importar. É necessário renovar certificados importados manualmente.
### Correção
O ACM fornece renovação gerenciada para seus SSL/TLS certificados emitidos pela Amazon. Isso significa que o ACM renovará seus certificados automaticamente (se você estiver usando a validação por DNS) ou enviará avisos por e-mail quando a expiração da validade estiver se aproximando. Esses serviços são fornecidos para certificados públicos e privados do ACM.
**Para domínios validados por e-mail**
Quando um certificado está a 45 dias da expiração, o ACM envia ao proprietário do domínio um e-mail para cada nome de domínio. Para validar os domínios e concluir a renovação, é necessário responder às notificações por e-mail.
Para obter mais informações, consulte [Renovação de domínios validados por e-mail](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html) no *Guia do usuário do AWS Certificate Manager *.
**Para domínios validados por DNS**
O ACM renova automaticamente os certificados que usam a validação de DNS. 60 dias antes da expiração, o ACM verifica se o certificado pode ser renovado.
Se não puder validar um nome de domínio, o ACM enviará uma notificação de que a validação manual é necessária. O envia essas notificações 45 dias, 30 dias, 7 dias e 1 dia antes da expiração da validade.
Para obter mais informações, consulte [Renovação de domínios validados pelo DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) no *Guia do usuário do AWS Certificate Manager *.
## [ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits
**Requisitos relacionados:** PCI DSS v4.0.1/4.2.1
**Categoria:** Identificar > Inventário > Serviços de inventário
**Gravidade:** alta
**Tipo de recurso:** `AWS::ACM::Certificate`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os certificados RSA gerenciados por AWS Certificate Manager usam um comprimento de chave de pelo menos 2.048 bits. O controle falhará se o comprimento da chave for menor que 2.048 bits.
A força da criptografia se correlaciona diretamente com o tamanho da chave. Recomendamos tamanhos de chave de pelo menos 2.048 bits para proteger seus AWS recursos à medida que a capacidade de computação se torna mais barata e os servidores se tornam mais avançados.
### Correção
O tamanho mínimo da chave para certificados RSA emitidos pelo ACM já é de 2.048 bits. Para obter instruções sobre a emissão de novos certificados RSA com o ACM, consulte [Emissão e gerenciamento de certificados](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) no *Guia do usuário do AWS Certificate Manager *.
Embora o ACM permita importar certificados com tamanhos de chave mais curtos, é necessário usar chaves de pelo menos 2.048 bits para passar por esse controle. Não é possível alterar o tamanho da chave após a importação de um certificado. Em vez disso, é necessário excluir certificados com um tamanho de chave menor que 2.048 bits. Para obter mais informações sobre a importação de certificados para o ACM, consulte [Pré-requisitos para importação de certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) no *Guia do usuário do AWS Certificate Manager *.
## [ACM.3] Os certificados do ACM devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::ACM::Certificate`
**AWS Config regra:** `tagged-acm-certificate` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um certificado AWS Certificate Manager (ACM) tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o certificado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o certificado não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um certificado ACM, consulte Como [marcar AWS Certificate Manager certificados no Guia](https://docs.aws.amazon.com/acm/latest/userguide/tags.html) do *AWS Certificate Manager usuário*.
# Controles CSPM do Security Hub para CloudFormation
Esses controles CSPM do Security Hub avaliam o AWS CloudFormation serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [CloudFormation.1] CloudFormation as pilhas devem ser integradas ao Simple Notification Service (SNS)
**Importante**
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).
**Requisitos relacionados:** NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5)
**Categoria:** Detectar > Serviços de detecção > Monitoramento de aplicativos
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudFormation::Stack`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma notificação do Amazon Simple Notification Service está integrada a uma pilha do CloudFormation . O controle falhará em uma CloudFormation pilha se nenhuma notificação do SNS estiver associada a ela.
Configurar uma notificação do SNS com sua CloudFormation pilha ajuda a notificar imediatamente as partes interessadas sobre quaisquer eventos ou alterações que ocorram com a pilha.
### Correção
*Para integrar uma CloudFormation pilha e um tópico do SNS, consulte [Atualização de pilhas diretamente no Guia](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) do AWS CloudFormation usuário.*
## [CloudFormation.2] as CloudFormation pilhas devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudFormation::Stack`
**AWS Config regra:** `tagged-cloudformation-stack` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma AWS CloudFormation pilha tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a pilha não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a pilha não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma CloudFormation pilha, consulte [CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)na *Referência da AWS CloudFormation API*.
## [CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFormation::Stack`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma AWS CloudFormation pilha tem a proteção de encerramento ativada. O controle falhará se a proteção de terminação não estiver ativada em uma CloudFormation pilha.
CloudFormation ajuda a gerenciar recursos relacionados como uma única unidade chamada pilha. É possível impedir que uma pilha seja excluída acidentalmente ativando a proteção contra encerramento na pilha. Se um usuário tentar excluir uma pilha com proteção contra encerramento ativada, a exclusão falhará e a pilha, incluindo o status dela, permanecerá inalterada. Você pode definir a proteção contra encerramento em uma pilha com qualquer status, exceto `DELETE_IN_PROGRESS` ou `DELETE_COMPLETE`.
**nota**
Quando a proteção contra terminação é habilitada ou desabilitada em uma pilha, a mesma opção se estende a todas as pilhas aninhadas pertencentes a ela. Você não pode ativar ou desativar a proteção contra encerramento diretamente em uma pilha aninhada. Você não pode excluir diretamente uma pilha aninhada pertencente a uma pilha que tenha a proteção de encerramento ativada. Se NESTED for exibido ao lado do nome da pilha, a pilha é aninhada. Só é possível alterar a proteção contra encerramento na pilha raiz à qual a pilha aninhada pertence.
### Correção
Para ativar a proteção contra encerramento em uma CloudFormation pilha, consulte [Proteger CloudFormation pilhas contra exclusão](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html) no Guia do *AWS CloudFormation usuário*.
## [CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
**Categoria:** Detectar > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFormation::Stack`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma AWS CloudFormation pilha tem uma função de serviço associada a ela. O controle falhará em uma CloudFormation pilha se nenhuma função de serviço estiver associada a ela.
Funções de execução de StackSets uso gerenciado por serviços por meio da integração de acesso confiável do AWS Organizations. O controle também gera uma descoberta FALHA para uma AWS CloudFormation pilha criada pelo serviço gerenciado StackSets porque não há nenhuma função de serviço associada a ela. Devido à forma como o serviço gerenciado se StackSets autentica, o `roleARN` campo não pode ser preenchido para essas pilhas.
Usar funções de serviço com CloudFormation pilhas ajuda a implementar o acesso com privilégios mínimos, separando as permissões entre o usuário que creates/updates acumula e as permissões necessárias para os recursos. CloudFormation create/update Isso reduz o risco de escalonamento de privilégios e ajuda a manter os limites de segurança entre as diferentes funções operacionais.
**nota**
Não é possível remover uma função de serviço associada a uma pilha depois que ela é criada. Outros usuários com permissão para executar operações nessa pilha podem usar esse perfil, independentemente de terem a permissão `iam:PassRole` ou não. Se o perfil inclui permissões que o usuário não precisa, você pode ampliar involuntariamente as permissões de um usuário. Certifique-se de que o perfil conceda o privilégio mínimo.
### Correção
Para associar uma função de serviço a uma CloudFormation pilha, consulte a [função CloudFormation de serviço](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) no *Guia do AWS CloudFormation usuário*.
# Controles CSPM do Security Hub para Amazon CloudFront
Esses AWS Security Hub CSPM controles avaliam o CloudFront serviço e os recursos da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
**Requisitos relacionados:** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon com origens do S3 está configurada para retornar um objeto específico que é o objeto raiz padrão. O controle falhará se a CloudFront distribuição usar origens do S3 e não tiver um objeto raiz padrão configurado. Esse controle não se aplica às CloudFront distribuições que usam origens personalizadas.
Às vezes, um usuário pode solicitar a URL raiz da distribuição em vez de um objeto na distribuição. Quando isso acontece, a especificação de um objeto raiz padrão pode ajudá-lo a evitar a exposição do conteúdo da sua distribuição da web.
### Correção
Para configurar um objeto raiz padrão para uma CloudFront distribuição, consulte [Como especificar um objeto raiz padrão](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) no *Amazon CloudFront Developer Guide*.
## [CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon exige que os espectadores usem HTTPS diretamente ou se ela usa redirecionamento. O controle falhará se `ViewerProtocolPolicy` estiver definido como `allow-all` para `defaultCacheBehavior` ou para`cacheBehaviors`.
O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS.
### Correção
Para criptografar uma CloudFront distribuição em trânsito, consulte [Exigir HTTPS para comunicação entre espectadores e CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) no *Amazon CloudFront Developer Guide*.
## [CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon está configurada com um grupo de origem que tem duas ou mais origens.
CloudFront o failover de origem pode aumentar a disponibilidade. Se a origem primária estiver indisponível ou retornar códigos de status de resposta HTTP específicos que indiquem falha, o failover automaticamente alternará para a origem secundária.
### Correção
Para configurar o failover de origem para uma CloudFront distribuição, consulte [Criação de um grupo de origem](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) no *Amazon CloudFront Developer Guide*.
## [CloudFront.5] CloudFront as distribuições devem ter o registro ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o registro de acesso ao servidor está habilitado nas CloudFront distribuições. O controle falhará se o registro em log de acesso não estiver habilitado para uma distribuição. Esse controle avalia apenas se o registro em log padrão (legado) está habilitado para uma distribuição.
CloudFront os registros de acesso fornecem informações detalhadas sobre cada solicitação do usuário que CloudFront recebe. Cada registro em log contém informações como a data e a hora em que a solicitação foi recebida, o endereço IP do visualizador que fez a solicitação, a origem da solicitação e o número da porta da solicitação do visualizador. Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Para obter mais informações sobre a análise de registros de acesso, consulte [Consultar CloudFront registros da Amazon](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) no Guia do *usuário do Amazon Athena*.
### Correção
Para configurar o registro padrão (legado) para uma CloudFront distribuição, consulte [Configurar o registro padrão (legado)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) no *Amazon CloudFront Developer Guide*.
## [CloudFront.6] as CloudFront distribuições devem ter o WAF ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2
**Categoria:** Proteger > Serviços de proteção
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se CloudFront as distribuições estão associadas ao AWS WAF Classic ou à AWS WAF web ACLs. O controle falhará se a distribuição não estiver associada a uma ACL da web.
AWS WAF é um firewall de aplicativos da web que ajuda a proteger os aplicativos da web e APIs contra ataques. Isso permite configurar um conjunto de regras chamado de lista de controle de acesso à web (ACL da web) que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Certifique-se de que sua CloudFront distribuição esteja associada a uma ACL AWS WAF da web para ajudar a protegê-la contra ataques maliciosos.
### Correção
Para associar uma ACL AWS WAF da web a uma CloudFront distribuição, consulte [Usando AWS WAF para controlar o acesso ao seu conteúdo](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) no *Amazon CloudFront Developer Guide*.
## [CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-8
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se CloudFront as distribuições estão usando o SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS certificado padrão.
Os personalizados SSL/TLS permitem que seus usuários acessem o conteúdo usando nomes de domínio alternativos. Você pode armazenar certificados personalizados no AWS Certificate Manager (recomendado) ou no IAM.
### Correção
Para adicionar um nome de domínio alternativo para uma CloudFront distribuição usando um certificado SSL/TLS personalizado, consulte [Adicionar um nome de domínio alternativo](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) no *Amazon CloudFront * Developer Guide.
## [CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se CloudFront as distribuições da Amazon estão usando um SSL/TLS certificado personalizado e estão configuradas para usar o SNI para atender solicitações HTTPS. Esse controle falhará se um SSL/TLS certificado personalizado estiver associado, mas o método de SSL/TLS suporte for um endereço IP dedicado.
A Indicação de nome de servidor (SNI) é uma extensão do protocolo TLS, compatível com os navegadores e clientes lançados após 2010. Se você configurar CloudFront para atender solicitações HTTPS usando SNI, CloudFront associe seu nome de domínio alternativo a um endereço IP para cada ponto de presença. Quando um visualizador envia uma solicitação HTTPS para seu conteúdo, o DNS a roteia para o endereço IP do ponto de presença correto. O endereço IP do seu nome de domínio é determinado durante a negociação do SSL/TLS handshake; o endereço IP não é dedicado à sua distribuição.
### Correção
Para configurar uma CloudFront distribuição para usar o SNI para atender às solicitações HTTPS, consulte Como [usar o SNI para atender às solicitações HTTPS (funciona para a maioria dos clientes)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) no Guia do CloudFront desenvolvedor. Para obter informações sobre certificados SSL personalizados, consulte [Requisitos para usar SSL/TLS certificados com CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html).
## [CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se CloudFront as distribuições da Amazon estão criptografando o tráfego para origens personalizadas. Esse controle falha em uma CloudFront distribuição cuja política de protocolo de origem permite “somente http”. Esse controle também falhará se a política do protocolo de origem da distribuição for “match-viewer”, enquanto a política do protocolo do visualizador for “allow-all”.
O HTTPS (TLS) pode ser usado para ajudar a evitar a espionagem ou a manipulação do tráfego da rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas.
### Correção
Para atualizar a Política do Protocolo de Origem para exigir criptografia para uma CloudFront conexão, consulte [Exigindo HTTPS para comunicação entre CloudFront e sua origem personalizada](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) no *Amazon CloudFront Developer Guide*.
## [CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, (4),, NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se CloudFront as distribuições da Amazon estão usando protocolos SSL obsoletos para comunicação HTTPS entre pontos de presença e suas CloudFront origens personalizadas. Esse controle falhará se uma CloudFront distribuição tiver um `CustomOriginConfig` where `OriginSslProtocols` includes`SSLv3`.
Em 2015, a Internet Engineering Task Force (IETF) anunciou oficialmente que o SSL 3.0 deveria ser descontinuado devido ao protocolo não ser suficientemente seguro. É recomendável usar TLSv1 .2 ou posterior para comunicação HTTPS com suas origens personalizadas.
### Correção
Para atualizar os protocolos SSL de origem para uma CloudFront distribuição, consulte [Exigir HTTPS para comunicação entre CloudFront e sua origem personalizada](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) no *Amazon CloudFront Developer Guide*.
## [CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
**Requisitos relacionados:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), PCI DSS v4.0.1/2.2.6
**Categoria:** Identificar > Configuração de recursos
**Gravidade:** alta
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se CloudFront as distribuições da Amazon estão apontando para origens inexistentes do Amazon S3. O controle falhará em uma CloudFront distribuição se a origem estiver configurada para apontar para um bucket inexistente. Esse controle se aplica somente às CloudFront distribuições em que um bucket do S3 sem hospedagem estática do site é a origem do S3.
Quando uma CloudFront distribuição em sua conta é configurada para apontar para um bucket inexistente, um terceiro mal-intencionado pode criar o bucket referenciado e veicular seu próprio conteúdo por meio de sua distribuição. Recomendamos verificar todas as origens, independentemente do comportamento de roteamento, para garantir que suas distribuições estejam apontando para as origens apropriadas.
### Correção
Para modificar uma CloudFront distribuição para apontar para uma nova origem, consulte [Atualização de uma distribuição](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) no *Amazon CloudFront Developer Guide*.
## [CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon com origem no Amazon S3 tem controle de acesso de origem (OAC) configurado. O controle falhará se o OAC não estiver configurado para a CloudFront distribuição.
Ao usar um bucket do S3 como origem para sua CloudFront distribuição, você pode habilitar o OAC. Isso permite o acesso ao conteúdo no bucket somente por meio da CloudFront distribuição especificada e proíbe o acesso diretamente do bucket ou de outra distribuição. Embora CloudFront ofereça suporte ao Origin Access Identity (OAI), o OAC oferece funcionalidades adicionais e as distribuições que usam o OAI podem migrar para o OAC. Embora o OAI forneça uma maneira segura de acessar as origens do S3, ele tem limitações, como a falta de suporte para configurações de políticas granulares e para HTTP/HTTPS solicitações que usam o método POST Regiões da AWS que exigem o AWS Signature Version 4 (SigV4). O OAI também não oferece suporte à criptografia com AWS Key Management Service. O OAC é baseado em uma prática AWS recomendada de uso de entidades de serviço do IAM para autenticar com origens do S3.
### Correção
*Para configurar o OAC para uma CloudFront distribuição com origens do S3, consulte [Restringir o acesso a uma origem do Amazon S3 no Amazon Developer Guide](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html). CloudFront *
## [CloudFront.14] as CloudFront distribuições devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**AWS Config regra:** `tagged-cloudfront-distribution` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma CloudFront distribuição da Amazon tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a distribuição não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a distribuição não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a uma CloudFront distribuição, consulte Como [marcar CloudFront distribuições da Amazon](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) no *Amazon CloudFront Developer* Guide.
## [CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:** `securityPolicies`: `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (não personalizável)
Esse controle verifica se uma CloudFront distribuição da Amazon está configurada para usar uma política de segurança TLS recomendada. O controle falhará se a CloudFront distribuição não estiver configurada para usar uma política de segurança TLS recomendada.
Se você configurar uma CloudFront distribuição da Amazon para exigir que os espectadores usem HTTPS para acessar o conteúdo, você precisará escolher uma política de segurança e especificar a versão mínima do SSL/TLS protocolo a ser usada. Isso determina qual versão do protocolo CloudFront usa para se comunicar com os espectadores e as cifras CloudFront usadas para criptografar as comunicações. Recomendamos usar a política de segurança mais recente que CloudFront fornece. Isso garante o CloudFront uso dos pacotes de criptografia mais recentes para criptografar dados em trânsito entre um visualizador e uma distribuição. CloudFront
**nota**
Esse controle gera descobertas somente para CloudFront distribuições que estão configuradas para usar certificados SSL personalizados e não estão configuradas para oferecer suporte a clientes legados.
### Correção
Para obter informações sobre como configurar a política de segurança de uma CloudFront distribuição, consulte [Atualizar uma distribuição](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) no *Amazon CloudFront Developer Guide*. Ao configurar a política de segurança de uma distribuição, escolha a política de segurança mais recente.
## [CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda
**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon com uma URL de AWS Lambda função como origem tem o controle de acesso de origem (OAC) ativado. O controle falhará se a CloudFront distribuição tiver uma URL da função Lambda como origem e o OAC não estiver habilitado.
Um URL de AWS Lambda função é um endpoint HTTPS dedicado para uma função Lambda. Se o URL de uma função Lambda for a origem de uma CloudFront distribuição, o URL da função deverá estar acessível ao público. Portanto, como prática recomendada de segurança, é necessário criar um OAC e adicioná-lo ao URL da função do Lambda em uma distribuição. O OAC usa entidades de serviço do IAM para autenticar solicitações entre CloudFront e o URL da função. Ele também suporta o uso de políticas baseadas em recursos para permitir a invocação de uma função somente se uma solicitação for em nome de uma CloudFront distribuição especificada na política.
### Correção
*Para obter informações sobre como configurar o OAC para uma CloudFront distribuição da Amazon que usa uma URL de função Lambda como origem, consulte [Restringir o acesso a uma origem de URL de AWS Lambda função no](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) Amazon Developer Guide. CloudFront *
## [CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies
**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon está configurada para usar grupos de chaves confiáveis para URL assinado ou autenticação de cookie assinada. O controle falhará se a CloudFront distribuição usar assinantes confiáveis ou se a distribuição não tiver nenhuma autenticação configurada.
Para usar cookies assinados URLs ou assinados, você precisa de um signatário. Um signatário é um grupo de chaves confiável que você cria ou uma AWS conta que contém um par de CloudFront chaves. CloudFront Recomendamos que você use grupos de chaves confiáveis porque, com grupos de CloudFront chaves, você não precisa usar o usuário raiz da AWS conta para gerenciar as chaves públicas de cookies CloudFront assinados URLs e assinados.
**nota**
Esse controle não avalia distribuições multilocatárias. CloudFront `(connectionMode=tenant-only)`
### Correção
Para obter informações sobre o uso de grupos de chaves confiáveis com URLs assinaturas e cookies, consulte Como [usar grupos de chaves confiáveis](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) no *Amazon CloudFront Developer Guide*.
# Controles CSPM do Security Hub para AWS CloudTrail
Esses AWS Security Hub CSPM controles avaliam o AWS CloudTrail serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.1, CIS AWS Foundations Benchmark v1.2.0/2.1, CIS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, (4), (26), (9), (9), (22) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8
**Categoria:** Identificar > Registro em log
**Gravidade:** alta
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros:**
+ `readWriteType`: `ALL` (não personalizável)
`includeManagementEvents`: `true` (não personalizável)
Esse controle verifica se há pelo menos uma AWS CloudTrail trilha multirregional que captura eventos de gerenciamento de leitura e gravação. O controle falhará se CloudTrail estiver desativado ou se não houver pelo menos uma CloudTrail trilha que capture eventos de gerenciamento de leitura e gravação.
AWS CloudTrail registra chamadas de AWS API para sua conta e entrega arquivos de log para você. As informações registradas incluem as seguintes informações:
+ Identidade do chamador da API
+ Hora da chamada da API
+ Endereço IP de origem do chamador da API
+ Parâmetros de solicitação
+ Elementos de resposta retornados pelo AWS service (Serviço da AWS)
CloudTrail fornece um histórico de chamadas de AWS API para uma conta, incluindo chamadas de API feitas a partir das ferramentas de linha de comando Console de gerenciamento da AWS AWS SDKs,,. O histórico também inclui chamadas de API de nível superior Serviços da AWS , como. AWS CloudFormation
O histórico de chamadas da AWS API produzido por CloudTrail permite análise de segurança, rastreamento de alterações de recursos e auditoria de conformidade. As trilhas de várias regiões também oferecem os seguintes benefícios.
+ A trilha de várias regiões ajuda a detectar atividades inesperadas que ocorram em regiões não utilizadas de outra forma.
+ Uma trilha de várias regiões garante que o registro em log de eventos do serviço global esteja habilitado para uma trilha por padrão. O registro global de eventos de serviços registra eventos gerados por serviços AWS globais.
+ Para uma trilha multirregional, os eventos de gerenciamento de todas as operações de leitura e gravação garantem que as operações de gerenciamento de CloudTrail registros em todos os recursos em uma Conta da AWS.
Por padrão, as CloudTrail trilhas criadas usando o Console de gerenciamento da AWS são trilhas multirregionais.
### Correção
Para criar uma nova trilha multirregional em CloudTrail, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do AWS CloudTrail usuário*. Use os seguintes valores:
| Campo | Valor |
| --- | --- |
| Configurações adicionais, validação do arquivo de log | Habilitado |
| Escolha eventos de logs, eventos de gerenciamento, atividade de API | **Ler** e **Gravar**. Desmarque as caixas de seleção para exclusões. |
Para atualizar uma trilha existente, consulte [Atualizar uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html) no *Guia do usuário do AWS CloudTrail *. Em **Eventos de gerenciamento**, para **Atividade da API**, escolha **Ler** e **Gravar**.
## [CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.5, CIS Foundations Benchmark v1.2.0/2.7, CIS AWS Foundations Benchmark v1.4.0/3.7, CIS AWS AWS Foundations Benchmark v3.0.0/3.5, (1), 3, 8, 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6), NIST.800-171.r2 NIST.800-53.r5 SC-2 3.3.8, PCI DSS NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 v3.2.1/3.4, PCI DSS v4.0.1/10.3.2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudTrail::Trail`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se CloudTrail está configurado para usar a criptografia de criptografia do lado do servidor (SSE). AWS KMS key O controle falha se `KmsKeyId` não estiver definido.
Para uma camada adicional de segurança para seus arquivos de CloudTrail log confidenciais, você deve usar criptografia do [lado do servidor com AWS KMS keys (SSE-KMS) para seus arquivos de CloudTrail log para criptografia](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) em repouso. Observe que, por padrão, os arquivos de log entregues CloudTrail aos seus buckets são criptografados pela criptografia do lado do [servidor da Amazon com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)).
### Correção
*Para ativar a criptografia SSE-KMS para arquivos de CloudTrail log, consulte [Atualizar uma trilha para usar uma chave KMS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail) no Guia do usuário.AWS CloudTrail *
## [CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada
**Requisitos relacionados:** NIST.800-171.r2 3,3.1, NIST.800-171.r2 3,14.6, NIST.800-171.r2 3,14.7, PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, PCI DSS v3.2.1/10.2.3, PCI DSS v3.2.1/10.2.4, PCI DSS v3.2.1/10.2.5, PCI DSS v3.2.1/10.2.6, PCI DSS v3.2.1/10.2.7, PCI DSS v3.2.1/10.3.1, PCI DSS v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, PCI DSS v4.0.1/10.2.1
**Categoria:** Identificar > Registro em log
**Gravidade:** alta
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se uma AWS CloudTrail trilha está habilitada no seu Conta da AWS. O controle falhará se sua conta não tiver pelo menos uma CloudTrail trilha ativada.
No entanto, alguns AWS serviços não permitem o registro de todos APIs os eventos. Você deve implementar quaisquer trilhas de auditoria adicionais além de CloudTrail revisar a documentação de cada serviço em [Serviços e Integrações CloudTrail Suportados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html).
### Correção
Para começar CloudTrail e criar uma trilha, consulte o [AWS CloudTrail tutorial Introdução](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) no *Guia do AWS CloudTrail usuário*.
## [CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.2, CIS Foundations Benchmark v1.2.0/2.2, CIS Foundations Benchmark v1.4.0/3.2, CIS AWS Foundations Benchmark v3.0.0/3.2, NIST.800-53.r5 AU-9, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-7 (1), NIST.800-53.r5 SI-7 (1) -7 (3), NIST.800-53.r5 SI-7 (7), NIST.800-171.r2 3.3.8, AWS PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, PCI DSS v4.0.1/10.3.2 AWS
**Categoria:** Proteção de dados > Integridade dos dados
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudTrail::Trail`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a validação da integridade do arquivo de log está habilitada em uma CloudTrail trilha.
CloudTrail a validação do arquivo de log cria um arquivo de resumo assinado digitalmente que contém um hash de cada log CloudTrail gravado no Amazon S3. Você pode usar esses arquivos de resumo para determinar se um arquivo de log foi alterado, excluído ou inalterado após a CloudTrail entrega do log.
O Security Hub CSPM recomenda que você habilite a validação de arquivos em todas as trilhas. A validação do arquivo de log fornece verificações adicionais de integridade dos CloudTrail registros.
### Correção
Para ativar a validação do arquivo de CloudTrail log, consulte [Habilitando a validação da integridade do arquivo de log CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) no *Guia AWS CloudTrail do usuário*.
## [CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.4, PCI DSS v3.2.1/10.5.3, CIS Foundations Benchmark v1.2.0/2.4, CIS AWS Foundations Benchmark v1.4.0/3.4, (4), (26), (9),, (9), NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-3 (8), IST.800-53.R5 SI-4 NIST.800-53.r5 AC-2 (20), NIST.800-53.r5 AC-4 Nist.800-53.R5 SI-4 NIST.800-53.r5 AC-6 (5), Nist.800-53.R5 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7 SI-7 NIST.800-53.r5 SC-7 (8) AWS
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudTrail::Trail`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se as CloudTrail trilhas estão configuradas para enviar registros para o CloudWatch Logs. O controle falhará se a propriedade `CloudWatchLogsLogGroupArn` da trilha estiver vazia.
CloudTrail registra as chamadas de AWS API feitas em uma determinada conta. As informações gravadas incluem o seguinte:
+ Identidade do chamador da API
+ Hora da chamada da API
+ O endereço IP de origem do chamador da API
+ Parâmetros de solicitação
+ Os elementos de resposta retornados pelo AWS service (Serviço da AWS)
CloudTrail usa o Amazon S3 para armazenamento e entrega de arquivos de log. Você pode capturar CloudTrail registros em um bucket S3 especificado para análise de longo prazo. Para realizar análises em tempo real, você pode configurar o CloudTrail envio de registros para o CloudWatch Logs.
Para uma trilha ativada em todas as regiões de uma conta, CloudTrail envia arquivos de registro de todas essas regiões para um grupo de CloudWatch registros de registros.
O Security Hub CSPM recomenda que você envie CloudTrail registros para CloudWatch Logs. Observe que essa recomendação tem como objetivo garantir que a atividade da conta seja capturada, monitorada e devidamente alertada. Você pode usar o CloudWatch Logs para configurar isso com seu Serviços da AWS. Essa recomendação não impede o uso de uma solução diferente.
O envio de CloudTrail CloudWatch registros para o Logs facilita o registro histórico e em tempo real de atividades com base no usuário, na API, no recurso e no endereço IP. É possível usar essa abordagem para estabelecer alertas e notificações de atividades anormais ou confidenciais da conta.
### Correção
Para fazer a integração CloudTrail com o CloudWatch Logs, consulte [Enviar eventos para o CloudWatch Logs](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html) no *Guia AWS CloudTrail do usuário*.
## [CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/2.3, CIS Foundations Benchmark v1.4.0/3.3, PCI DSS v4.0.1/1.4.4 AWS
**Categoria:** Identificar > Registro em log
**Gravidade:** crítica
**Tipo de recurso:** `AWS::S3::Bucket`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** periódico e acionado por alterações
**Parâmetros**: nenhum
CloudTrail registra um registro de cada chamada de API feita em sua conta. Esses arquivos de log são armazenados em um bucket do S3. O CIS recomenda que a política de bucket do S3, ou lista de controle de acesso (ACL), seja aplicada ao bucket do S3 que CloudTrail registra para impedir o acesso público aos registros. CloudTrail Permitir o acesso público ao conteúdo do CloudTrail registro pode ajudar um adversário a identificar pontos fracos no uso ou na configuração da conta afetada.
Para executar essa verificação, o Security Hub CSPM primeiro usa a lógica personalizada para procurar o bucket do S3 em que seus CloudTrail registros estão armazenados. Em seguida, ele usa as regras AWS Config gerenciadas para verificar se o bucket está acessível ao público.
Se você agregar seus registros em um único bucket S3 centralizado, o Security Hub CSPM executará a verificação somente na conta e na região em que o bucket S3 centralizado está localizado. Para outras contas e regiões, o status do controle é **Sem dados**.
Se o bucket for acessível ao público, a verificação gerará uma descoberta com falha.
### Correção
Para bloquear o acesso público ao seu bucket do CloudTrail S3, consulte [Como definir configurações de bloqueio de acesso público para seus buckets do S3 no](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Guia do usuário do *Amazon Simple Storage Service*. Selecione todas as quatro configurações de bloqueio de acesso público do Amazon S3.
## [CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/2.6, CIS Foundations Benchmark v1.4.0/3.6, CIS AWS Foundations Benchmark v3.0.0/3.4, PCI DSS v4.0.1/10.2.1 AWS
**Categoria:** Identificar > Registro em log
**Gravidade:** baixa
**Tipo de recurso:** `AWS::S3::Bucket`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
O registro de acesso ao bucket do S3 gera um log que contém os registros de acesso para cada solicitação feita no bucket do S3. Um registro contém detalhes sobre a solicitação, tais como o tipo da solicitação, os recursos especificados na solicitação e a data e hora em que a solicitação foi processada.
O CIS recomenda que você habilite o registro de acesso ao bucket no bucket do CloudTrail S3.
Ao habilitar o registro em log do bucket do S3 em buckets do S3 de destino, é possível capturar todos os eventos que podem afetar objetos em um bucket de destino. Configurar os logs para serem colocados em um bucket separado permite o acesso às informações de log, o que pode ser útil em fluxos de resposta a incidentes e segurança.
Para executar essa verificação, o Security Hub CSPM primeiro usa a lógica personalizada para procurar o bucket em que seus CloudTrail registros estão armazenados e, em seguida, usa a regra AWS Config gerenciada para verificar se o registro está ativado.
Se CloudTrail entregar arquivos de log de vários Contas da AWS em um único bucket Amazon S3 de destino, o CSPM do Security Hub avalia esse controle somente em relação ao bucket de destino na região em que está localizado. Isso simplifica suas descobertas. No entanto, você deve ativar CloudTrail todas as contas que entregam registros ao bucket de destino. Para todas as contas, exceto aquela que contém o bucket de destino, o status do controle é **Sem dados**.
### Correção
Para habilitar o registro de acesso ao servidor para seu bucket do CloudTrail S3, consulte [Habilitar o registro de acesso ao servidor Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging) no Guia do usuário do *Amazon Simple Storage Service*.
## [CloudTrail.9] CloudTrail trilhas devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudTrail::Trail`
**AWS Config regra:** `tagged-cloudtrail-trail` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se uma AWS CloudTrail trilha tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a trilha não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a trilha não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma CloudTrail trilha, consulte [AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)na *Referência da AWS CloudTrail API*.
## [CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys
**Requisitos relacionados:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudTrail::EventDataStore`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Uma lista de nomes de recursos da Amazon (ARNs) AWS KMS keys a serem incluídos na avaliação. O controle gerará uma descoberta `FAILED` se um armazenamento de dados de eventos não estiver criptografado com uma chave do KMS na lista. | StringList (máximo de 3 itens) | 1—3 ARNs das chaves KMS existentes. Por exemplo: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`. | Nenhum valor padrão |
Esse controle verifica se um armazenamento de dados de eventos do AWS CloudTrail Lake está criptografado em repouso com o gerenciamento de um cliente AWS KMS key. O controle falhará se o armazenamento de dados de eventos não for criptografado com uma chave do KMS gerenciada pelo cliente. Opcionalmente, é possível especificar uma lista de chaves do KMS para o controle incluir na avaliação.
Por padrão, o AWS CloudTrail Lake criptografa armazenamentos de dados de eventos com chaves gerenciadas do Amazon S3 (SSE-S3), usando um algoritmo AES-256. Para controle adicional, você pode configurar o CloudTrail Lake para criptografar um armazenamento de dados de eventos com um cliente gerenciado AWS KMS key (SSE-KMS) em vez disso. Uma chave KMS gerenciada pelo cliente é AWS KMS key aquela que você cria, possui e gerencia no seu Conta da AWS. Você tem controle total sobre esse tipo de chave do KMS. Isso inclui definir e manter a política de chaves, gerenciar concessões, alternar material criptográfico, atribuir tags, criar aliases e habilitar e desabilitar a chave. Você pode usar uma chave KMS gerenciada pelo cliente em operações criptográficas para seu uso de CloudTrail dados e auditoria com CloudTrail registros.
### Correção
Para obter informações sobre como criptografar um armazenamento de dados de eventos do AWS CloudTrail Lake com um AWS KMS key que você especifica, consulte [Atualizar um armazenamento de dados de eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html) no *Guia do AWS CloudTrail usuário*. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS.
# Controles CSPM do Security Hub para Amazon CloudWatch
Esses AWS Security Hub CSPM controles avaliam o CloudWatch serviço e os recursos da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.1, CIS Foundations Benchmark v1.2.0/3.3, CIS Foundations Benchmark v1.4.0/1.7, CIS AWS Foundations Benchmark v1.4.0/4.3, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7, PCI DSS v3.2.1/7.2.1 AWS
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
O usuário raiz tem acesso irrestrito a todos os serviços e recursos da Conta da AWS. É altamente recomendável que você evite usar o usuário raiz para tarefas diárias. Minimizar o uso do usuário raiz e adotar o princípio do privilégio mínimo para gerenciamento de acesso reduz o risco de alterações acidentais e divulgação não intencional de credenciais altamente privilegiadas.
Como uma melhor prática, use as credenciais raiz somente quando necessário para [realizar tarefas de gerenciamento de serviços e da conta](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Aplique políticas AWS Identity and Access Management (IAM) diretamente a grupos e funções, mas não a usuários. Para obter um tutorial sobre como configurar um administrador para uso diário, consulte [Criar seu primeiro usuário administrador de IAM e grupo do ](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)* no *Guia do usuário do IAM
Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 1.7 no [CIS AWS Foundations Benchmark v1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1). Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.1, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.
O CIS recomenda que você crie um filtro e um alarme de métrica para chamadas de API não autorizadas. O monitoramento de chamadas de API não autorizadas ajuda a revelar erros de aplicativo e pode reduzir o tempo para detectar atividades mal-intencionadas.
Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 3.1 no [CIS AWS Foundations](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) Benchmark v1.2. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.2
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.
O CIS recomenda que você crie um filtro e um alarme de métrica para logins de console que não são protegidos por MFA. O monitoramento de logins de console com fator único aumenta a visibilidade em contas que não são protegidas por MFA.
Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 3.2 no [CIS AWS Foundations](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) Benchmark v1.2. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.4, CIS Foundations Benchmark v1.4.0/4.4, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se você monitora as chamadas de API em tempo real direcionando CloudTrail os CloudWatch registros para o Logs e estabelecendo filtros métricos e alarmes correspondentes.
O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em políticas do IAM. Monitorar essas alterações ajuda a garantir que os controles de autenticação e autorização permaneçam intactos.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
**nota**
Nosso padrão de filtro recomendado nessas etapas de correção difere do padrão de filtro na orientação do CIS. Nossos filtros recomendados têm como alvo somente eventos provenientes de chamadas de API do IAM.
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.5, CIS Foundations Benchmark v1.4.0/4.5, NIST.800-171.r2 3.3.8, NIST.800-171.r2 AWS 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.
O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em opções de configuração do CloudTrail. Monitorar essas alterações ajuda a garantir visibilidade sustentada para atividades na conta.
Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.5 no [CIS AWS Foundations Benchmark v1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1). Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.6, CIS Foundations Benchmark v1.4.0/4.6, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.
O CIS recomenda que você crie um filtro e um alarme de métrica para tentativas com falha de autenticação no console. O monitoramento de logins de console com falha pode diminuir o tempo necessário para detectar uma tentativa de inserção forçada de uma credencial, o que pode fornecer um indicador, como o IP de origem, que pode ser usado em outras correlações do evento.
Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.6 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.7, CIS Foundations Benchmark v1.4.0/4.7, NIST.800-171.r2 3.13.10, NIST.800-171.r2 3.13.16, AWS NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.
O O CIS recomenda que você crie um filtro e um alarme de métrica para CMKs criadas pelo cliente cujo estado foi alterado para desativado ou exclusão programada. Os dados criptografados com chaves desativadas ou excluídas não podem mais ser acessados.
Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.7 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica. O controle também falhará se `ExcludeManagementEventSources` contiver `kms.amazonaws.com`.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.8, CIS Foundations Benchmark v1.4.0/4.8, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.
O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em políticas de bucket do S3. Monitorar essas alterações pode reduzir o tempo para detectar e corrigir políticas permissivas em buckets do S3 confidenciais.
Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.8 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.9, CIS Foundations Benchmark v1.4.0/4.9, NIST.800-171.r2 3.3.8, NIST.800-171.r2 3.14.6, AWS NIST.800-171.r2 3.14.7
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.
O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em opções de configuração do AWS Config . Monitorar essas alterações ajuda a garantir a visibilidade sustentada de itens de configuração na conta.
Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.9 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.10, CIS Foundations Benchmark v1.4.0/4.10, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Os grupos de segurança são um filtro de pacote com estado que controla o tráfego de entrada e saída em uma VPC.
O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em grupos de segurança. Monitorar essas alterações ajuda a garantir que os recursos e serviços da não sejam expostos involuntariamente.
Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.10 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.11, CIS Foundations Benchmark v1.4.0/4.11, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. NACLs são usados como um filtro de pacotes sem estado para controlar o tráfego de entrada e saída de sub-redes em uma VPC.
O CIS recomenda que você crie um filtro métrico e um alarme para alterações em NACLs. O monitoramento dessas mudanças ajuda a garantir que AWS os recursos e serviços não sejam expostos acidentalmente.
Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.11 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.12, CIS Foundations Benchmark v1.4.0/4.12, NIST.800-171.r2 3.3.1, NIST.800-171.r2 AWS 3.13.1
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Os gateways de rede são necessários para enviar e receber tráfego para um destino fora de uma VPC.
O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em gateways de rede. Monitorar essas alterações ajuda a garantir que todo o tráfego de entrada e saída passará pela borda da VPC por um caminho controlado.
Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.12 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.2. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.13, CIS Foundations Benchmark v1.4.0/4.13, NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1, AWS NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se você monitora as chamadas de API em tempo real direcionando CloudTrail os CloudWatch registros para o Logs e estabelecendo filtros métricos e alarmes correspondentes. As tabelas de rotas encaminham o tráfego de rede entre sub-redes e gateways de rede.
O CIS recomenda você crie um filtro de métrica e um alarme para fazer alterações em tabelas de rotas. Monitorar essas alterações ajuda a garantir que todo o tráfego da VPC passe por um caminho esperado.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
**nota**
Nosso padrão de filtro recomendado nessas etapas de correção difere do padrão de filtro na orientação do CIS. Nossos filtros recomendados têm como alvo somente eventos provenientes de chamadas de API do Amazon Elastic Computer Cloud (EC2).
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.14, CIS Foundations Benchmark v1.4.0/4.14, NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1, AWS NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Você pode ter mais de uma VPC em uma conta e criar uma conexão ponto a ponto entre duas VPCs, permitindo que o tráfego de rede seja roteado entre elas. VPCs
O CIS recomenda que você crie um filtro métrico e um alarme para alterações em VPCs. Monitorar essas alterações ajuda a garantir que os controles de autenticação e autorização permaneçam intactos.
Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.14 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.
**nota**
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.
A verificação resulta em descobertas `FAILED` nos seguintes casos:
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.
### Correção
Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.
1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.
1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas
**Requisitos relacionados:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 IR-4 (1), NIST.800-53.r5 IR-4 (5), NIST.800-53.r5 SI-2, Nist.800-53.r5 SI-20, NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5), NIST.800-171.R5 2 3.3.4, NIST.800-171.r2 3.14.6
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::CloudWatch::Alarm`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `alarmActionRequired` | O controle produzirá uma descoberta `PASSED` se o parâmetro estiver definido como `true` e o alarme tiver uma ação quando o estado do alarme mudar para `ALARM`. | Booleano | Não personalizável | `true` |
| `insufficientDataActionRequired` | O controle produzirá uma descoberta `PASSED` se o parâmetro estiver definido como `true` e o alarme tiver uma ação quando o estado do alarme mudar para `INSUFFICIENT_DATA`. | Booleano | `true` ou `false` | `false` |
| `okActionRequired` | O controle produzirá uma descoberta `PASSED` se o parâmetro estiver definido como `true` e o alarme tiver uma ação quando o estado do alarme mudar para `OK`. | Booleano | `true` ou `false` | `false` |
Esse controle verifica se um CloudWatch alarme da Amazon tem pelo menos uma ação configurada para o `ALARM` estado. O controle falhará se o alarme não tiver uma ação configurada para o estado `ALARM`. Opcionalmente, é possível incluir valores de parâmetros personalizados para também exigir ações de alarme para os estados `INSUFFICIENT_DATA` ou `OK`.
**nota**
O Security Hub CSPM avalia esse controle com base em CloudWatch alarmes métricos. Os alarmes de métrica podem fazer parte de alarmes compostos que têm as ações especificadas configuradas. O controle gera descobertas `FAILED` nos seguintes casos:
As ações especificadas não estão configuradas para um alarme de métrica.
O alarme de métrica faz parte de um alarme composto que têm as ações especificadas configuradas.
Esse controle se concentra em saber se um CloudWatch alarme tem uma ação de alarme configurada, enquanto [CloudWatch.17](#cloudwatch-17) se concentra no status de ativação de uma ação de CloudWatch alarme.
Recomendamos ações de CloudWatch alarme para alertá-lo automaticamente quando uma métrica monitorada estiver fora do limite definido. Os alarmes de monitoramento ajudam você a identificar atividades incomuns e a responder rapidamente a problemas operacionais e de segurança quando um alarme entra em um estado específico. O tipo de ação de alarme mais comum é notificar uma ou mais pessoas enviando uma mensagem a um tópico do Amazon Simple Notification Service (Amazon SNS).
### Correção
Para obter informações sobre ações suportadas por CloudWatch alarmes, consulte [Ações de alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) no *Guia do CloudWatch usuário da Amazon*.
## [CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado
**Categoria:** Identificar > Registro em log
**Requisitos relacionados:** NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-12
**Gravidade:** média
**Tipo de recurso:** `AWS::Logs::LogGroup`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `minRetentionTime` | Período mínimo de retenção em dias para grupos de CloudWatch registros | Enum | `365, 400, 545, 731, 1827, 3653` | `365` |
Esse controle verifica se um grupo de CloudWatch registros da Amazon tem um período de retenção de pelo menos o número especificado de dias. O controle falhará se o período de retenção for inferior ao número especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção, o Security Hub CSPM usa um valor padrão de 365 dias.
CloudWatch Os registros centralizam os registros de todos os seus sistemas, aplicativos e Serviços da AWS em um único serviço altamente escalável. Você pode usar o CloudWatch Logs para monitorar, armazenar e acessar seus arquivos de log das instâncias do Amazon Elastic Compute Cloud (EC2) AWS CloudTrail, do Amazon Route 53 e de outras fontes. Manter seus logs por pelo menos 1 ano pode ajudá-lo a cumprir os padrões de retenção de logs.
### Correção
Para definir as configurações de retenção de log, consulte [Alterar retenção de dados de log em CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) no *Guia CloudWatch do usuário da Amazon*.
## [CloudWatch.17] ações de CloudWatch alarme devem ser ativadas
**Categoria:** Detectar > Serviços de detecção
**Requisitos relacionados:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, Nist.800-53.r5 SI-4 (12)
**Gravidade:** alta
**Tipo de recurso:** `AWS::CloudWatch::Alarm`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as ações de CloudWatch alarme estão ativadas (`ActionEnabled`devem ser definidas como verdadeiras). O controle falhará se a ação de alarme de um CloudWatch alarme for desativada.
**nota**
O Security Hub CSPM avalia esse controle com base em CloudWatch alarmes métricos. Os alarmes de métrica podem fazer parte de alarmes compostos que têm ações de alarme ativadas. O controle gera descobertas `FAILED` nos seguintes casos:
As ações especificadas não estão configuradas para um alarme de métrica.
O alarme de métrica faz parte de um alarme composto que tem ações de alarme ativadas.
Esse controle se concentra no status de ativação de uma ação de CloudWatch alarme, enquanto [CloudWatch.15](#cloudwatch-15) se concentra em saber se alguma `ALARM` ação está configurada em um CloudWatch alarme.
As ações de alarme alertam automaticamente quando uma métrica monitorada estiver fora do limite definido. Se a ação de alarme for desativada, nenhuma ação será executada quando o alarme mudar de estado, e você não será alertado sobre alterações nas métricas monitoradas. Recomendamos ativar as ações de CloudWatch alarme para ajudá-lo a responder rapidamente aos problemas operacionais e de segurança.
### Correção
**Para ativar uma ação CloudWatch de alarme (console)**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, em **Alarmes**, escolha **Todos os alarmes**.
1. Selecione o alarme para o qual você deseja ativar as ações.
1. Em **Ações**, escolha **Ações de alarme — novas** e, em seguida, escolha **Ativar**.
Para obter mais informações sobre a ativação de ações de CloudWatch alarme, consulte [Ações de alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) no *Guia do CloudWatch usuário da Amazon*.
# Controles CSPM do Security Hub para CodeArtifact
Esses controles CSPM do Security Hub avaliam o AWS CodeArtifact serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [CodeArtifact.1] CodeArtifact repositórios devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CodeArtifact::Repository`
**AWS Config regra:** `tagged-codeartifact-repository` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AWS CodeArtifact repositório tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o repositório não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o repositório não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um CodeArtifact repositório, consulte [Marcar um repositório CodeArtifact no Guia](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html) do *AWS CodeArtifact usuário*.
# Controles CSPM do Security Hub para CodeBuild
Esses controles CSPM do Security Hub avaliam o AWS CodeBuild serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais
**Requisitos relacionados:** PCI DSS v3.2.1/8.2.1 NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2
**Categoria:** Proteger > Desenvolvimento seguro
**Gravidade:** crítica
**Tipo de recurso:** `AWS::CodeBuild::Project`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o URL do repositório de origem do Bitbucket do AWS CodeBuild projeto contém tokens de acesso pessoais ou um nome de usuário e senha. O controle falhará se o URL do repositórios Bitbucket de fontes contiver tokens de acesso pessoais ou um nome de usuário e senha.
**nota**
Esse controle avalia a fonte primária e as fontes secundárias de um projeto de CodeBuild compilação. Para obter mais informações sobre fonte de projetos, consulte [Multiple input sources and output artifacts sample](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html) no *AWS CodeBuild User Guide*.
As credenciais de login nunca devem ser armazenadas ou transmitidas em texto puro ou aparecer no URL do repositório de origem. Em vez de tokens de acesso pessoal ou credenciais de login, você deve acessar seu provedor de origem e alterar a URL do repositório de origem para conter somente o caminho para a localização do repositório Bitbucket. CodeBuild O uso de tokens de acesso pessoais ou credenciais de login poderia resultar em exposição não intencional de dados ou acesso não autorizado.
### Correção
Você pode atualizar seu CodeBuild projeto para usar OAuth.
**Para remover a autenticação básica/(GitHub) Personal Access Token da fonte do CodeBuild projeto**
1. Abra o CodeBuild console em [https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/).
1. Escolha o projeto de compilação que contém tokens de acesso pessoal ou um nome de usuário e uma senha.
1. Em **Edit (Editar)**, selecione **Source (Origem)**.
1. Escolha **Desconectar de GitHub /Bitbucket**.
1. Escolha **Conectar usando OAuth** e, em seguida, escolha **Conectar a GitHub/Bitbucket**.
1. Quando solicitado, escolha **authorize as appropriate (autorizar conforme apropriado)**.
1. Redefina as configurações de URL do repositório e configuração adicional, conforme necessário.
1. Selecione **Update source (Atualizar origem)**.
Para obter mais informações, consulte [exemplos baseados em casos de CodeBuild uso](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html) no Guia do *AWS CodeBuild usuário*.
## [CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado
**Requisitos relacionados:** NIST.800-53.r5 IA-5 (7), PCI DSS v3.2.1/8.2.1 NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2
**Categoria:** Proteger > Desenvolvimento seguro
**Gravidade:** crítica
**Tipo de recurso:** `AWS::CodeBuild::Project`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Este controle verifica se o projeto contém as variáveis de ambiente `AWS_ACCESS_KEY_ID` e `AWS_SECRET_ACCESS_KEY`.
As credenciais de autenticação `AWS_ACCESS_KEY_ID` e `AWS_SECRET_ACCESS_KEY` nunca devem ser armazenadas em texto não criptografado, pois isso poderia levar à exposição não intencional de dados e acesso não autorizado.
### Correção
Para remover variáveis de ambiente de um CodeBuild projeto, consulte [Alterar as configurações de um projeto de compilação AWS CodeBuild no](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) *Guia AWS CodeBuild do usuário*. Certifique-se de que nada esteja selecionado para as **Variáveis de ambiente**.
Você pode armazenar variáveis de ambiente com valores confidenciais no AWS Systems Manager Parameter Store ou AWS Secrets Manager recuperá-las de sua especificação de compilação. Para obter instruções, consulte a caixa chamada **Importante** na [seção Ambiente](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment) do *Guia do usuário do AWS CodeBuild *.
## [CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6), PCI DSS v4.0.1/10.3.2
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CodeBuild::Project`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os registros do Amazon S3 de um AWS CodeBuild projeto estão criptografados. O controle falhará se a criptografia for desativada para os registros do S3 de um CodeBuild projeto.
A criptografia de dados em repouso é uma prática recomendada para adicionar uma camada de gerenciamento de acesso aos seus dados. Criptografar os registros em repouso reduz o risco de um usuário não autenticado acessar AWS os dados armazenados no disco. Ele adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessarem os dados.
### Correção
Para alterar as configurações de criptografia dos registros CodeBuild do projeto S3, consulte [Alterar as configurações de um projeto de compilação AWS CodeBuild no](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) *Guia do AWS CodeBuild usuário*.
## [CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::CodeBuild::Project`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um ambiente de CodeBuild projeto tem pelo menos uma opção de log, seja para S3 ou para CloudWatch logs habilitados. Esse controle falhará se um ambiente de CodeBuild projeto não tiver pelo menos uma opção de log ativada.
Do ponto de vista da segurança, o registro em log é um atributo importante para permitir futuros esforços forenses no caso de incidentes de segurança. Correlacionar anomalias em CodeBuild projetos com detecções de ameaças pode aumentar a confiança na precisão dessas detecções de ameaças.
### Correção
Para obter mais informações sobre como definir as configurações CodeBuild do registro do projeto, consulte [Criar um projeto de compilação (console)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs) no Guia CodeBuild do usuário.
## [CodeBuild.5] ambientes de CodeBuild projeto não devem ter o modo privilegiado ativado
**Importante**
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** alta
**Tipo de recurso:** `AWS::CodeBuild::Project`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um ambiente de AWS CodeBuild projeto tem o modo privilegiado ativado ou desativado. O controle falhará se um ambiente de CodeBuild projeto tiver o modo privilegiado ativado.
Por padrão, os contêineres do Docker não permitem acesso a nenhum dispositivo. O modo privilegiado concede acesso a contêiner Docker de um projeto de compilação a todos os dispositivos. A configuração `privilegedMode` com valor `true` permite que o daemon do Docker seja executado dentro de um contêiner do Docker. O daemon do Docker escuta as solicitações da API do Docker e gerencia objetos do Docker, como imagens, contêineres, redes e volumes. Este parâmetro só deve ser definido como true se o projeto de compilação for usado para criar imagens de Docker. Caso contrário, essa configuração deve ser desativada para impedir o acesso não intencional ao Docker APIs e ao hardware subjacente do contêiner. A configuração de `privilegedMode` para `false` ajuda a proteger recursos essenciais contra adulteração e exclusão.
### Correção
Para definir as configurações do ambiente do CodeBuild projeto, consulte [Criar um projeto de compilação (console)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment) no *Guia CodeBuild do usuário*. Na seção **Ambiente**, não selecione a configuração **Privilegiada**.
## [CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::CodeBuild::ReportGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os resultados do teste de um grupo de AWS CodeBuild relatórios que são exportados para um bucket do Amazon Simple Storage Service (Amazon S3) estão criptografados em repouso. O controle falhará se o grupo de relatórios não for criptografado em repouso.
Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.
### Correção
Para criptografar a exportação do grupo de relatórios para o S3, consulte [Update a report group](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html) no *AWS CodeBuild User Guide*.
# Controles CSPM do Security Hub para Amazon Profiler CodeGuru
Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon CodeGuru Profiler.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CodeGuruProfiler::ProfilingGroup`
**Regra do AWS Config :** `codeguruprofiler-profiling-group-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um grupo de CodeGuru criação de perfil do Amazon Profiler tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o grupo de criação de perfil filtro não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de criação de perfil não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um grupo de criação de CodeGuru perfil do Profiler, consulte Como [marcar grupos de criação de perfil no](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html) Guia do usuário do *Amazon CodeGuru * Profiler.
# Controles de CSPM do Security Hub para Amazon Reviewer CodeGuru
Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon CodeGuru Reviewer.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CodeGuruReviewer::RepositoryAssociation`
**Regra do AWS Config :** `codegurureviewer-repository-association-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma associação de repositório do Amazon CodeGuru Reviewer tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se a associação do repositório não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a associação do repositório não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a uma associação de repositório de CodeGuru revisores, consulte Como [marcar uma associação de repositório no](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html) Guia do usuário do *Amazon CodeGuru * Reviewer.
# Controles de CSPM do Security Hub para o Amazon Cognito
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Cognito. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::Cognito::UserPool`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `SecurityMode` | O modo de aplicação da proteção contra ameaças que o controle verifica. | String | `AUDIT`, `ENFORCED` | `ENFORCED` |
Esse controle verifica se um grupo de usuários do Amazon Cognito tem a proteção contra ameaças ativada com o modo de aplicação definido como de função completa para a autenticação padrão. O controle falhará se o grupo de usuários tiver a proteção contra ameaças desativada ou se o modo de aplicação não estiver configurado para função completa para a autenticação padrão. A menos que você forneça valores de parâmetros personalizados, o Security Hub CSPM usa o valor padrão de `ENFORCED` para o modo de imposição definido como função completa para autenticação padrão.
Depois de criar um grupo de usuários do Amazon Cognito, é possível ativar a proteção contra ameaças e personalizar as ações tomadas em resposta a riscos diferentes. Outra opção é usar o modo de auditoria para coletar métricas sobre riscos detectados sem aplicar mitigação de segurança. No modo de auditoria, a proteção contra ameaças publica métricas na Amazon CloudWatch. Você verá métricas depois que o Amazon Cognito gerar o primeiro evento.
### Correção
Para obter informações sobre a ativação da proteção contra ameaças para um grupo de usuários do Amazon Cognito, consulte [Segurança avançada com proteção contra ameaças](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) no *Guia do desenvolvedor do Amazon Cognito*.
## [Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas
**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
**Gravidade:** média
**Tipo de recurso:** `AWS::Cognito::IdentityPool`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um banco de identidades do Amazon Cognito está configurado para permitir identidades não autenticadas. O controle falhará se o acesso de convidado for ativado (o `AllowUnauthenticatedIdentities` parâmetro está definido como `true`) para o banco de identidades.
Se um grupo de identidades do Amazon Cognito permitir identidades não autenticadas, o grupo de identidades fornecerá AWS credenciais temporárias aos usuários que não se autenticaram por meio de um provedor de identidade (convidados). Isso cria riscos de segurança porque permite acesso anônimo aos AWS recursos. Se você desativar o acesso de convidado, poderá ajudar a garantir que somente usuários devidamente autenticados possam acessar seus AWS recursos, o que reduz o risco de acesso não autorizado e possíveis violações de segurança. Como prática recomendada, um banco de identidades deve exigir autenticação por meio de provedores de identidade com suporte. Se o acesso não autenticado for necessário, é importante restringir cuidadosamente as permissões para identidades não autenticadas e revisar e monitorar seu uso regularmente.
### Correção
Para obter informações sobre a desativação do acesso de convidados para um banco de identidades do Amazon Cognito, consulte [Ativação ou desativação do acesso de convidados](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities) no *Guia do desenvolvedor do Amazon Cognito*.
## [Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::Cognito::UserPool`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `minLength` | O número mínimo de caracteres que uma senha deve conter. | Inteiro | `8` para `128` | `8 ` |
| `requireLowercase` | Exige pelo menos um caractere minúsculo na senha. | Booleano | `True`, `False` | `True` |
| `requireUppercase` | Exige pelo menos um caractere maiúsculo na senha. | Booleano | `True`, `False` | `True` |
| `requireNumbers` | Exige pelo menos um número na senha. | Booleano | `True`, `False` | `True` |
| `requireSymbols` | Exige pelo menos um símbolo na senha. | Booleano | `True`, `False` | `True` |
| `temporaryPasswordValidity` | O número máximo de dias que uma senha pode existir antes de expirar. | Inteiro | `7` para `365` | `7` |
Esse controle verifica se a política de senha para um grupo de usuários do Amazon Cognito exige o uso de senhas fortes, com base nas configurações recomendadas para políticas de senha. O controle falhará se a política de senha do grupo de usuários não exigir senhas fortes. Opcionalmente, é possível especificar valores personalizados para as configurações de política que o controle verifica.
Senhas fortes são uma prática recomendada de segurança para grupos de usuários do Amazon Cognito. Senhas fracas podem expor as credenciais dos usuários a sistemas que adivinhem senhas e tentem acessar dados. Esse é especialmente o caso de aplicações abertos à Internet. As políticas de senha são um elemento central da segurança dos diretórios de usuários. Usando uma política de senha, é possível configurar um grupo de usuários para exigir a complexidade da senha e outras configurações que estejam em conformidade com seus padrões e requisitos de segurança.
### Correção
Para obter informações sobre como criar ou atualizar a política de senha para um grupo de usuários do Amazon Cognito, consulte [Adição de requisitos de senha ao grupo de usuários](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies) no *Guia do desenvolvedor do Amazon Cognito*.
## [Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::Cognito::UserPool`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo de usuários do Amazon Cognito tem a proteção contra ameaças ativada com o modo de fiscalização definido como função completa para autenticação personalizada. O controle falhará se o grupo de usuários tiver a proteção contra ameaças desativada ou se o modo de fiscalização não estiver configurado para funcionar totalmente para autenticação personalizada.
A proteção contra ameaças, anteriormente chamada de recursos avançados de segurança, é um conjunto de ferramentas de monitoramento de atividades indesejadas em seu grupo de usuários e ferramentas de configuração para encerrar automaticamente atividades possivelmente mal-intencionadas. Depois de criar um grupo de usuários do Amazon Cognito, você pode ativar a proteção contra ameaças com o modo de imposição de funções completas para autenticação personalizada e personalizar as ações que são tomadas em resposta a diferentes riscos. O modo de função completa inclui um conjunto de reações automáticas para detectar atividades indesejadas e senhas comprometidas.
### Correção
Para obter informações sobre a ativação da proteção contra ameaças para um grupo de usuários do Amazon Cognito, consulte [Segurança avançada com proteção contra ameaças](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) no *Guia do desenvolvedor do Amazon Cognito*.
## [Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação multifatorial
**Gravidade:** média
**Tipo de recurso:** `AWS::Cognito::UserPool`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo de usuários do Amazon Cognito configurado com uma política de login somente por senha tem a autenticação multifator (MFA) ativada. O controle falhará se o grupo de usuários configurado com uma política de login somente por senha não tiver o MFA habilitado.
A autenticação multifatorial (MFA) adiciona um fator de autenticação “algo que você tem” ao fator “algo que você sabe” (normalmente nome de usuário e senha). Para usuários federados, o Amazon Cognito delega a autenticação ao provedor de identidade (IdP) e não oferece fatores adicionais de autenticação. No entanto, se você tiver usuários locais com autenticação por senha, a configuração da MFA para o grupo de usuários aumentará sua segurança.
**nota**
Esse controle não é aplicável para usuários federados e usuários que fazem login com fatores sem senha.
### Correção
*Para obter informações sobre como configurar o MFA para um grupo de usuários do Amazon Cognito, consulte [Adicionar MFA a um grupo de usuários no Guia do desenvolvedor do Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html).*
## [Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Gravidade:** média
**Tipo de recurso:** `AWS::Cognito::UserPool`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo de usuários do Amazon Cognito tem a proteção de exclusão ativada. O controle falhará se a proteção de exclusão estiver desativada para o grupo de usuários.
A proteção contra exclusão ajuda a garantir que seu grupo de usuários não seja excluído acidentalmente. Quando você configura um grupo de usuários com proteção contra exclusão, o pool não pode ser excluído por nenhum usuário. A proteção contra exclusão impede que você solicite a exclusão de um grupo de usuários, a menos que você primeiro modifique o pool e desative a proteção contra exclusão.
### Correção
Para configurar a proteção contra exclusão de um grupo de usuários do Amazon Cognito, [consulte Proteção contra exclusão de grupos de usuários no Guia](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html) do desenvolvedor do Amazon *Cognito*.
# Controles CSPM do Security Hub para AWS Config
Esses controles CSPM do Security Hub avaliam o AWS Config serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.3, CIS Foundations Benchmark v1.2.0/2.5, CIS AWS Foundations Benchmark v1.4.0/3.5, CIS Foundations Benchmark v3.0.0/3.3, NIST.800-53.r5 CM-3, AWS NIST.800-53.r5 CM-6 (1), NIST.800-53.r5 CM-8, AWS NIST.800-53.r5 M-8 (2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/11.5
**Categoria:** Identificar > Inventário
**Gravidade:** crítica
**Tipo de recurso:** `AWS::::Account`
**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `includeConfigServiceLinkedRoleCheck` | O controle não avalia se AWS Config usa a função vinculada ao serviço se o parâmetro estiver definido como. `false` | Booleano | `true` ou `false` | `true` |
Esse controle verifica se AWS Config está ativado em sua conta na atual Região da AWS, registra todos os recursos que correspondem aos controles ativados na região atual e usa a função [vinculada ao serviço AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html). O nome da função vinculada ao serviço é. **AWSServiceRoleForConfig** Se você não usar a função vinculada ao serviço e não definir o `includeConfigServiceLinkedRoleCheck` parâmetro como`false`, o controle falhará porque outras funções podem não ter as permissões necessárias AWS Config para registrar seus recursos com precisão.
O AWS Config serviço executa o gerenciamento da configuração dos AWS recursos compatíveis em sua conta e entrega arquivos de log para você. As informações registradas incluem o item de configuração (AWS recurso), os relacionamentos entre os itens de configuração e quaisquer alterações de configuração nos recursos. Recursos globais são recursos disponíveis em qualquer região.
O controle é avaliado da seguinte maneira:
+ Se a região atual for definida como sua [região de agregação](finding-aggregation.md), o controle produzirá `PASSED` descobertas somente se os recursos globais AWS Identity and Access Management (IAM) forem registrados (se você tiver ativado controles que os exijam).
+ Se a região atual for definida como uma região vinculada, o controle não avaliará se os recursos globais do IAM são registrados.
+ Se a região atual não estiver no agregador ou se a agregação entre regiões não estiver configurada em sua conta, o controle produzirá descobertas `PASSED` somente se os recursos globais do IAM estiverem registrados (se você tiver ativado controles que os exijam).
Os resultados do controle não são afetados se você escolher o registro diário ou o registro contínuo das alterações no estado dos recursos do AWS Config. Porém, os resultados desse controle poderão mudar quando novos controles forem liberados se você tiver configurado a habilitação automática de novos controles ou tiver uma política de configuração central que habilite automaticamente novos controles. Nesses casos, se você não registrar todos os recursos, deverá configurar a gravação dos recursos associados a novos controles para receber uma descoberta `PASSED`.
As verificações de segurança CSPM do Security Hub funcionam conforme o esperado somente se você habilitar AWS Config em todas as regiões e configurar a gravação de recursos para controles que a exijam.
**nota**
O Config.1 exige que AWS Config esteja habilitado em todas as regiões nas quais você usa o Security Hub CSPM.
Como o Security Hub CSPM é um serviço regional, a verificação realizada para esse controle avalia somente a região atual da conta.
Para permitir verificações de segurança em recursos globais do IAM em uma região, é necessário registrar os recursos globais do IAM nessa região. As regiões que não têm os recursos globais do IAM registrados receberão uma descoberta `PASSED` padrão para controles que verificam os recursos globais do IAM. Como os recursos globais do IAM são idênticos Regiões da AWS, recomendamos que você registre os recursos globais do IAM somente na região de origem (se a agregação entre regiões estiver ativada em sua conta). Os recursos do IAM serão registrados somente na região em que a gravação global de recursos estiver ativada.
Os tipos de recursos registrados globalmente pelo IAM que são AWS Config compatíveis são usuários, grupos, funções e políticas gerenciadas pelo cliente do IAM. Você pode considerar a desativação dos controles CSPM do Security Hub que verificam esses tipos de recursos em regiões onde a gravação global de recursos está desativada. Para obter mais informações, consulte [Sugestões de controles a serem desabilitados no CSPM do Security Hub](controls-to-disable.md).
### Correção
Na região inicial e nas regiões que não fazem parte de um agregador, registre todos os recursos necessários para os controles habilitados na região atual, incluindo os recursos globais do IAM, se você tiver controles habilitados que exijam esses recursos.
Nas regiões vinculadas, você pode usar qualquer modo de AWS Config gravação, desde que esteja gravando todos os recursos que correspondem aos controles ativados na região atual. Nas regiões vinculadas, se você tiver habilitado controles que exijam o registro dos recursos globais do IAM, você não receberá uma descoberta `FAILED` (o registro de outros recursos é suficiente).
O campo `StatusReasons` no objeto `Compliance` de sua descoberta pode ajudá-lo a determinar por que você teve uma descoberta com falha para esse controle. Para obter mais informações, consulte [Detalhes de conformidade para as descobertas de controle](controls-findings-create-update.md#control-findings-asff-compliance).
Para obter uma lista dos recursos que devem ser registrados para cada controle, consulte [AWS Config Recursos necessários para descobertas de controle](controls-config-resources.md). Para obter informações gerais sobre como habilitar AWS Config e configurar a gravação de recursos, consulte[Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md).
# Controles de CSPM do Security Hub para Amazon Connect
Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Connect.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CustomerProfiles::ObjectType`
**Regra do AWS Config :** `customerprofiles-object-type-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um tipo de objeto Amazon Connect Customer Profiles tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o tipo de objeto não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o tipo de objeto não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um tipo de objeto Customer Profiles, consulte [Aplicação de tags a recursos no Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html) no *Guia do administrador do Amazon Connect*.
## [Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::Connect::Instance`
**Regra do AWS Config :** [connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma instância do Amazon Connect está configurada para gerar e armazenar registros de fluxo em um grupo de CloudWatch registros da Amazon. O controle falhará se a instância do Amazon Connect não estiver configurada para gerar e armazenar registros de fluxo em um grupo de CloudWatch registros.
Os logs de fluxo do Amazon Connect fornecem detalhes em tempo real sobre eventos nos fluxos do Amazon Connect. Um *fluxo* define a experiência do cliente com uma central de contatos do Amazon Connect do início ao fim. Por padrão, quando você cria uma nova instância do Amazon Connect, um grupo de CloudWatch registros da Amazon é criado automaticamente para armazenar os registros de fluxo da instância. Os logs de fluxo podem ajudar você a analisar fluxos, encontrar erros e monitorar métricas operacionais. Também é possível configurar alertas para eventos específicos que podem ocorrer em um fluxo.
### Correção
Para obter informações sobre como habilitar registros de fluxo para uma instância do Amazon Connect, consulte [Habilitar registros de fluxo do Amazon Connect em um grupo de CloudWatch registros do Amazon](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html) Connect no *Guia do administrador do Amazon Connect*.
# Controles CSPM do Security Hub para Amazon Data Firehose
Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Data Firehose.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AU-3, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::KinesisFirehose::DeliveryStream`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um fluxo de entrega do Amazon Data Firehose é criptografado em repouso com criptografia no servidor. Esse controle falhará se um fluxo de entrega do Firehose não for criptografado em repouso com criptografia no servidor.
A criptografia do lado do servidor é um recurso nos fluxos de entrega do Amazon Data Firehose que criptografa automaticamente os dados antes que estejam em repouso usando uma chave criada em (). AWS Key Management Service AWS KMS Os dados são criptografados antes de serem gravados na camada de armazenamento de fluxo do Data Firehose e são descriptografados depois de recuperados do armazenamento. Isso permite que você cumpra os requisitos regulatórios e aumente a segurança dos dados.
### Correção
Para habilitar a criptografia no servidor dos fluxos de entrega do Firehose, consulte [Proteção de dados no Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html) no *Guia do usuário do Amazon Data Firehose*.
# Controles CSPM do Security Hub para AWS Database Migration Service
Esses AWS Security Hub CSPM controles avaliam o AWS Database Migration Service (AWS DMS) e AWS DMS os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6, (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.2 3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** crítica
**Tipo de recurso:** `AWS::DMS::ReplicationInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se AWS DMS as instâncias de replicação são públicas. Para fazer isso, ele examina o valor do campo `PubliclyAccessible`.
Uma instância de replicação privada tem um endereço IP privado que não pode ser acessado fora da rede de replicação. Uma instância de replicação deve ter um endereço IP privado quando os bancos de dados de origem e de destino ficam na mesma rede. A rede também deve estar conectada à VPC da instância de replicação usando uma VPN Direct Connect ou emparelhamento de VPC. Para saber mais sobre instâncias de replicação públicas e privadas, consulte [Instâncias de replicação públicas e privadas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate) no *Guia do usuário do AWS Database Migration Service *.
Você também deve garantir que o acesso à configuração da sua AWS DMS instância seja limitado somente aos usuários autorizados. Para fazer isso, restrinja as permissões do IAM dos usuários para modificar AWS DMS configurações e recursos.
### Correção
Você não pode alterar a configuração de acesso público de uma instância de replicação do DMS depois de criá-la. Para alterar a configuração de acesso público, [exclua sua instância atual](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html) e, em seguida, [recrie-a](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html). Não selecione a opção **Acessível ao público**.
## [DMS.2] Os certificados do DMS devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::DMS::Certificate`
**AWS Config regra:** `tagged-dms-certificate` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um AWS DMS certificado tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o certificado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o certificado não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um certificado do DMS, consulte [Tagging resources in AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) no *AWS Database Migration Service User Guide*.
## [DMS.3] As assinaturas de eventos do DMS devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::DMS::EventSubscription`
**AWS Config regra:** `tagged-dms-eventsubscription` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se uma assinatura de AWS DMS evento tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a assinatura de eventos não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a assinatura de eventos não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma assinatura de eventos do DMS, consulte [Tagging resources in AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) no *AWS Database Migration Service User Guide*.
## [DMS.4] As instâncias de replicação do DMS devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::DMS::ReplicationInstance`
**AWS Config regra:** `tagged-dms-replicationinstance` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se uma instância AWS DMS de replicação tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a instância de replicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a instância de replicação não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
*Para adicionar tags a uma instância de replicação do DMS, consulte [Tagging resources in AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) no AWS Database Migration Service User Guide*.
## [DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::DMS::ReplicationSubnetGroup`
**AWS Config regra:** `tagged-dms-replicationsubnetgroup` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um grupo AWS DMS de sub-redes de replicação tem tags com as chaves específicas definidas no parâmetro. `requiredTagKeys` O controle falhará se o grupo de sub-redes de replicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de sub-redes de replicação não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um grupo de sub-redes de replicação do DMS, consulte [Tagging resources in AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) no *AWS Database Migration Service User Guide*.
## [DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada
**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** média
**Tipo de recurso:** `AWS::DMS::ReplicationInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a atualização automática de versões secundárias está habilitada para uma instância de AWS DMS replicação. Esse controle falha se a atualização automática de versões secundárias não estiver habilitada para uma instância de replicação do DMS.
O DMS fornece atualização automática de versões secundárias para cada mecanismo de replicação compatível para que você possa manter sua instância de replicação. up-to-date Versões secundárias podem introduzir novos atributos de software, correções de bugs, patches de segurança e melhorias de performance. Ao habilitar a atualização automática de versões secundárias em instâncias de replicação do DMS, atualizações menores são aplicadas automaticamente durante a janela de manutenção ou imediatamente se a **opção Aplicar alterações imediatamente for escolhida**.
### Correção
Para habilitar a atualização automática de versões secundárias em instâncias de replicação do DMS, consulte [Modificar uma instância de replicação](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) no *Guia do usuário do AWS Database Migration Service *.
## [DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::DMS::ReplicationTask`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o registro em log está habilitado com o nível mínimo de gravidade de `LOGGER_SEVERITY_DEFAULT` para as tarefas de replicação do DMS `TARGET_APPLY` e `TARGET_LOAD`. O controle falhará se o registro em log não estiver habilitado para essas tarefas ou se o nível mínimo de gravidade for menor que `LOGGER_SEVERITY_DEFAULT`.
O DMS usa CloudWatch a Amazon para registrar informações durante o processo de migração. Usando as configurações de tarefa de registro, você pode especificar quais atividades de componente serão registradas e qual quantidade de informações será gravada no log. É necessário especificar o registro das seguintes tarefas:
+ `TARGET_APPLY`: as afirmações de dados e linguagem de definição de dados (DDL) são aplicadas ao banco de dados de destino.
+ `TARGET_LOAD`: os dados são carregados no banco de dados de destino.
O registro em log desempenha um papel fundamental nas tarefas de replicação do DMS, permitindo monitoramento, solução de problemas, auditoria, análise de performance, detecção e recuperação de erros, bem como análises e relatórios históricos. Ele ajuda a garantir a replicação bem-sucedida de dados entre bancos de dados, mantendo a integridade dos dados e a conformidade com os requisitos normativos. Níveis de registro em log diferentes de `DEFAULT` raramente são necessários para esses componentes durante a solução de problemas. Recomendamos manter o nível de registro em log como `DEFAULT` para esses componentes, a menos que seja especificamente solicitado alterá-lo por Suporte. Um nível mínimo de registro em log de `DEFAULT` garante que mensagens informativas, avisos e mensagens de erro sejam gravadas nos logs. Esse controle verifica se o nível de registro em log é pelo menos um dos seguintes para as tarefas de replicação anteriores: `LOGGER_SEVERITY_DEFAULT`, `LOGGER_SEVERITY_DEBUG` ou `LOGGER_SEVERITY_DETAILED_DEBUG`.
### Correção
Para ativar o registro em log para tarefas de replicação do DMS do banco de dados de destino, consulte [Visualização e gerenciamento de registros de AWS DMS tarefas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) no Guia do *AWS Database Migration Service usuário*.
## [DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::DMS::ReplicationTask`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o registro em log está habilitado com o nível mínimo de gravidade de `LOGGER_SEVERITY_DEFAULT` para as tarefas de replicação do DMS `SOURCE_CAPTURE` e `SOURCE_UNLOAD`. O controle falhará se o registro em log não estiver habilitado para essas tarefas ou se o nível mínimo de gravidade for menor que `LOGGER_SEVERITY_DEFAULT`.
O DMS usa CloudWatch a Amazon para registrar informações durante o processo de migração. Usando as configurações de tarefa de registro, você pode especificar quais atividades de componente serão registradas e qual quantidade de informações será gravada no log. É necessário especificar o registro das seguintes tarefas:
+ `SOURCE_CAPTURE`: os dados de replicação contínua ou captura de dados de alteração (CDC) são capturados do banco de dados ou serviço de origem e passados para o componente de serviço `SORTER`.
+ `SOURCE_UNLOAD`: os dados são descarregados do banco de dados ou serviço de origem durante a carga total.
O registro em log desempenha um papel fundamental nas tarefas de replicação do DMS, permitindo monitoramento, solução de problemas, auditoria, análise de performance, detecção e recuperação de erros, bem como análises e relatórios históricos. Ele ajuda a garantir a replicação bem-sucedida de dados entre bancos de dados, mantendo a integridade dos dados e a conformidade com os requisitos normativos. Níveis de registro em log diferentes de `DEFAULT` raramente são necessários para esses componentes durante a solução de problemas. Recomendamos manter o nível de registro em log como `DEFAULT` para esses componentes, a menos que seja especificamente solicitado alterá-lo por Suporte. Um nível mínimo de registro em log de `DEFAULT` garante que mensagens informativas, avisos e mensagens de erro sejam gravadas nos logs. Esse controle verifica se o nível de registro em log é pelo menos um dos seguintes para as tarefas de replicação anteriores: `LOGGER_SEVERITY_DEFAULT`, `LOGGER_SEVERITY_DEBUG` ou `LOGGER_SEVERITY_DETAILED_DEBUG`.
### Correção
Para habilitar o registro em log para tarefas de replicação do DMS do banco de dados de origem, consulte [Visualização e gerenciamento de registros de AWS DMS tarefas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) no Guia do *AWS Database Migration Service usuário*.
## [DMS.9] Os endpoints do DMS devem usar SSL
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::DMS::Endpoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um AWS DMS endpoint usa uma conexão SSL. O controle falhará se o endpoint não usar SSL.
As conexões SSL/TLS fornecem uma camada de segurança criptografando conexões entre as instâncias de replicação DMS e seu banco de dados. O uso de um certificado fornece uma camada extra de segurança, validando se a conexão está sendo feita com o banco de dados esperado. Para isso, ele verifica o certificado de servidor que é instalado automaticamente em todas as instâncias de banco de dados que você provisiona. Ao habilitar a conexão SSL em seus endpoints do DMS, você protege a confidencialidade dos dados durante a migração.
### Correção
Para adicionar uma conexão SSL a um endpoint do DMS novo ou existente, consulte [Usar SSL com AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure) no *Guia do usuário do AWS Database Migration Service *.
## [DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
**Requisitos relacionados:** NIST.800-53.r5 AC-2,, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-1 7 NIST.800-53.r5 AC-6, NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1
**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
**Gravidade:** média
**Tipo de recurso:** `AWS::DMS::Endpoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um AWS DMS endpoint para um banco de dados Amazon Neptune está configurado com autorização do IAM. O controle falhará se o endpoint do DMS não tiver a autorização do IAM habilitada.
AWS Identity and Access Management (IAM) fornece controle de acesso refinado em toda parte. AWS Com o IAM, você pode especificar quem pode acessar quais serviços e recursos e em quais condições. Com as políticas do IAM, você gerencia as permissões da força de trabalho e dos sistemas para garantir permissões com privilégio mínimo. Ao habilitar a autorização do IAM em AWS DMS endpoints para bancos de dados Neptune, você pode conceder privilégios de autorização aos usuários do IAM usando uma função de serviço especificada pelo parâmetro. `ServiceAccessRoleARN`
### Correção
Para habilitar a autorização do IAM em endpoints do DMS para bancos de dados Neptune, consulte [Using Amazon Neptune as a target for AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html) no *AWS Database Migration Service User Guide*.
## [DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado
**Requisitos relacionados:** NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1
**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
**Gravidade:** média
**Tipo de recurso:** `AWS::DMS::Endpoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um AWS DMS endpoint para o MongoDB está configurado com um mecanismo de autenticação. O controle falhará se um tipo de autenticação não estiver definido para o endpoint.
AWS Database Migration Service **suporta dois métodos de autenticação para MongoDB — **MONGODB-CR para MongoDB versão 2.x e SCRAM-SHA-1** para MongoDB versão 3.x ou posterior.** Esses métodos de autenticação são usados para autenticar e criptografar senhas do MongoDB se os usuários quiserem usá-las para acessar os bancos de dados. A autenticação em AWS DMS endpoints garante que somente usuários autorizados possam acessar e modificar os dados que estão sendo migrados entre bancos de dados. Sem a autenticação adequada, usuários não autorizados podem obter acesso a dados confidenciais durante o processo de migração. Isso pode resultar em violações de dados, perda de dados ou outros incidentes de segurança.
### Correção
Para habilitar um mecanismo de autenticação em endpoints do DMS para MongoDB, consulte [Using MongoDB as a source for AWS DMS](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html) no *AWS Database Migration Service User Guide*.
## [DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado
**Requisitos relacionados:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::DMS::Endpoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um AWS DMS endpoint para Redis OSS está configurado com uma conexão TLS. O controle falhará se o endpoint não tiver o TLS habilitado.
O TLS fornece end-to-end segurança quando os dados são enviados entre aplicativos ou bancos de dados pela Internet. Quando você configura a criptografia SSL para o endpoint do DMS, ela permite a comunicação criptografada entre os bancos de dados de origem e de destino durante o processo de migração. Isso ajuda a evitar a espionagem e a interceptação de dados confidenciais por agentes mal-intencionados. Sem a criptografia SSL, dados confidenciais podem ser acessados, resultando em violações de dados, perda de dados ou outros incidentes de segurança.
### Correção
Para habilitar uma conexão TLS em endpoints do DMS para o Redis, consulte [Using Redis as a target for AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html) no *AWS Database Migration Service User Guide*.
## [DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::DMS::ReplicationInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma instância de replicação AWS Database Migration Service (AWS DMS) está configurada para usar várias zonas de disponibilidade (implantação Multi-AZ). O controle falhará se a instância de replicação AWS DMS não estiver configurada para usar uma implantação multi-AZ.
Em uma implantação Multi-AZ, provisiona e mantém AWS DMS automaticamente uma réplica em espera de uma instância de replicação em uma zona de disponibilidade (AZ) diferente. A instância de replicação primária é então replicada em sincronia para a réplica em espera. Se a instância de replicação primária falhar ou parar de responder, a instância em espera retoma qualquer tarefa em execução com o mínimo de interrupção. Para obter mais informações, consulte [Trabalho com uma instância de replicação](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html) no *Guia do usuário do AWS Database Migration Service *.
### Correção
Depois de criar uma instância de AWS DMS replicação, você pode alterar a configuração de implantação Multi-AZ para ela. Para obter informações sobre como alterar essa e outras configurações de uma instância de replicação existente, consulte [Modificação de uma instância de replicação](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) no *Guia do usuário do AWS Database Migration Service *.
# Controles CSPM do Security Hub para AWS DataSync
Esses controles CSPM do Security Hub avaliam o AWS DataSync serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [DataSync.1] DataSync as tarefas devem ter o registro ativado
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::DataSync::Task`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma AWS DataSync tarefa tem o registro ativado. O controle falhará se a tarefa não tiver o registro em log habilitado.
Os logs de auditoria rastreiam e monitoram as atividades do sistema. Eles fornecem um registro de eventos que pode ajudar você a detectar as violações de segurança, investigar os incidentes e cumprir os regulamentos. Os logs de auditoria também aprimoram a responsabilização e a transparência da organização em geral.
### Correção
Para obter informações sobre como configurar o registro em log para AWS DataSync tarefas, consulte [Monitoramento de transferências de dados com o Amazon CloudWatch Logs](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html) no *Guia do AWS DataSync usuário*.
## [DataSync.2] DataSync as tarefas devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::DataSync::Task`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma AWS DataSync tarefa tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se a tarefa não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a tarefa não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre como adicionar tags a uma AWS DataSync tarefa, consulte Como [marcar suas AWS DataSync tarefas](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html) no *Guia do AWS DataSync usuário*.
# Controles de CSPM do Security Hub para Amazon Detective
Esse AWS Security Hub CSPM controle avalia o serviço e os recursos do Amazon Detective. O controle pode não estar disponível em todas as Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Detective.1] Os gráficos de comportamento do Detective devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Detective::Graph`
**AWS Config regra:** `tagged-detective-graph` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um gráfico de comportamento do Amazon Detective tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o gráfico de comportamento não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gráfico de comportamento não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um gráfico de comportamento do Detective, consulte [Adding tags to a behavior graph](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console) no *Amazon Detective Administration Guide*.
# Controles CSPM do Security Hub para Amazon DocumentDB
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon DocumentDB (com compatibilidade com o MongoDB). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB é criptografado em repouso. Esse controle falha se um cluster do Amazon DocumentDB não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Os dados nos clusters do Amazon DocumentDB devem ser criptografados em repouso para uma camada adicional de segurança. O Amazon DocumentDB usa o Advanced Encryption Standard de 256 bits (AES-256) para criptografar seus dados usando chaves de criptografia armazenadas em AWS Key Management Service (AWS KMS).
### Correção
É possível habilitar a criptografia em repouso ao criar um cluster do Amazon DocumentDB. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte [Habilitar criptografia em repouso para um cluster do Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) no *Guia do desenvolvedor do Amazon DocumentDB*.
## [DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
**Requisitos relacionados:** NIST.800-53.r5 SI-12, PCI DSS v4.0.1/3.2.1
**Categoria:** Recuperação > Resiliência > Backups ativados
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Período mínimo de retenção de backups em dias | Inteiro | `7` para `35` | `7` |
Esse controle verifica se um cluster do Amazon DocumentDB tem um período de retenção de backup maior ou igual ao período de tempo especificado. O controle falhará se o período de retenção de backup for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção de backup, o Security Hub CSPM usa um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. Ao automatizar backups para seus clusters do Amazon DocumentDB, será possível restaurar seus sistemas em um determinado momento e minimizar o tempo de inatividade e a perda de dados. No Amazon DocumentDB, os clusters têm um período de retenção de backup padrão de 1 dia. Isso deve ser aumentado para um valor entre 7 e 35 dias para passar por esse controle.
### Correção
Para alterar o período de retenção de backup para seus clusters do Amazon DocumentDB, consulte [Modificar um cluster do Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) no *Guia do desenvolvedor do Amazon DocumentDB*. Em **Backup**, escolha o período de retenção de backup.
## [DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** crítica
**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um snapshot de cluster manual do Amazon DocumentDB é público. O controle falhará se o snapshot manual do cluster for público.
Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos, a menos que haja razão para tanto. Se você compartilhar um snapshot manual não criptografado como público, isso o disponibilizará para todas as Contas da AWS. Snapshots públicos podem resultar em exposição não intencional de dados.
**nota**
Esse controle avalia os snapshots manuais do cluster. Você não pode compartilhar um snapshot de cluster automatizado do Amazon DocumentDB. Como alternativa, crie um snapshot manual copiando o snapshot automatizado e compartilhe essa cópia.
### Correção
Para remover o acesso público aos snapshots manuais do cluster do Amazon DocumentDB, consulte [Compartilhar um snapshot](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) no *Guia do desenvolvedor do Amazon DocumentDB*. Programaticamente, você pode usar a operação Amazon DocumentDB `modify-db-snapshot-attribute`. Defina `attribute-name` como `restore` e `values-to-remove` como `all`.
## [DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.3.3
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB publica logs de auditoria no Amazon Logs. CloudWatch O controle falhará se o cluster não publicar registros de auditoria no CloudWatch Logs.
O Amazon DocumentDB (compativel com MongoDB) permite auditar eventos que foram realizados em seu cluster. Exemplos de eventos registrados incluem tentativas de autenticação bem-sucedidas e com falha, eliminação de uma coleção em um banco de dados ou criação de um índice. Por padrão, a auditoria está desativada no Amazon DocumentDB e exige que você tome medidas para habilitá-la.
### Correção
Para publicar os logs de auditoria do Amazon DocumentDB no Logs, consulte [Habilitar a CloudWatch auditoria](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) no Guia do desenvolvedor do *Amazon* DocumentDB.
## [DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon DocumentDB tem a proteção contra exclusão habilitada. O controle falhará se o cluster não tiver a proteção contra exclusão habilitada.
A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por um usuário não autorizado. Um cluster do Amazon DocumentDB não pode ser excluído enquanto a proteção contra exclusão está habilitada. Primeiro, é necessário desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida. A proteção contra exclusão está habilitada por padrão ao criar um cluster no console do Amazon DocumentDB.
### Correção
Para habilitar a proteção contra exclusão para um cluster do Amazon DocumentDB, consulte [Modificar um cluster do Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) no *Guia do desenvolvedor do Amazon DocumentDB*. Na seção **Modificar cluster**, escolha **Habilitar** para **Proteção contra exclusão**.
## [DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)
**Tipo de programação:** Periódico
**Parâmetros:** `excludeTlsParameters`: `disabled`, `enabled` (não personalizáveis)
Esse controle verifica se um cluster do Amazon DocumentDB requer TLS para conexões com o cluster. O controle falhará se o grupo de parâmetros do cluster associado ao cluster não estiver sincronizado ou se o parâmetro TLS do cluster estiver definido como `disabled` ou `enabled`.
É possível usar o TLS para criptografar a conexão entre uma aplicação e um cluster do Amazon DocumentDB. O uso do TLS pode ajudar a proteger os dados contra interceptação enquanto estiverem em trânsito entre uma aplicação e um cluster do Amazon DocumentDB. A criptografia em trânsito para um cluster do Amazon DocumentDB é gerenciada por meio do parâmetro TLS no grupo de parâmetros de cluster que está associado ao cluster. Ao habilitar a criptografia em trânsito, as conexões seguras usando o TLS são obrigatórias para se conectar ao cluster. Recomendamos usar parâmetros de TLS a seguir: `tls1.2+`, `tls1.3+` e `fips-140-3`.
### Correção
Para obter mais informações sobre a alteração das configurações de TLS para um cluster do Amazon DocumentDB, consulte [Criptografia de dados em trânsito](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) no *Guia do desenvolvedor do Amazon DocumentDB*.
# Controles CSPM do Security Hub para DynamoDB
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon DynamoDB. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [DynamoDB.1] As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::DynamoDB::Table`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados válidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `minProvisionedReadCapacity` | Número mínimo de unidades de capacidade de leitura provisionada para o ajuste de escala automático | Inteiro | `1` para `40000` | Nenhum valor padrão |
| `targetReadUtilization` | Percentual de utilização pretendida para a capacidade de leitura | Inteiro | `20` para `90` | Nenhum valor padrão |
| `minProvisionedWriteCapacity` | Número mínimo de unidades de capacidade de gravação provisionada para o ajuste de escala automático | Inteiro | `1` para `40000` | Nenhum valor padrão |
| `targetWriteUtilization` | Percentual de utilização pretendida para a capacidade de gravação | Inteiro | `20` para `90` | Nenhum valor padrão |
Esse controle verifica se uma tabela do Amazon DynamoDB pode escalar sua capacidade de leitura e gravação conforme necessário. O controle falhará se a tabela não usar o modo de capacidade sob demanda ou o modo provisionado com ajuste de escala automático configurado. Por padrão, esse controle exige apenas que um desses modos seja configurado, independentemente dos níveis específicos de capacidade de leitura ou gravação. Opcionalmente, é possível fornecer valores de parâmetros personalizados para exigir níveis específicos de capacidade de leitura e gravação ou de utilização desejada.
A escalabilidade da capacidade com a demanda evita exceções de controle de utilização, o que ajuda a manter a disponibilidade de seus aplicativos. As tabelas do DynamoDB que usam o modo de capacidade sob demanda são limitadas apenas pelas cotas de tabelas padrão de throughput do DynamoDB. Para aumentar essas cotas, você pode registrar um ticket de suporte com Suporte. As tabelas do DynamoDB que usam o modo provisionado com ajuste de escala automático ajustam dinamicamente a capacidade de throughput provisionada em resposta aos padrões de tráfego. Para obter mais informações sobre o controle de utilização de solicitações do DynamoDB, consulte [Controle de utilização de solicitações e capacidade de expansão](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling) no *Guia do desenvolvedor do Amazon DynamoDB*.
### Correção
Para habilitar o ajuste automático do DynamoDB nas tabelas existentes no modo de capacidade, consulte [Habilitar o ajuste de escala automático do DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable) no *Guia do desenvolvedor do Amazon DynamoDB*.
## [DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Backups ativados
**Gravidade:** média
**Tipo de recurso:** `AWS::DynamoDB::Table`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a point-in-time recuperação (PITR) está habilitada para uma tabela do Amazon DynamoDB.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. A recuperação do point-in-time DynamoDB automatiza os backups das tabelas do DynamoDB. Ele reduz o tempo de recuperação de operações acidentais de exclusão ou gravação. As tabelas do DynamoDB que têm a PITR habilitada podem ser restauradas para qualquer ponto nos últimos 35 dias.
### Correção
Para restaurar uma tabela do DynamoDB em um determinado momento, consulte [Restaurar uma tabela do DynamoDB para um ponto no tempo](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html) no *Guia do desenvolvedor do Amazon DynamoDB*.
## [DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::DAX::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon DynamoDB Accelerator (DAX) é criptografado em repouso. O controle falhará se um cluster do DAX não for criptografado em repouso.
Criptografar dados em repouso reduz o risco de os dados armazenados em disco serem acessados por um usuário não autenticado. AWS A criptografia adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessarem os dados. Por exemplo, as permissões da API são necessárias para descriptografar os dados antes que eles possam ser lidos.
### Correção
Não é possível ativar ou desativar a criptografia em repouso após a criação de um cluster. É necessário recriar o cluster para habilitar a criptografia em repouso. Para obter instruções detalhadas sobre como criar um cluster DAX com a criptografia em repouso ativada, consulte [Ativar criptografia em repouso usando o Console de gerenciamento da AWS](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console) no *Guia do desenvolvedor do Amazon DynamoDB*.
## [DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Backups ativados
**Gravidade:** média
**Tipo de recurso:** `AWS::DynamoDB::Table`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html)**``
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `backupVaultLockCheck` | O controle produz uma `PASSED` descoberta se o parâmetro estiver definido como `true` e o recurso usar o AWS Backup Vault Lock. | Booleano | `true` ou `false` | Nenhum valor padrão |
Esse controle avalia se uma tabela do Amazon DynamoDB no estado `ACTIVE` está coberta por um plano de backup. O controle falhará se a tabela do DynamoDB não estiver coberta por um plano de backup. Se você definir o `backupVaultLockCheck` parâmetro igual a`true`, o controle passará somente se o backup da tabela do DynamoDB for feito em AWS Backup um cofre bloqueado.
AWS Backup é um serviço de backup totalmente gerenciado que ajuda você a centralizar e automatizar o backup de dados em todo lugar. Serviços da AWS Com AWS Backup, você pode criar planos de backup que definam seus requisitos de backup, como com que frequência fazer backup de seus dados e por quanto tempo mantê-los. Incluir tabelas do DynamoDB em seus planos de backup ajuda a proteger seus dados contra perda ou exclusão não intencionais.
### Correção
*Para adicionar uma tabela do DynamoDB a AWS Backup um plano de backup, [consulte Atribuição de recursos a um plano de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) no Guia do desenvolvedor.AWS Backup *
## [DynamoB.5] As tabelas do DynamoDB devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::DynamoDB::Table`
**AWS Config regra:** `tagged-dynamodb-table` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se uma tabela de rotas do Amazon DynamoDB tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a tabela não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a tabela não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma tabela do DynamoDB, consulte [Marcar recursos no DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html) no *Guia do desenvolvedor do Amazon DynamoDB*.
## [DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Gravidade:** média
**Tipo de recurso:** `AWS::DynamoDB::Table`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html)**``
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma tabela do Amazon DynamoDB tem a proteção contra exclusão habilitada. O controle falhará se a tabela do DynamoDB não tiver a proteção contra exclusão habilitada.
É possível proteger uma tabela do DynamoDB contra exclusão acidental com a propriedade de proteção contra exclusão. Habilitar essa propriedade para tabelas ajuda a garantir que elas não sejam excluídas acidentalmente durante as operações regulares de gerenciamento de tabelas pelos administradores. Isso ajuda a evitar interrupções nas operações empresariais normais.
### Correção
Para habilitar a proteção contra exclusão de uma tabela do DynamoDB, consulte [Uso da proteção contra exclusão](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) no *Guia do desenvolvedor do Amazon DynamoDB*.
## [DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7, 3, NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 3 NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::DAX::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon DynamoDB Accelerator (DAX) é criptografado em trânsito, com o tipo de criptografia de endpoint definido como TLS. O controle falhará se um cluster do DAX não for criptografado em trânsito.
O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. É necessário permitir que somente conexões criptografadas por TLS acessem clusters do DAX. Porém, a criptografia de dados em trânsito pode afetar a performance. É necessário testar a aplicação com a criptografia ativada para entender o perfil de performance e o impacto do TLS.
### Correção
Você não pode alterar as configurações de criptografia TLS depois de criar um cluster do DAX. Para criptografar um cluster do DAX existente, crie um novo cluster com a criptografia em trânsito habilitada, desvie o tráfego da aplicação para ele e exclua o cluster antigo. Para obter mais informações, consulte [Usar a proteção contra exclusão](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) no *Guia do desenvolvedor do Amazon DynamoDB*.
# Controles CSPM do Security Hub para Amazon EC2
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Elastic Compute Cloud (Amazon EC2). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** crítica
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se os snapshots do Amazon Elastic Block Store não são públicos. O controle falhará se os snapshots do Amazon EBS puderem ser restaurados por qualquer pessoa.
Os snapshots do EBS são usados para fazer backup dos dados nos volumes do EBS no Amazon S3 em determinado momento. É possível usar os snapshots para restaurar estados anteriores de volumes do EBS. Raramente é aceitável compartilhar um snapshot com o público. Normalmente, a decisão de compartilhar um snapshot publicamente era tomada erroneamente ou sem uma compreensão completa das implicações. Essa verificação ajuda a garantir que todo esse compartilhamento tenha sido totalmente planejado e intencional.
### Correção
Para transformar um snapshot público do EBS em privado, consulte [Compartilhar um snapshot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) no *Manual do usuário do Amazon EC2*. Em **Ações, modificar permissões**, escolha **Privado**.
## [EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS Foundations Benchmark v1.2.0/4.3, CIS Foundations Benchmark v1.4.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.4,, (21), (11), (16), (21), (4), ( AWS 5) AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** alta
**Tipo de recurso:** `AWS::EC2::SecurityGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o grupo de segurança padrão de uma VPC não permite tráfego de entrada ou de saída. O controle falhará se o grupo de segurança permitir tráfego de entrada ou de saída.
As regras do [grupo de segurança padrão](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html) permitem todo o tráfego de saída e entrada de interfaces de rede (e as instâncias associadas) que são atribuídas ao mesmo grupo de segurança. Recomendamos que você não use o grupo de segurança padrão. Como o grupo de segurança padrão não pode ser excluído, altere a configuração das regras do grupo de segurança padrão para restringir o tráfego de entrada e saída. Isso evita o tráfego não intencional se o grupo de segurança padrão for acidentalmente configurado para recursos como as instâncias do EC2.
### Correção
Para corrigir esse problema, comece criando novos grupos de segurança com privilégios mínimos. Para obter instruções, consulte [Regras do grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups) no *Guia do usuário do Amazon VPC*. Em seguida, atribua os novos grupos de segurança às suas instâncias do EC2. Para obter instruções, consulte [Alterar o grupo de segurança de uma instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group) no *Manual do usuário do Amazon EC2*.
Depois de atribuir os novos grupos de segurança aos seus recursos, remova todas as regras de entrada e saída dos grupos de segurança padrão. Para obter instruções, consulte [Configurar regras de grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) no *Manual do usuário da Amazon VPC*.
## [EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso.
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::Volume`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os volumes do EBS em um estado anexado estão criptografados. Para passar nessa verificação, os volumes do EBS devem estar em uso e criptografados. Se o volume do EBS não estiver anexado, ele não estará sujeito a essa verificação.
Para obter uma camada adicional de segurança para os dados confidenciais nos volumes do EBS, habilite a criptografia em repouso do EBS. O Amazon EBS oferece uma solução simples de criptografia para os volumes do EBS que não exigem que você crie, mantenha e proteja sua própria infraestrutura de gerenciamento de chaves. Ele usa chaves do KMS ao criar volumes e snapshots criptografados.
Para saber mais sobre a criptografia do Amazon EBS, consulte [Criptografia do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) no *Manual do usuário do Amazon EC2*.
### Correção
Não há uma maneira direta de criptografar um volume ou snapshot existente não criptografado. É possível criptografar um novo volume ou snapshot somente ao criá-lo.
Se você tiver habilitado a criptografia por padrão, o Amazon EBS criptografará o novo volume ou snapshot resultante usando sua chave padrão para a criptografia do EBS. Mesmo se não tiver habilitado a criptografia por padrão, será possível habilitá-la ao criar um volume ou um snapshot individual. Em ambos os casos, é possível substituir a chave padrão para a criptografia do Amazon EBS e escolher uma chave simétrica gerenciada pelo cliente.
Para obter mais informações, consulte [Criar um volume do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) e [Copiar um snapshot do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html) no *Manual do usuário do Amazon EC2*.
## [EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Identificar > Inventário
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::Instance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `AllowedDays` | Número de dias em que a instância do EC2 pode ficar em um estado interrompido antes de gerar uma descoberta com falha. | Inteiro | `1` para `365` | `30` |
Esse controle verifica se uma instância do Amazon EC2 foi interrompida por mais do que o número de dias permitido. O controle falhará se uma instância do EC2 for interrompida por mais tempo do que o período máximo permitido. A menos que você forneça um valor de parâmetro personalizado para o período máximo permitido, o Security Hub CSPM usa um valor padrão de 30 dias.
Quando uma instância do EC2 não é executada por um período significativo de tempo, isso cria um risco de segurança porque a instância não está sendo mantida ativamente (analisada, corrigida, atualizada). Se for lançado posteriormente, a falta de manutenção adequada pode resultar em problemas inesperados em seu AWS ambiente. Para manter com segurança uma instância do EC2 ao longo do tempo em um estado inativo, inicie-a periodicamente para manutenção e depois interrompa-a após a manutenção. Idealmente, esse deve ser um processo automatizado.
### Correção
Para encerrar uma instância inativa do EC2, consulte [Como encerrar uma instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console) no *Manual do usuário do Amazon EC2*.
## [EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.7, CIS Foundations Benchmark v1.2.0/2.9, CIS Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SI-7 (8), AWS NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.1.20, Nist.800-171.r2 3.13.1, PCI AWS DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, PCI DSS v3.2.1/10.3.6
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::VPC`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros:**
+ `trafficType`: `REJECT` (não personalizável)
Esse controle verifica se os registros de fluxo da Amazon VPC foram encontrados e habilitados para. VPCs O tipo de tráfego está definido como `Reject`. O controle falhará se os registros de fluxo de VPC não estiverem habilitados VPCs em sua conta.
**nota**
Esse controle não verifica se os logs de fluxo da Amazon VPC estão habilitados por meio do Amazon Security Lake para a Conta da AWS.
Com o recurso VPC Flow Logs, você pode capturar informações sobre tráfego IP de entrada e de saída nas interfaces de rede da VPC. Depois de criar um registro de fluxo, você pode visualizar e recuperar seus dados em CloudWatch Registros. Para reduzir custos, você também pode enviar seus logs de fluxo para o Amazon S3.
O Security Hub CSPM recomenda que você habilite o registro de fluxo para rejeições de pacotes para. VPCs Os registros de fluxo fornecem visibilidade sobre o tráfego de rede que percorre a VPC e podem detectar tráfego ou informações anormais durante fluxos de trabalho de segurança.
Por padrão, o registro inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. Para obter mais informações e descrições dos campos de log, consulte [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) no *Guia do usuário do Amazon VPC*.
### Correção
Para criar uma VPC, consulte [Criar um fluxo de log](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log) no *Guia do usuário do Amazon VPC*. **Depois de abrir o console da Amazon VPC, escolha Seu. VPCs** Em **Filtrar**, escolha **Rejeitar** ou **Todos**.
## [EC2.7] A criptografia padrão do EBS deve estar ativada
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.1.1, CIS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.2.1, (1), 3, 8, 8 (1), (10), NIST.800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6) AWS NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a criptografia em nível de conta está habilitada por padrão para volumes do Amazon Elastic Block Store (Amazon EBS). O controle falhará se a criptografia no nível da conta não estiver habilitada para volumes do EBS.
Quando a criptografia está habilitada para sua conta, os volumes e as cópias de snapshot do Amazon EBS são criptografados em repouso. Isso adiciona uma camada adicional de proteção aos dados. Para obter mais informações, consulte [Habilitar a criptografia por padrão](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) no *Manual do usuário do Amazon EC2*.
### Correção
Para configurar a criptografia padrão em volumes do Amazon EBS, consulte [Criptografia por padrão](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) no *Manual do usuário do Amazon EC2*.
## [EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.7, CIS Foundations Benchmark v3.0.0/5.6,, ( AWS 15), (7), PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
**Categoria:** Proteger > Segurança de rede
**Gravidade:** alta
**Tipo de recurso:** `AWS::EC2::Instance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a versão de metadados da sua instância EC2 está configurada com o Instance Metadata Service Version 2 (). IMDSv2 O controle passa se `HttpTokens` estiver definido como necessário para IMDSv2. O controle falha se `HttpTokens` estiver definido como `optional`.
Você usa os metadados da instância para configurar ou gerenciar a instância em execução. O IMDS fornece acesso a credenciais temporárias e frequentemente alternadas. Essas credenciais eliminam a necessidade de codificar ou distribuir credenciais confidenciais às instâncias manual ou programaticamente. O IMDS é conectado localmente a cada instância do EC2. Ele é executado em um endereço IP especial de “link local” de 169.254.169.254. Esse endereço IP só pode ser acessado pelo software executado na instância.
A versão 2 do IMDS adiciona novas proteções para os seguintes tipos de vulnerabilidades. Essas vulnerabilidades podem ser usadas para tentar acessar o IMDS.
+ Firewalls de aplicativos de sites abertos
+ Proxies reversos abertos
+ Vulnerabilidades de falsificação de solicitações do lado do servidor (SSRF)
+ Firewalls Open Layer 3 e conversão de endereços de rede (NAT)
O Security Hub CSPM recomenda que você configure suas instâncias do EC2 com. IMDSv2
### Correção
Para configurar instâncias do EC2 com IMDSv2, consulte [Caminho recomendado para a solicitação IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2) no Guia do usuário do *Amazon EC2*.
## [EC2.9] As instâncias do Amazon EC2 não devem ter um endereço público IPv4
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:** `AWS::EC2::Instance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as instâncias do EC2 têm um endereço IP público. Esse controle falha se o campo `publicIp` estiver presente no item de configuração da instância do EC2. Esse controle se aplica somente aos IPv4 endereços.
Um endereço IPv4 público é um endereço IP que é acessível pela Internet. Se você iniciar suas instâncias com um endereço IP público, sua instância do EC2 poderá ser acessada pela Internet. Um endereço IPv4 privado é um endereço IP que não é acessível pela Internet. É possível usar endereços IPv4 privados para comunicação entre instâncias EC2 na mesma VPC ou em sua rede privada conectada.
IPv6 os endereços são globalmente exclusivos e, portanto, podem ser acessados pela Internet. No entanto, por padrão, todas as sub-redes têm o atributo de IPv6 endereçamento definido como false. Para obter mais informações sobre isso IPv6, consulte o [endereçamento IP em sua VPC no Guia](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) do usuário da Amazon *VPC*.
Se você tiver um caso de uso legítimo para manter instâncias do EC2 com endereços IP públicos, poderá suprimir as descobertas desse controle. Para obter mais informações sobre as opções de arquitetura front-end, consulte o [blog de AWS arquitetura](https://aws.amazon.com/blogs/architecture/) ou a série de AWS vídeos da [série This Is My Architecture](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile).
### Correção
Use uma VPC não padrão para que um endereço IP público não seja atribuído à instância por padrão.
Quando você inicia uma instância EC2 em uma VPC padrão, atribuímos a ela um endereço IP público. Quando você executa uma instância do EC2 em uma VPC não padrão, a configuração da sub-rede determina se ela recebe um endereço IP público. A sub-rede tem um atributo para determinar se as novas instâncias do EC2 na sub-rede recebem um endereço IP público do pool de endereços públicos IPv4 .
Você não pode desassociar um endereço IP público atribuído automaticamente da instância do EC2. Para obter mais informações, consulte [ IPv4 Endereços públicos e nomes de host DNS externos no Guia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses) do usuário do *Amazon EC2*.
## [EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, (21) NIST.800-53.r5 AC-4,,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1
**Categoria:** Proteger > Configuração de rede segura > Acesso privado a API
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::VPC`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros:**
+ `serviceName`: `ec2` (não personalizável)
Esse controle verifica se um endpoint de serviço para o Amazon EC2 foi criado para cada VPC. O controle falhará se uma VPC não tiver um endpoint da VPC criado para o serviço Amazon EC2.
Esse controle avalia os recursos em uma única conta. Ela não pode descrever recursos que estão fora da conta. Como AWS Config o CSPM do Security Hub não realiza verificações entre contas, você verá VPCs que `FAILED` as descobertas são compartilhadas entre contas. O Security Hub CSPM recomenda que você suprima essas descobertas. `FAILED`
Para melhorar a postura de segurança da sua VPC, configure o Amazon EC2 para usar um VPC endpoint de interface. Os endpoints de interface são alimentados por AWS PrivateLink, uma tecnologia que permite que você acesse as operações de API do Amazon EC2 de forma privada. Ele restringe todo o tráfego de rede entre sua VPC e o Amazon EC2 para a rede da Amazon. Como os endpoints são suportados somente na mesma região, não é possível criar um endpoint entre uma VPC e um serviço em uma região diferente. Isso evita chamadas não intencionais da API do Amazon EC2 para outras regiões.
Para saber mais sobre a criação de endpoints da VPC para o Amazon EC2, consulte [Endpoints da VPC de interface do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html) no *Manual do usuário do Amazon EC2*.
### Correção
Para criar um endpoint de interface para o Amazon EC2 a partir do console Amazon VPC, consulte [Criar um endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) no *Guia do AWS PrivateLink *. Em **Nome do serviço**, escolha **com.amazonaws. *region*.ec2**.
É possível criar e associar uma política de endpoint ao endpoint de sua VPC para controlar o acesso à API do Amazon EC2. Para obter instruções sobre como criar uma política de endpoint da VPC, consulte [Criar uma política de endpoint](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy) no *Manual do usuário do Amazon EC2*.
## [EC2.12] O Amazon EC2 não utilizado deve ser removido EIPs
**Requisitos relacionados:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CM-8(1)
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::EIP`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os endereços IP elásticos (EIP) alocados a uma VPC estão conectados às instâncias do EC2 ou às interfaces de rede elástica em uso (). ENIs
Uma falha na descoberta indica que você pode ter EIPs EC2 não utilizado.
Isso ajudará você a manter um inventário preciso de ativos EIPs em seu ambiente de dados de titulares de cartões (CDE).
### Correção
Para liberar um IP elástico não utilizado, consulte [Liberar um endereço IP elástico](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing) no *Manual do usuário do Amazon EC2*.
## [EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/4.1,, (21), (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.13.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.1 2.2.2, PCI DSS v4.0.1/1.3.1 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** alta
**Tipo de recurso:** `AWS::EC2::SecurityGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)
**Tipo de agendamento:** acionado por alterações e periódico
**Parâmetros**: nenhum
Esse controle verifica se um grupo de segurança do Amazon EC2 permite a entrada de 0.0.0/0 ou ::/0 na porta 22. O controle falhará se o grupo de segurança permitir a entrada de 0.0.0/0 ou ::/0 na porta 22.
Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . Recomendamos que nenhum grupo de segurança permita o acesso de entrada irrestrito à porta 22. A remoção de conectividade sem restrições aos serviços de console remotos, como SSH, reduz a exposição do servidor ao risco.
### Correção
Para proibir a entrada na porta 22, remova a regra que permite esse acesso para cada grupo de segurança associado a uma VPC. Para obter instruções, consulte [Atualizar regras de grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) no *Manual do usuário do Amazon EC2*. Depois de selecionar um grupo de segurança no console do Amazon EC2, escolha **Ações, editar regras de entrada**. Remova a regra que permite o acesso à porta 22.
## [EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** alta
**Tipo de recurso:** `AWS::EC2::SecurityGroup`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(a regra criada é`restricted-rdp`)
**Tipo de agendamento:** acionado por alterações e periódico
**Parâmetros**: nenhum
Esse controle verifica se um grupo de segurança do Amazon EC2 permite a entrada de 0.0.0/0 ou ::/0 na porta 3389. O controle falhará se o grupo de segurança permitir a entrada de 0.0.0/0 ou ::/0 na porta 3389.
Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . Recomendamos que nenhum grupo de segurança de entrada para permitir acesso irrestrito a porta 3389. A remoção de conectividade sem restrições aos serviços de console remotos, como RDP, reduz a exposição do servidor ao risco.
### Correção
Para proibir a entrada na porta 3389, remova a regra que permite esse acesso para cada grupo de segurança associado a uma VPC. Para obter instruções, consulte [Regras do grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules) no *Guia do usuário do Amazon VPC*. Depois de selecionar um grupo de segurança no console do Amazon VPC, escolha **Ações, editar regras de entrada**. Remova a regra que permite o acesso à porta 3389.
## As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Categoria:** Proteger > Segurança de rede
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::Subnet`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma sub-rede da Amazon Virtual Private Cloud (Amazon VPC) está configurada para atribuir automaticamente endereços IP públicos. O controle falhará se a sub-rede estiver configurada para atribuir automaticamente IPv6 endereços públicos IPv4 ou públicos.
As sub-redes têm atributos que determinam se as interfaces de rede recebem automaticamente endereços IPv4 e IPv6 públicos. Para IPv4, esse atributo é definido como `TRUE` para sub-redes padrão e `FALSE` para sub-redes não padrão (com exceção das sub-redes não padrão criadas por meio do assistente de instância de inicialização do EC2, onde está definido como). `TRUE` Para IPv6, esse atributo é definido como `FALSE` para todas as sub-redes por padrão. Quando esses atributos são ativados, as instâncias executadas na sub-rede recebem automaticamente os endereços IP correspondentes (IPv4 ou IPv6) em sua interface de rede primária.
### Correção
Para configurar uma sub-rede para não atribuir endereços IP públicos, consulte [Modificação dos atributos de endereçamento IP da sua sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) no *Guia do usuário da Amazon VPC*.
## [EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
**Requisitos relacionados:** NIST.800-53.r5 CM-8(1), NIST.800-171.r2 3,4.7, PCI DSS v4.0.1/1.2.7
**Categoria:** Proteger > Segurança de rede
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::NetworkAcl`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se há alguma lista de controle de acesso à rede (rede ACLs) não utilizada na sua nuvem privada virtual (VPC). O controle falhará se a ACL da rede não estiver associada a uma sub-rede. O controle não gerará descobertas para uma ACL de rede padrão não utilizada.
O controle verifica a configuração do recurso `AWS::EC2::NetworkAcl` e determina as relações da ACL de rede.
Se o único relacionamento for a VPC da ACL de rede, o controle falhará.
Se outros relacionamentos estiverem listados, o controle será aprovado.
### Correção
Para obter instruções sobre como excluir uma ACL de rede não utilizada, consulte [Excluir uma ACL de rede](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL) no *Guia do usuário do Amazon VPC*. Não é possível excluir a ACL de rede padrão ou uma ACL associada a sub-redes.
## [EC2.17] As instâncias do Amazon EC2 não devem usar várias ENIs
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21)
**Categoria:** Proteger > Segurança de rede
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::Instance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma instância do EC2 usa várias interfaces de rede elásticas (ENI) ou Elastic Fabric Adapters (EFAs). Esse controle passa se um único adaptador de rede for usado. O controle inclui uma lista de parâmetros opcional para identificar os ENIs permitidos. Esse controle também falhará se uma instância do EC2 que pertence a um cluster do Amazon EKS usar mais de uma ENI. Se suas instâncias do EC2 precisarem ter várias ENIs como parte de um cluster Amazon EKS, você poderá suprimir essas descobertas de controle.
Várias ENIs podem causar instâncias com hospedagem dupla, ou seja, instâncias que têm várias sub-redes. Isso pode aumentar a complexidade da segurança da rede e introduzir caminhos e acessos de rede não intencionais.
### Correção
Para desanexar uma interface de rede de uma instância do EC2, consulte [Desanexar uma interface de rede de uma instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni) no *Manual do usuário do Amazon EC2*.
## [EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 NIST.800-53.r5 SC-7 3.1.3, NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.13.1
**Categoria:** Proteger > Configuração de rede segura > Configuração do grupo de segurança
**Gravidade:** alta
**Tipo de recurso:** `AWS::EC2::SecurityGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `authorizedTcpPorts` | Lista de portas TCP autorizadas | IntegerList (mínimo de 1 item e máximo de 32 itens) | `1` para `65535` | `[80,443]` |
| `authorizedUdpPorts` | Lista de portas UDP autorizadas | IntegerList (mínimo de 1 item e máximo de 32 itens) | `1` para `65535` | Nenhum valor padrão |
Esse controle verifica se um grupo de segurança do Amazon EC2 permite tráfego de entrada irrestrito em portas não autorizadas. O status do controle é determinado da forma a seguir:
+ Se você usar o valor padrão para `authorizedTcpPorts`, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito em qualquer porta que não seja as portas 80 e 443.
+ Se você fornecer valores personalizados para `authorizedTcpPorts` ou `authorizedUdpPorts`, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito em qualquer porta não listada.
Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída para AWS. As regras do grupo de segurança devem seguir o princípio do acesso de privilégio mínimo. O acesso irrestrito (endereço IP com sufixo /0) aumenta a oportunidade de atividades maliciosas, como invasões, denial-of-service ataques e perda de dados. A menos que uma porta seja especificamente permitida, a porta deve negar acesso irrestrito.
### Correção
Para modificar um grupo de segurança, consulte [Trabalho com grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html) no *Guia do usuário da Amazon VPC*.
## [EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.13.1
**Categoria:** Proteger > Acesso restrito à rede
**Gravidade:** crítica
**Tipo de recurso:** `AWS::EC2::SecurityGroup`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(a regra criada é`vpc-sg-restricted-common-ports`)
**Tipo de agendamento:** acionado por alterações e periódico
**Parâmetros:** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` (não personalizável)
Esse controle verifica se o tráfego de entrada irrestrito para um grupo de segurança do Amazon EC2 está acessível às portas especificadas que são consideradas de alto risco. Esse controle falhará se alguma das regras em um grupo de segurança permitir tráfego de entrada de '0.0.0.0/0' ou '::/0' nessas portas.
Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . O acesso irrestrito (0.0.0.0/0) aumenta as oportunidades de atividades maliciosas, como invasões, denial-of-service ataques e perda de dados. Nenhum grupo de segurança deve permitir acesso irrestrito de entrada às seguintes portas:
+ 20, 21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ 10 (POP3)
+ 135 (RPM)
+ 143 (IMAPA)
+ 445 (CIFS)
+ 1433, 1434 (MSSQL)
+ 3000 (estruturas de desenvolvimento web Go, Node.js e Ruby)
+ 3306 (MySQL)
+ 3389 (RDP)
+ 4333 (ahsp)
+ 5000 (estruturas de desenvolvimento web em Python)
+ 5432 (PostgreSQL)
+ 500 (fcp-addr-srvr1)
+ 5601 (Painéis) OpenSearch
+ 8080 (proxy)
+ 8088 (porta HTTP antiga)
+ 8888 (porta HTTP alternativa)
+ 9200 ou 9300 () OpenSearch
### Correção
Para excluir regras de um grupo de segurança, consulte [Excluir regras de grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule) no *Manual do usuário do Amazon EC2*.
## [EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5), NIST.800-171.r2 3.1.13, NIST.800-171.r2 3.1.20
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:**`AWS::EC2::VPNConnection`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Um túnel VPN é um link criptografado em que os dados podem passar da rede do cliente para ou de AWS dentro de uma conexão AWS Site-to-Site VPN. Cada conexão VPN inclui dois túneis VPN que podem ser usados simultaneamente para alta disponibilidade. Garantir que os dois túneis VPN estejam prontos para uma conexão VPN é importante para confirmar uma conexão segura e altamente disponível entre uma AWS VPC e sua rede remota.
Esse controle verifica se os dois túneis VPN fornecidos pela AWS Site-to-Site VPN estão no status UP. O controle falhará se um ou ambos os túneis estiverem no status DOWN.
### Correção
Para modificar as opções de túnel VPN, consulte [Modificação das opções de túnel Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html) no Guia do usuário da AWS Site-to-Site VPN.
## [EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.2, CIS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, (21), (1), NIST.800-53.r5 AC-4 (21), (5), NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1, AWS NIST.800-53.r5 CA-9 PCI D2 SS v4.0.1/1.3.1 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:**`AWS::EC2::NetworkAcl`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma lista de controle de acesso à rede (Network ACL) permite acesso irrestrito às portas TCP padrão para SSH/RDP tráfego de entrada. O controle falhará se a entrada de ingresso da ACL de rede permitir um bloco CIDR de origem de '0.0.0.0/0' ou '::/0' para as portas TCP 22 ou 3389. O controle não gera descobertas para uma ACL de rede padrão.
O acesso às portas de administração remota do servidor, como a porta 22 (SSH) e a porta 3389 (RDP), não deve ser acessível ao público, pois isso pode permitir acesso não intencional aos recursos em sua VPC.
### Correção
Para editar as regras de tráfego da ACL de rede, consulte [Trabalhar com rede ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) no Guia do *usuário da Amazon VPC*.
## [PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos
**Categoria:** Identificar > Inventário
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::NetworkInterface`,`AWS::EC2::SecurityGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se os grupos de segurança estão anexados a instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou a uma interface de rede elástica. O controle falhará se o grupo de segurança não estiver associado a uma instância do Amazon EC2 ou a uma interface de rede elástica.
**Importante**
Em 20 de setembro de 2023, o Security Hub CSPM removeu esse controle dos padrões AWS Foundational Security Best Practices e NIST SP 800-53 Revision 5. Esse controle continua fazendo parte do padrão AWS Control Tower gerenciado por serviços. Esse controle produz uma descoberta aprovada se os grupos de segurança estiverem conectados a instâncias do EC2 ou a uma interface de rede elástica. No entanto, para determinados casos de uso, grupos de segurança independentes não representam um risco de segurança. É possível usar outros controles do EC2, como EC2.2, EC2.13, EC2.14, EC2.18 e EC2.19, para monitorar seus grupos de segurança.
### Correção
Para criar, atribuir e excluir grupos de segurança, consulte [Grupos de segurança para suas instâncias do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html) no *Guia do usuário do Amazon EC2*.
## [EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** alta
**Tipo de recurso:**`AWS::EC2::TransitGateway`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os gateways de trânsito do EC2 estão aceitando automaticamente anexos de VPC compartilhados. Esse controle falha em um gateway de trânsito que aceita automaticamente solicitações compartilhadas de anexos de VPC.
A ativação de `AutoAcceptSharedAttachments` configura um gateway de trânsito para aceitar automaticamente qualquer solicitação de anexo de VPC entre contas sem verificar a solicitação ou a conta da qual o anexo é originário. Para seguir as melhores práticas de autorização e autenticação, recomendamos desativar esse atributo para garantir que somente solicitações autorizadas de anexos de VPC sejam aceitas.
### Correção
Para modificar um gateway de trânsito, consulte [Modificar um gateway de trânsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying) no Guia do desenvolvedor do Amazon VPC.
## Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
**Requisitos relacionados:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** média
**Tipo de recurso:**`AWS::EC2::Instance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o tipo de virtualização de uma instância do EC2 é paravirtual. O controle falhará se o `virtualizationType` da instância do EC2 estiver definida como `paravirtual`.
O Linux Amazon Machine Images (AMIs) usa um dos dois tipos de virtualização: paravirtual (PV) ou máquina virtual de hardware (HVM). As principais diferenças entre PV e HVM AMIs são a maneira pela qual eles inicializam e se eles podem tirar proveito de extensões de hardware especiais (CPU, rede e armazenamento) para obter melhor desempenho.
Historicamente, os hóspedes fotovoltaicos tinham melhor desempenho do que os convidados HVM em muitos casos, mas devido aos aprimoramentos na virtualização de HVM e à disponibilidade de drivers fotovoltaicos para HVM, isso não é mais verdade. AMIs Para obter mais informações, consulte [Tipos de virtualização de AMI do Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html) no Manual do usuário do Amazon EC2.
### Correção
Para atualizar uma instância do EC2 para um novo tipo de instância, consulte [Alterar o tipo de instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html) no *Manual do usuário do Amazon EC2*.
## [EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:**`AWS::EC2::LaunchTemplate`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os modelos de execução do Amazon EC2 estão configurados para atribuir endereços IP públicos às interfaces de rede após o lançamento. O controle falhará se um modelo de execução do EC2 estiver configurado para atribuir um endereço IP público às interfaces de rede ou se houver pelo menos uma interface de rede que tenha um endereço IP público.
Um endereço IP público é aquele que é acessível pela Internet. Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional às suas workloads.
### Correção
Para atualizar um modelo de execução do EC2, consulte [Alterar as configurações de interface de rede padrão](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface) no *Guia do usuário do Amazon EC2 Auto Scaling*.
## [EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
**Categoria:** Recuperação > Resiliência > Backups ativados
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::Volume`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html)**``
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `backupVaultLockCheck` | O controle produzirá uma descoberta `PASSED` se o parâmetro estiver definido como `true` e o recurso usar o Vault Lock do AWS Backup . | Booleano | `true` ou `false` | Nenhum valor padrão |
Esse controle avalia se um volume do Amazon EBS no estado `in-use` está coberto por um plano de backup. O controle falhará se um volume do EBS não estiver coberto por um plano de backup. Se você definir o `backupVaultLockCheck` parâmetro igual a`true`, o controle passará somente se o volume do EBS for copiado em um cofre AWS Backup bloqueado.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. Incluir os volumes do Amazon EBS em seus planos de backup ajuda a proteger seus dados contra perda ou exclusão não intencionais.
### Correção
Para adicionar um volume do Amazon EBS a um plano de AWS Backup backup, consulte [Atribuição de recursos a um plano de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) no Guia do *AWS Backup desenvolvedor*.
## [EC2.33] Os anexos do gateway de trânsito do EC2 devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::TransitGatewayAttachment`
**AWS Config regra:** `tagged-ec2-transitgatewayattachment` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um anexo do gateway de trânsito do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o anexo do gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o anexo do gateway de trânsito não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a um anexo do gateway de trânsito do EC2, consulte [Marcar com tag seus recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no Manual do usuário do *Amazon EC2*.
## [EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::TransitGatewayRouteTable`
**AWS Config regra:** `tagged-ec2-transitgatewayroutetable` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma tabela de rotas do gateway de trânsito do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a tabela de rotas do gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a tabela de rotas do gateway de trânsito não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a uma tabela de rotas do gateway de trânsito do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.35] As interfaces de rede do EC2 devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::NetworkInterface`
**AWS Config regra:** `tagged-ec2-networkinterface` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma interface de rede do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a interface de rede não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a interface de rede não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a uma interface de rede do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.36] Os gateways dos clientes do EC2 devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::CustomerGateway`
**AWS Config regra:** `tagged-ec2-customergateway` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um gateway do cliente do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o gateway do cliente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway do cliente não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a um gateway do cliente do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.37] Os endereços IP elásticos do EC2 devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::EIP`
**AWS Config regra:** `tagged-ec2-eip` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um endereço IP elástico do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o endereço IP elástico não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o endereço IP elástico não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a um endereço IP elástico do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.38] As instâncias do EC2 devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::Instance`
**AWS Config regra:** `tagged-ec2-instance` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma instância do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a instância do cliente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a instância não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a uma instância do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.39] Os gateways da Internet do EC2 devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::InternetGateway`
**AWS Config regra:** `tagged-ec2-internetgateway` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um gateway da Internet do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o gateway da Internet não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway da Internet não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a um gateway da Internet do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.40] Os gateways de NAT do EC2 devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::NatGateway`
**AWS Config regra:** `tagged-ec2-natgateway` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um gateway de conversão de endereços de rede (NAT) do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o gateway de NAT não tiver nenhuma chave de tag ou se ele não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway de NAT não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a um gateway de NAT do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.41] A rede ACLs EC2 deve ser marcada
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::NetworkAcl`
**AWS Config regra:** `tagged-ec2-networkacl` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma lista de controle de acesso à rede (ACL da rede) do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a ACL de rede não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a ACL de rede não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a uma ACL de rede do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.42] As tabelas de rotas do EC2 devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::RouteTable`
**AWS Config regra:** `tagged-ec2-routetable` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma tabela de rotas do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a tabela de rotas não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a tabela de rotas não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a uma tabela de rotas do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.43] Os grupos de segurança do EC2 devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::SecurityGroup`
**AWS Config regra:** `tagged-ec2-securitygroup` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um grupo de segurança do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o grupo de segurança não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de segurança não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a um grupo de segurança do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.44] As sub-redes do EC2 devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::Subnet`
**AWS Config regra:** `tagged-ec2-subnet` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma sub-rede do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a ACL de rede não tiver nenhuma chave de tag ou se a sub-rede não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a sub-rede não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a uma sub-rede do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.45] Os volumes do EC2 devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::Volume`
**AWS Config regra:** `tagged-ec2-volume` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um volume do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a ACL de rede não tiver nenhuma chave de tag ou se o volume não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o volume não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a um volume do EC2 [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.46] Amazon VPCs deve ser etiquetada
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::VPC`
**AWS Config regra:** `tagged-ec2-vpc` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma Amazon Virtual Private Cloud (Amazon VPC) tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a VPC de rede não tiver nenhuma chave de tag ou se o volume não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a Amazon VPC não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a uma VPC, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.47] Os serviços de endpoint da Amazon VPC devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::VPCEndpointService`
**AWS Config regra:** `tagged-ec2-vpcendpointservice` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um serviço de endpoint da Amazon VPV tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o serviço de endpoint não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o serviço de endpoint não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
*Para adicionar tags a um serviço de endpoint da Amazon VPC, consulte [Gerenciar tags](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags) na seção [Configurar um serviço de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html) no Guia do AWS PrivateLink *.
## [EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::FlowLog`
**AWS Config regra:** `tagged-ec2-flowlog` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um log de fluxo da Amazon VPC tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o log de fluxo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o log de fluxo não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a um log de fluxo da Amazon VPC, consulte [Marcar um log de fluxo](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs) no *Guia do usuário da Amazon VPC*.
## [EC2.49] As conexões de emparelhamento da Amazon VPC devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::VPCPeeringConnection`
**AWS Config regra:** `tagged-ec2-vpcpeeringconnection` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma conexão de emparelhamento da Amazon VPC tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a conexão de emparelhamento não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a conexão de emparelhamento não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a uma conexão de emparelhamento da Amazon VPC, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Manual do usuário do Amazon EC2*.
## [EC2.50] Os gateways de VPN do EC2 devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::VPNGateway`
**AWS Config regra:** `tagged-ec2-vpngateway` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um gateway da VPN do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o gateway da VPN não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway da VPN não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a um gateway da VPN do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Manual do usuário do Amazon EC2*.
## [EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), (26), NIST.800-53.r5 AC-2 (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.12, ist.800-171.r2 3.1.20, PCI DSS v4.0.1/10.2.1
**Categoria:** Identificar > Registro em log
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::ClientVpnEndpoint`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html)**``
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um AWS Client VPN endpoint tem o registro de conexão do cliente ativado. O controle falhará se o endpoint não tiver o registro em log de conexão do cliente habilitado.
Os endpoints do Client VPN permitem que clientes remotos se conectem com segurança aos recursos em uma nuvem privada virtual (VPC) na AWS. Os registros em log de conexão permitem que você acompanhe a atividade do usuário no endpoint da VPN e forneça visibilidade. Ao habilitar o registro em log de conexão, é possível especificar o nome de um stream de logs no grupo de logs. Se você não especificar um fluxo de logs, o serviço do Client VPN criará um para você.
### Correção
Para habilitar o registro em log de conexão, consulte [Habilitar o registro em log de conexão para um endpoint do Client VPN existente](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing) no *Manual do administrador do AWS Client VPN *.
## [EC2.52] Os gateways de trânsito do EC2 devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::TransitGateway`
**AWS Config regra:** `tagged-ec2-transitgateway` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um anexo do gateway de trânsito do Amazon EC2tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o gateway de NAT não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway de trânsito não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a um gateway de trânsito do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.
## [EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.3, CIS Foundations Benchmark v3.0.0/5.2, PCI AWS DSS v4.0.1/1.3.1
**Categoria:** Proteger > Configuração de rede segura > Configuração do grupo de segurança
**Gravidade:** alta
**Tipo de recurso:** `AWS::EC2::SecurityGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `ipType` | A versão de IP | String | Não personalizável | `IPv4` |
| `restrictPorts` | Lista de portas que devem rejeitar o tráfego de entrada | IntegerList | Não personalizável | `22,3389` |
Esse controle verifica se um grupo de segurança do Amazon EC2 permite a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto (portas 22 e 3389). O controle falhará se o grupo de segurança permite a entrada de 0.0.0.0/0 na porta 22 ou 3389.
Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . Recomendamos que nenhum grupo de segurança permita acesso irrestrito às portas de administração de servidor remoto, como SSH à porta 22 e RDP à porta 3389, usando os protocolos TDP (6), UDP (17) ou ALL (-1). Permitir o acesso público a essas portas aumenta a superfície de ataque e o risco de comprometimento dos recursos.
### Correção
Para atualizar uma regra de grupo de segurança do EC2 para proibir o tráfego de entrada nas portas especificadas, consulte [Atualizar regras do grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) no *Manual do usuário do Amazon EC2*. Depois de selecionar um grupo de segurança no console do Amazon EC2, escolha **Ações, editar regras de entrada**. Remova a regra que permite o acesso à porta 22 ou 3389.
## [EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.4, CIS Foundations Benchmark v3.0.0/5.3, PCI AWS DSS v4.0.1/1.3.1
**Categoria:** Proteger > Configuração de rede segura > Configuração do grupo de segurança
**Gravidade:** alta
**Tipo de recurso:** `AWS::EC2::SecurityGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `ipType` | A versão de IP | String | Não personalizável | `IPv6` |
| `restrictPorts` | Lista de portas que devem rejeitar o tráfego de entrada | IntegerList | Não personalizável | `22,3389` |
Esse controle verifica se um grupo de segurança do Amazon EC2 permite a entrada de ::/0 nas portas de administração do servidor remoto (portas 22 e 3389). O controle falhará se o grupo de segurança permitir a entrada de ::/0 na porta 22 ou 3389.
Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . Recomendamos que nenhum grupo de segurança permita acesso irrestrito às portas de administração de servidor remoto, como SSH à porta 22 e RDP à porta 3389, usando os protocolos TDP (6), UDP (17) ou ALL (-1). Permitir o acesso público a essas portas aumenta a superfície de ataque e o risco de comprometimento dos recursos.
### Correção
Para atualizar uma regra de grupo de segurança do EC2 para proibir o tráfego de entrada nas portas especificadas, consulte [Atualizar regras do grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) no *Manual do usuário do Amazon EC2*. Depois de selecionar um grupo de segurança no console do Amazon EC2, escolha **Ações, editar regras de entrada**. Remova a regra que permite o acesso à porta 22 ou 3389.
## [EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::VPC`,`AWS::EC2::VPCEndpoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Obrigatório | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obrigatório | O nome do serviço que o controle avalia | String | Não personalizável | ecr.api |
| vpcIds | Opcional | Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no parâmetro serviceName não tiverem um desses endpoints da VPC. | StringList | Personalize com uma ou mais VPC IDs | Nenhum valor padrão |
Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um endpoint da VPC de interface para a API do Amazon ECR. O controle falhará se a VPC não tiver um endpoint da VPC de interface para a API do ECR. Esse controle avalia os recursos em uma única conta.
AWS PrivateLink permite que os clientes AWS acessem serviços hospedados de forma altamente disponível e escalável, mantendo todo o tráfego da rede dentro da AWS rede. Os usuários do serviço podem acessar de forma privada os serviços fornecidos por meio PrivateLink de sua VPC ou local, sem usar o IPs público e sem exigir que o tráfego percorra a Internet.
### Correção
*Para configurar um VPC endpoint, consulte [Acessar e AWS service (Serviço da AWS) usar uma interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) endpoint no Guia.AWS PrivateLink *
## [EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::VPC`,`AWS::EC2::VPCEndpoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Obrigatório | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obrigatório | O nome do serviço que o controle avalia | String | Não personalizável | ecr.dkr |
| vpcIds | Opcional | Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no parâmetro serviceName não tiverem um desses endpoints da VPC. | StringList | Personalize com uma ou mais VPC IDs | Nenhum valor padrão |
Esse controle verifica se uma nuvem privada virtual (VPC) gerenciada tem um endpoint da VPC de interface para o registro do Docker. O controle falhará se a VPC não tiver um endpoint da VPC de interface para o registro do Docker. Esse controle avalia os recursos em uma única conta.
AWS PrivateLink permite que os clientes AWS acessem serviços hospedados de forma altamente disponível e escalável, mantendo todo o tráfego da rede dentro da AWS rede. Os usuários do serviço podem acessar de forma privada os serviços fornecidos por meio PrivateLink de sua VPC ou local, sem usar o IPs público e sem exigir que o tráfego percorra a Internet.
### Correção
*Para configurar um VPC endpoint, consulte [Acessar e AWS service (Serviço da AWS) usar uma interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) endpoint no Guia.AWS PrivateLink *
## [EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::VPC`,`AWS::EC2::VPCEndpoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Obrigatório | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obrigatório | O nome do serviço que o controle avalia | String | Não personalizável | ssm |
| vpcIds | Opcional | Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no parâmetro serviceName não tiverem um desses endpoints da VPC. | StringList | Personalize com uma ou mais VPC IDs | Nenhum valor padrão |
Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um endpoint da VPC de interface para o AWS Systems Manager. O controle falhará se a VPC não tiver um endpoint da VPC de interface para o Systems Manager. Esse controle avalia os recursos em uma única conta.
AWS PrivateLink permite que os clientes AWS acessem serviços hospedados de forma altamente disponível e escalável, mantendo todo o tráfego da rede dentro da AWS rede. Os usuários do serviço podem acessar de forma privada os serviços fornecidos por meio PrivateLink de sua VPC ou local, sem usar o IPs público e sem exigir que o tráfego percorra a Internet.
### Correção
*Para configurar um VPC endpoint, consulte [Acessar e AWS service (Serviço da AWS) usar uma interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) endpoint no Guia.AWS PrivateLink *
## [EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::VPC`,`AWS::EC2::VPCEndpoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Obrigatório | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obrigatório | O nome do serviço que o controle avalia | String | Não personalizável | ssm-contacts |
| vpcIds | Opcional | Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no parâmetro serviceName não tiverem um desses endpoints da VPC. | StringList | Personalize com uma ou mais VPC IDs | Nenhum valor padrão |
Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem uma interface VPC endpoint para contatos do Incident Manager. AWS Systems Manager O controle falhará se a VPC não tiver um endpoint da VPC de interface para os contatos do Systems Manager Incident Manager. Esse controle avalia os recursos em uma única conta.
AWS PrivateLink permite que os clientes AWS acessem serviços hospedados de forma altamente disponível e escalável, mantendo todo o tráfego da rede dentro da AWS rede. Os usuários do serviço podem acessar de forma privada os serviços fornecidos por meio PrivateLink de sua VPC ou local, sem usar o IPs público e sem exigir que o tráfego percorra a Internet.
### Correção
*Para configurar um VPC endpoint, consulte [Acessar e AWS service (Serviço da AWS) usar uma interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) endpoint no Guia.AWS PrivateLink *
## [EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::VPC`,`AWS::EC2::VPCEndpoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Obrigatório | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obrigatório | O nome do serviço que o controle avalia | String | Não personalizável | ssm-incidents |
| vpcIds | Opcional | Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no parâmetro serviceName não tiverem um desses endpoints da VPC. | StringList | Personalize com uma ou mais VPC IDs | Nenhum valor padrão |
Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem uma interface VPC endpoint para o Incident Manager. AWS Systems Manager O controle falhará se a VPC não tiver um endpoint da VPC de interface para o Systems Manager Incident Manager. Esse controle avalia os recursos em uma única conta.
AWS PrivateLink permite que os clientes AWS acessem serviços hospedados de forma altamente disponível e escalável, mantendo todo o tráfego da rede dentro da AWS rede. Os usuários do serviço podem acessar de forma privada os serviços fornecidos por meio PrivateLink de sua VPC ou local, sem usar o IPs público e sem exigir que o tráfego percorra a Internet.
### Correção
*Para configurar um VPC endpoint, consulte [Acessar e AWS service (Serviço da AWS) usar uma interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) endpoint no Guia.AWS PrivateLink *
## [EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2
**Requisitos relacionados:** PCI DSS v4.0.1/2.2.6
**Categoria:** Proteger > Segurança de rede
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::LaunchTemplate`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um modelo de execução do Amazon EC2 está configurado com o Instance Metadata Service Version 2 (). IMDSv2 O controle falha se `HttpTokens` estiver definido como `optional`.
Executar os recursos em versões de software compatíveis garante a performance, a segurança e o acesso ideais aos recursos mais novos. Atualizações regulares protegem contra vulnerabilidades, o que ajuda a garantir uma experiência de usuário estável e eficiente.
### Correção
Para exigir o IMDSv2 em um modelo de inicialização do EC2, consulte [Configurar as opções de serviço de metadados de instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) no *Manual do usuário do Amazon EC2*.
## [EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado
**Requisitos relacionados:** CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::VPNConnection`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma conexão AWS Site-to-Site VPN tem o Amazon CloudWatch Logs habilitado para os dois túneis. O controle falhará se uma conexão Site-to-Site VPN não tiver CloudWatch registros habilitados para os dois túneis.
AWS Site-to-Site Os registros de VPN fornecem uma visibilidade mais profunda de suas implantações de Site-to-Site VPN. Com esse recurso, você tem acesso aos registros de conexão Site-to-Site VPN que fornecem detalhes sobre o estabelecimento do túnel IP Security (IPsec), negociações do Internet Key Exchange (IKE) e mensagens do protocolo Dead Peer Detection (DPD). Site-to-Site Os registros de VPN podem ser publicados em CloudWatch Registros. Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar registros detalhados de todas as suas conexões Site-to-Site VPN.
### Correção
Para ativar o registro de túneis em uma conexão VPN EC2, consulte [Registros de AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs) no *Guia do usuário de AWS Site-to-Site VPN*.
## [EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::VPCBlockPublicAccessOptions`
**AWS Config regra:** `ec2-vpc-bpa-internet-gateway-blocked` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `vpcBpaInternetGatewayBlockMode` | Valor da string do modo de opções de BPA da VPC. | Enum | `block-bidirectional`, `block-ingress` | Nenhum valor padrão |
Esse controle verifica se as configurações do Amazon EC2 VPC Block Public Access (BPA) estão definidas para bloquear o tráfego do gateway de internet para toda a Amazon no. VPCs Conta da AWS O controle falhará se as configurações de BPA da VPC não estiverem definidas para bloquear o tráfego do gateway da Internet. Para que o controle seja aprovado, o `InternetGatewayBlockMode` do BPA da VPC deve ser definido como `block-bidirectional` ou `block-ingress`. Se o parâmetro `vpcBpaInternetGatewayBlockMode` for fornecido, o controle passará somente se o valor de BPA da VPC para `InternetGatewayBlockMode` corresponder ao parâmetro.
Definir as configurações de VPC BPA para sua conta em Região da AWS an permite impedir que recursos e sub-redes que você possui nessa região VPCs cheguem ou sejam acessados pela Internet por meio de gateways de Internet e gateways de Internet somente de saída. Se você precisar de sub-redes específicas VPCs para acessar ou ser acessado pela Internet, você pode excluí-las configurando as exclusões de VPC BPA. Para obter instruções sobre como criar e excluir exclusões, consulte [Criação e exclusão de exclusões](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions) no *Guia do usuário da Amazon VPC*.
### Correção
Para habilitar o BPA bidirecional no nível da conta, consulte [Habilitação do modo bidirecional de BPA para sua conta](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir) no *Guia do usuário da Amazon VPC*. Para habilitar o BPA somente de entrada, consulte [Alteração do modo de BPA da VPC para somente entrada](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only). Para habilitar o BPA da VPC no nível da organização, consulte [Habilitação do BPA da VPC no nível da organização](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs).
## [EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::SpotFleet`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma solicitação de frota spot do Amazon EC2 que especifica os parâmetros de inicialização está em todos os volumes do Amazon Elastic Block Store (Amazon EBS) anexados a instâncias do EC2. O controle falhará se a solicitação da frota spot especificar parâmetros de lançamento e não habilitar a criptografia para um ou mais volumes do EBS especificados na solicitação.
Para obter uma camada adicional de segurança, é necessário habilitar a criptografia para volumes do Amazon EBS. As operações de criptografia ocorrem nos servidores que hospedam as instâncias do Amazon EC2, o que garante a segurança dos dados em repouso e dos dados em trânsito entre uma instância e seu armazenamento do EBS anexado. A criptografia do Amazon EBS é uma solução de criptografia direta para seus recursos do EBS associados às suas instâncias do EC2. Com a criptografia do EBS, não é necessário criar, manter e proteger sua própria infraestrutura de gerenciamento de chaves. A criptografia do EBS é usada AWS KMS keys ao criar volumes criptografados.
**Observações**
Esse controle não gera descobertas para solicitações de frota spot do Amazon EC2 que usam modelos de lançamento. Ele também não gera descobertas para solicitações de frota spot que não especificam explicitamente um valor para o parâmetro `encrypted`.
### Correção
Não há uma forma direta de criptografar um volume do Amazon EBS existente não criptografado. É possível criptografar um novo volume somente ao criá-lo.
Contudo, se você habilitar a criptografia por padrão, o Amazon EBS criptografará novos volumes usando sua chave do KMS padrão para a criptografia do EBS. Se você não tiver habilitado a criptografia por padrão, será possível habilitá-la ao criar um volume individual. Em ambos os casos, é possível substituir a chave padrão para a criptografia do EBS e escolher uma AWS KMS key gerenciada pelo cliente. Para obter mais informações sobre a criptografia do EBS, consulte [Criptografia do Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) no *Guia do usuário do Amazon EBS*.
Para obter informações sobre a criação de uma solicitação de frota spot do Amazon EC2, consulte [Criação de uma frota spot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html) no *Guia do usuário do Amazon Elastic Compute Cloud*.
## [EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::DHCPOptions`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um conjunto de opções de DHCP do Amazon EC2 tem as chaves de tags especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se o conjunto de opções não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o conjunto de opções não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre a aplicação de tags no conjunto de opções de DHCP do Amazon EC2, consulte [Aplicação de tags em recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.
## [EC2.175] Os modelos de execução do EC2 devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::LaunchTemplate`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um modelo de execução do Amazon EC2 tem as chaves de tags especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se o modelo de execução não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o modelo de execução não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre a aplicação de tags a um modelo de execução do Amazon EC2, consulte [Aplicação de tags em recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.
## [EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::PrefixList`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma lista de prefixos do Amazon EC2 tem as chaves de tags especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se a lista de prefixos não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a lista de prefixos não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre a aplicação de tags a uma lista de prefixos do Amazon EC2, consulte [Aplicação de tags em recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.
## [EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::TrafficMirrorSession`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma sessão de espelhamento de tráfego do Amazon EC2 tem as chaves de tag especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se a sessão não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a sessão não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre a aplicação de tags a uma sessão de espelhamento de tráfego do Amazon EC2, consulte [Aplicação de tags em recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.
## [EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::TrafficMirrorFilter`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um filtro de espelhamento de tráfego do Amazon EC2 tem as chaves de tag especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se o filtro não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o filtro não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre a aplicação de tags a um filtro de espelhamento de tráfego do Amazon EC2, consulte [Aplicação de tags em recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.
## [EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EC2::TrafficMirrorTarget`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um destino de espelhamento de tráfego do Amazon EC2 tem as chaves de tag especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se o destino não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o destino não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre a aplicação de tags a um destino de espelhamento de tráfego do Amazon EC2, consulte [Aplicação de tags em recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.
## [EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination
**Categoria:** Proteger > Segurança de rede
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::NetworkInterface`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a source/destination verificação está habilitada para uma interface de rede elástica (ENI) do Amazon EC2 gerenciada por usuários. O controle falhará se a source/destination verificação for desativada para a ENI gerenciada pelo usuário. Esse controle verifica somente os seguintes tipos de ENIs: `aws_codestar_connections_managed` `branch``efa`,`interface`,`lambda`,, `quicksight` e.
Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationvalidação de endereço, que garante que uma instância seja a origem ou o destino de qualquer tráfego recebido. Isso fornece uma camada adicional de segurança de rede, impedindo que os recursos manipulem tráfego não intencional e impedindo a falsificação de endereços IP.
**nota**
Se você estiver usando uma instância do EC2 como instância NAT e tiver desativado a source/destination verificação de sua ENI, poderá usar um gateway [NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) em vez disso.
### Correção
Para obter informações sobre como habilitar source/destination verificações para uma ENI do Amazon EC2, consulte [Modificar atributos da interface de rede no Guia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check) do usuário do *Amazon* EC2.
## [EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::EC2::LaunchTemplate`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um modelo de execução do Amazon EC2 habilita a criptografia para todos os volumes do EBS anexados. O controle falhará se o parâmetro de criptografia for definido como `False` para qualquer volume do EBS especificado pelo modelo de execução do EC2.
A criptografia do Amazon EBS é uma solução de criptografia direta para recursos do EBS associados a instâncias do Amazon EC2. Com a criptografia do EBS, não é necessário criar, manter e proteger sua própria infraestrutura de gerenciamento de chaves. A criptografia do EBS usa AWS KMS keys ao criar volumes e snapshots criptografados. As operações de criptografia ocorrem nos servidores que hospedam as instâncias do Amazon EC2, o que ajuda a garantir a segurança dos dados em repouso e dos dados em trânsito entre uma instância do EC2 e seu armazenamento do EBS anexado. Para obter mais informações, consulte [Criptografia do Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) no *Guia do usuário do Amazon EBS*.
É possível habilitar a criptografia do EBS durante execuções manuais de instâncias individuais do EC2. Entretanto, há vários benefícios em usar modelos de execução do EC2 e definir as configurações de criptografia nesses modelos. É possível aplicar a criptografia como padrão e garantir o uso de configurações de criptografia consistentes. Também é possível reduzir o risco de erros e lacunas de segurança que podem ocorrer com execuções manuais de instâncias.
**nota**
Quando esse controle verifica um modelo de execução do EC2, ele avalia somente as configurações de criptografia do EBS que são explicitamente especificadas pelo modelo. A avaliação não inclui configurações de criptografia herdadas das configurações de criptografia do EBS no nível da conta, dos mapeamentos de dispositivos de blocos da AMI ou dos status de criptografia do snapshot de origem.
### Correção
Depois que criar um modelo de execução do Amazon EC2, você não poderá modificá-lo. No entanto, é possível criar uma nova versão de um modelo de execução e alterar as configurações de criptografia nessa nova versão do modelo. É possível especificar a nova versão como a versão padrão do modelo de execução. Em seguida, se você iniciar uma instância do EC2 a partir de um modelo de execução e não especificar uma versão do modelo, o EC2 usará as configurações da versão padrão ao iniciar a instância. Para obter mais informações, consulte [Modificação de um modelo de execucão](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) no *Guia do usuário do Amazon EC2*.
## [EC2.182] Os snapshots do Amazon EBS não devem estar acessíveis ao público
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:** `AWS::EC2::SnapshotBlockPublicAccess`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
O controle verifica se o bloqueio de acesso público está habilitado para bloquear todo o compartilhamento de snapshots do Amazon EBS. O controle falhará se o bloqueio de acesso público não estiver habilitado para bloquear todo o compartilhamento de todos os snapshots do Amazon EBS.
Para evitar o compartilhamento público de seus snapshots do Amazon EBS, você pode habilitar o bloqueio do acesso público para snapshots. Quando o bloqueio do acesso público para instantâneos é ativado em uma região, qualquer tentativa de compartilhar publicamente os instantâneos nessa região é automaticamente bloqueada. Isso ajuda a melhorar a segurança dos instantâneos e a proteger os dados dos instantâneos contra acesso não autorizado ou não intencional.
### Correção
Para habilitar o bloqueio de acesso público para snapshots, consulte [Configurar bloqueio de acesso público para snapshots do Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html) no Guia do usuário do *Amazon EBS*. Em **Bloquear acesso público**, escolha **Bloquear todo o acesso público**.
# Controles CSPM do Security Hub para Auto Scaling
Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon EC2 Auto Scaling.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB
**Requisitos relacionados:** PCI DSS v3.2.1/2.2, NIST.800-53.r5 CP-2 (2) NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
**Categoria:** Identificar > Inventário
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo do Amazon EC2 Auto Scaling associado a um balanceador de carga usa as verificações de saúde do Elastic Load Balancing (ELB). O controle falhará se o grupo do Auto Scaling não usar as verificações de integridade do ELB.
As verificações de integridade do ELB garantem que o grupo do Auto Scaling possa determinar a integridade de uma instância com base em testes adicionais fornecidos pelo balanceador de carga. O uso das verificações de integridade do Elastic Load Balancing também ajuda a apoiar a disponibilidade de aplicativos que usam grupos de Auto EC2 Scaling.
### Correção
Para adicionar verificações de saúde do Elastic Load Balancing, consulte [Adicionar verificações de saúde do Elastic Load Balancing](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) no Guia do usuário do Amazon *Auto EC2 Scaling.*
## [AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Número mínimo de zonas de disponibilidade | Enum | `2, 3, 4, 5, 6` | `2` |
Esse controle verifica se um grupo do Amazon EC2 Auto Scaling abrange pelo menos o número especificado de zonas de disponibilidade (). AZs O controle falhará se um grupo de Auto Scaling não abranger pelo menos o número especificado de. AZs A menos que você forneça um valor de parâmetro personalizado para o número mínimo de AZs, o Security Hub CSPM usa um valor padrão de dois. AZs
Um grupo de Auto Scaling que não abrange várias não AZs pode iniciar instâncias em outra AZ para compensar se a única AZ configurada ficar indisponível. Entretanto, um grupo do Auto Scaling com uma única zona de disponibilidade pode ser preferível em alguns casos de uso, como trabalhos em lote ou quando os custos de transferência entre AZs precisam ser reduzidos ao mínimo. Nesses casos, é possível desabilitar esse controle ou suprimir suas descobertas.
### Correção
AZs Para adicionar a um grupo existente do Auto Scaling, consulte [Adicionar e remover zonas de disponibilidade](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) no Guia do usuário do *Amazon Auto EC2 Scaling*.
## [AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2
**Requisitos relacionados:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7),, NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.6
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** alta
**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se IMDSv2 está habilitado em todas as instâncias iniciadas pelos grupos do Amazon EC2 Auto Scaling. O controle falhará se a versão do Instance Metadata Service (IMDS) não estiver incluída na configuração de execução ou estiver configurada como`token optional`, o que é uma configuração que permite ou IMDSv1 . IMDSv2
O IMDS fornece dados da instância que você pode usar para configurar ou gerenciar a instância em execução.
A versão 2 do IMDS adiciona novas proteções que não estavam disponíveis IMDSv1 para proteger ainda mais suas instâncias. EC2
### Correção
Um grupo do Auto Scaling é associado a uma configuração de execução de cada vez. Não é possível modificar uma configuração de execução de uma instância, não é possível modificá-la. Para alterar a configuração de lançamento de um grupo de Auto Scaling, use uma configuração de inicialização existente como base para uma nova configuração de inicialização com IMDSv2 habilitada. Para obter mais informações, consulte [Configurar opções de metadados de instância para novas instâncias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) no *Guia do EC2 usuário da Amazon*.
## [AutoScaling.4] A configuração de inicialização do grupo Auto Scaling não deve ter um limite de salto de resposta de metadados maior que 1
**Importante**
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** alta
**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica o número de saltos de rede que um token de metadados pode percorrer. O controle falhará se o limite de salto de resposta de metadados for maior que `1`.
O Instance Metadata Service (IMDS) fornece informações de metadados sobre uma EC2 instância da Amazon e é útil para configuração de aplicativos. Restringir a `PUT` resposta HTTP do serviço de metadados somente à EC2 instância protege o IMDS do uso não autorizado.
O campo Time To Live (TTL) no pacote IP é reduzido em um em cada salto. Essa redução pode ser usada para garantir que o pacote não viaje para fora EC2. IMDSv2 protege EC2 instâncias que podem ter sido configuradas incorretamente como roteadores abertos, firewalls de camada 3, túneis ou dispositivos NAT VPNs, o que impede que usuários não autorizados recuperem metadados. Com IMDSv2, a `PUT` resposta que contém o token secreto não pode sair da instância porque o limite de salto de resposta de metadados padrão está definido como. `1` No entanto, se esse valor for maior que`1`, o token poderá sair da EC2 instância.
### Correção
Para modificar o limite de salto de resposta de metadados para uma configuração de execução existente, consulte [Modificar opções de metadados de instância para instâncias existentes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) no Guia * EC2 do usuário da Amazon*.
## [Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a configuração de inicialização associada a um grupo do Auto Scaling atribui um [endereço IP público](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) às instâncias do grupo. O controle falhará se a configuração de inicialização associada atribuir um endereço IP público.
EC2 As instâncias da Amazon em uma configuração de lançamento em grupo do Auto Scaling não devem ter um endereço IP público associado, exceto em casos extremos limitados. EC2 As instâncias da Amazon só devem ser acessíveis por trás de um balanceador de carga, em vez de serem expostas diretamente à Internet.
### Correção
Um grupo do Auto Scaling é associado a uma configuração de execução de cada vez. Não é possível modificar uma configuração de execução de uma instância, não é possível modificá-la. Para alterar a configuração de execução para um grupo do Auto Scaling, use uma configuração de execução existente como base para uma nova configuração de execução. Em seguida, atualize o grupo do Auto Scaling para usar a nova configuração de execução. Para step-by-step obter instruções, consulte [Alterar a configuração de lançamento de um grupo de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) no Guia do usuário do *Amazon Auto EC2 Scaling*. Ao criar a nova configuração de execução, em **Configuração adicional**, para **Detalhes avançados, tipo de endereço IP**, escolha **Não atribuir um endereço IP público a nenhuma instância**.
Depois de alterar a configuração de execução, o Ajuste de escala automático inicia novas instâncias com as novas opções de configuração. As instâncias existentes não são afetadas. Para atualizar uma instância existente, recomendamos que você atualize-a ou permita que a escalabilidade automática substitua gradualmente as instâncias mais antigas por instâncias mais novas com base em suas políticas de término. Para obter mais informações sobre a atualização de instâncias do Auto Scaling, consulte [Atualizar instâncias do Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) no Guia do usuário do Amazon *Auto EC2 Scaling.*
## [AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo do Amazon EC2 Auto Scaling usa vários tipos de instância. O controle falhará se o grupo do Auto Scaling tiver apenas um tipo de instância definido.
É possível aprimorar a disponibilidade ao implantar seu aplicativo em vários tipos de instâncias em execução em várias zonas de disponibilidade. O Security Hub CSPM recomenda o uso de vários tipos de instância para que o grupo do Auto Scaling possa iniciar outro tipo de instância se não houver capacidade de instância suficiente nas zonas de disponibilidade escolhidas.
### Correção
Para criar um grupo de Auto Scaling com vários tipos de instância, consulte [Grupos de Auto Scaling com vários tipos de instância e opções de compra](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) no Guia do usuário do Amazon *Auto EC2 Scaling*.
## [AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Identificar > Configuração de recursos
**Gravidade:** média
**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo do Amazon EC2 Auto Scaling foi criado a partir de um modelo de EC2 lançamento. Esse controle falhará se um grupo do Amazon EC2 Auto Scaling não for criado com um modelo de execução ou se um modelo de execução não for especificado em uma política de instâncias mistas.
Um grupo de EC2 Auto Scaling pode ser criado a partir de um modelo de EC2 execução ou de uma configuração de execução. No entanto, usar um modelo de execução para criar um grupo do Auto Scaling garante que você tenha acesso aos recursos e melhorias mais recentes.
### Correção
Para criar um grupo de Auto Scaling com um modelo de EC2 lançamento, consulte [Criar um grupo de Auto Scaling usando um modelo de lançamento](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) no Guia do usuário do Amazon *Auto EC2 Scaling*. Para obter informações sobre como substituir uma configuração de lançamento por um modelo de lançamento, consulte [Substituir uma configuração de lançamento por um modelo de lançamento](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) no *Guia EC2 do usuário da Amazon*.
## [AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config regra:** `tagged-autoscaling-autoscalinggroup` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um grupo do Amazon EC2 Auto Scaling tem tags com as chaves específicas definidas no parâmetro. `requiredTagKeys` O controle falhará se o grupo do Auto Scaling não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo do Auto Scaling não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um grupo do Auto Scaling, consulte [Grupos e instâncias do Tag Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) no Guia do usuário do Amazon *Auto EC2 Scaling.*
# Controles de CSPM do Security Hub para Amazon ECR
Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Elastic Container Registry (Amazon ECR).
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
**Requisitos relacionados:** PCI DSS v4.0.1/6.2.3 NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.4
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** alta
**Tipo de recurso:** `AWS::ECR::Repository`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um repositório privado do Amazon ECR tem a digitalização de imagens configurada. O controle falhará se o repositório ECR privado não estiver configurado para digitalização por push ou varredura contínua.
A verificação de imagens do ECR ajuda a identificar vulnerabilidades de software nas imagens de seu contêiner. A configuração da digitalização de imagens em repositórios ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas.
### Correção
Para configurar a digitalização de imagens para um repositório ECR, consulte [Digitalização de imagens](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html) no *Guia do usuário do Amazon Elastic Container Registry*.
## [ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-8 (1)
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** média
**Tipo de recurso:** `AWS::ECR::Repository`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um repositório ECR privado tem a imutabilidade de tags ativada. Esse controle falhará se um repositório ECR privado tiver a imutabilidade de tags desativada. Essa regra é aprovada se a imutabilidade da tag estiver ativada e tiver o valor `IMMUTABLE`.
O Amazon ECR Tag Immutability permite que os clientes confiem nas tags descritivas de uma imagem como um mecanismo confiável para rastrear e identificar imagens de forma exclusiva. Uma tag imutável é estática, o que significa que cada tag se refere a uma imagem exclusiva. Isso melhora a confiabilidade e a escalabilidade, pois o uso de uma tag estática sempre resultará na implantação da mesma imagem. Quando configurada, a imutabilidade das tags evita que elas sejam substituídas, o que reduz a superfície de ataque.
### Correção
Para criar um repositório com tags imutáveis configuradas ou para atualizar as configurações de mutabilidade da tag de imagem para um repositório existente, consulte [Mutabilidade da tag de imagem](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html) no *Guia do usuário do Amazon Elastic Container Registry*.
## [ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Identificar > Configuração de recursos
**Gravidade:** média
**Tipo de recurso:** `AWS::ECR::Repository`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um repositório do Amazon ECR tem pelo menos uma política de ciclo de vida configurada. Esse controle falhará se um repositório ECR não tiver nenhuma política de ciclo de vida configurada.
As políticas de ciclo de vida do Amazon ECR permitem que você especifique o gerenciamento do ciclo de vida das imagens em um repositório. Ao configurar as políticas de ciclo de vida, você pode automatizar a limpeza de imagens não usadas e a expiração das imagens com base na idade ou contagem. Automatizar essas tarefas pode ajudar você a evitar o uso involuntário de imagens desatualizadas em seu repositório.
### Correção
Para configurar uma política de ciclo de vida, consulte [Criar uma prévia da política de ciclo de vida](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html) no *Guia do usuário do Amazon Elastic Container Registry*.
## [ECR.4] Os repositórios públicos do ECR devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::ECR::PublicRepository`
**AWS Config regra:** `tagged-ecr-publicrepository` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um repositório Public do Amazon ECR Public tem tags com chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o repositório público não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o repositório público não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um repositório público do ECR, consulte [Tagging an Amazon ECR public repository](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html) no *Amazon Elastic Container Registry User Guide*.
## [ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys
**Requisitos relacionados:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), (1), NIST.800-53.r5 SC-7 NIST.800-53.r5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.r5 AU-9
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::ECR::Repository`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Uma lista de nomes de recursos da Amazon (ARNs) AWS KMS keys a serem incluídos na avaliação. O controle gerará uma descoberta `FAILED` se um repositório de ECR não estiver criptografado com uma chave do KMS na lista. | StringList (máximo de 10 itens) | 1 a 10 ARNs das chaves KMS existentes. Por exemplo: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab` | Nenhum valor padrão |
Esse controle verifica se um repositório do Amazon ECR está criptografado em repouso com uma AWS KMS key gerenciada pelo cliente. O controle falhará se o repositório do ECR não for criptografado com uma chave do KMS gerenciada pelo cliente. Opcionalmente, é possível especificar uma lista de chaves do KMS para o controle incluir na avaliação.
Por padrão, o Amazon ECR criptografa os dados de repositórios com chaves gerenciadas pelo Amazon S3 (SSE-S3), usando um algoritmo AES-256. Para controle adicional, você pode configurar o Amazon ECR para criptografar os dados com um AWS KMS key (SSE-KMS ou DSSE-KMS) em vez disso. A chave do KMS pode ser: uma Chave gerenciada pela AWS que o Amazon ECR cria e gerencia para você e tem o alias `aws/ecr`, ou uma chave gerenciada pelo cliente que você cria e gerencia em sua Conta da AWS. Com uma chave do KMS gerenciada pelo cliente, você tem controle total sobre a chave. Isso inclui definir e manter a política de chaves, gerenciar concessões, alternar material criptográfico, atribuir tags, criar aliases e habilitar e desabilitar a chave.
**nota**
AWS KMS oferece suporte ao acesso entre contas às chaves KMS. Se um repositório do ECR for criptografado com uma chave do KMS de propriedade de outra conta, esse controle não executará verificações entre contas ao avaliar o repositório. O controle não avalia se o Amazon ECR pode acessar e usar a chave ao realizar operações criptográficas para o repositório.
### Correção
Não é possível alterar as configurações de criptografia de um repositório do ECR existente. No entanto, é possível especificar configurações de criptografia diferentes para repositórios do ECR que você criar posteriormente. O Amazon ECR oferece suporte ao uso de diferentes configurações de criptografia para repositórios individuais.
Para obter mais informações sobre as opções de criptografia para repositórios do ECR, consulte [Criptografia em repouso](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) no *Guia do usuário do Amazon ECR*. Para obter mais informações sobre gerenciamento de clientes AWS KMS keys, consulte [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)o *Guia do AWS Key Management Service desenvolvedor*.
# Controles CSPM do Security Hub para Amazon ECS
Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Elastic Container Service (Amazon ECS). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário
**Importante**
O Security Hub CSPM retirou esse controle em março de 2026. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md). Você pode consultar os seguintes controles para avaliar a configuração privilegiada, a configuração do modo de rede e a configuração do usuário:
[[ECS.4] Os contêineres ECS devem ser executados sem privilégios](#ecs-4)
[[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](#ecs-17)
[[ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux](#ecs-20)
[[ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows](#ecs-21)
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** alta
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `SkipInactiveTaskDefinitions`: `true` (não personalizável)
Esse controle verifica se uma definição de tarefa ativa do Amazon ECS com o modo de rede do host tem definições de contêiner de`privileged` ou `user`. O controle falha nas definições de tarefas que têm o modo de rede do host e as definições de contêiner de `privileged=false`, vazio e `user=root` ou vazio.
Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.
O objetivo desse controle é garantir que o acesso seja definido intencionalmente quando você executa tarefas que usam o modo de rede do host. Se uma definição de tarefa tiver privilégios elevados, é porque você escolheu essa configuração. Esse controle verifica o escalonamento inesperado de privilégios quando uma definição de tarefa tem a rede de host ativada e você não escolhe privilégios elevados.
### Correção
Para obter informações sobre como atualizar uma definição de tarefa, consulte [Atualizar uma definição de tarefa](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) no *Guia do desenvolvedor do Amazon Elastic Container Service*.
Quando você atualiza uma definição de tarefa, ela não atualiza as tarefas em execução que foram iniciadas a partir da definição de tarefa anterior. Para atualizar uma tarefa em execução, é necessário reimplantar a tarefa com a nova definição de tarefa.
## [ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:** `AWS::ECS::Service`
**AWS Config regra:** `ecs-service-assign-public-ip-disabled` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os serviços do Amazon ECS estão configurados para atribuir automaticamente endereços IP públicos. Esse controle falhará se `AssignPublicIP` for `ENABLED`. Esse controle será aprovado se `AssignPublicIP` for `DISABLED`.
Um endereço IP público é um endereço IP que é acessível pela Internet. Se você iniciar suas instâncias do Amazon ECS com um endereço IP público, suas instâncias do Amazon ECS poderão ser acessadas pela Internet. Os serviços do Amazon ECS não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus servidores de aplicativos de contêineres.
### Correção
Primeiro, é necessário criar uma definição de tarefa para o cluster que use o modo de rede `awsvpc` e especifique **FARGATE** em `requiresCompatibilities`. Depois, em **Configuração de computação**, escolha **Tipo de inicialização** e **FARGATE**. Por fim, no campo **Rede**, desative **IP público** para desabilitar a atribuição automática de um IP público para seu serviço.
## [ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Identificar > Configuração de recursos
**Gravidade:** alta
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as definições de tarefas do Amazon ECS estão configuradas para compartilhar o namespace do processo de um host com seus contêineres. O controle falhará se a definição da tarefa compartilhar o namespace do processo do host com os contêineres em execução nele. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.
Um namespace de ID de processo (PID) fornece separação entre processos. Ele impede que os processos do sistema sejam visíveis e permite que PIDs sejam reutilizados, incluindo o PID 1. Se o namespace PID do host for compartilhado com contêineres, isso permitirá que os contêineres vejam todos os processos no sistema host. Isso reduz o benefício do isolamento em nível de processo entre o host e os contêineres. Essas circunstâncias podem levar ao acesso não autorizado aos processos no próprio host, incluindo a capacidade de manipulá-los e encerrá-los. Os clientes não devem compartilhar o namespace do processo do host com os contêineres em execução nele.
### Correção
Para configurar o `pidMode` na definição de uma tarefa, consulte [Parâmetros de definição de tarefa](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) no Guia do desenvolvedor do Amazon Elastic Container Service.
## [ECS.4] Os contêineres ECS devem ser executados sem privilégios
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Categoria:** Proteger > Gerenciamento de acesso seguro > Restrições de acesso do usuário raiz
**Gravidade:** alta
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o parâmetro `privileged` na definição do contêiner das definições de tarefas do Amazon ECS está definido como `true`. O controle falhará se esse parâmetro for igual a `true`. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.
Recomendamos que você remova privilégios elevados de suas definições de tarefas do ECS. Quando esse parâmetro do privilégio é `true`, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz).
### Correção
Para configurar o parâmetro `privileged` na definição de uma tarefa, consulte [Parâmetros avançados de definição de tarefa](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) no Guia do desenvolvedor do Amazon Elastic Container Service.
## [ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** alta
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as definições de tarefas do ECS configuram os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz montados. O controle falhará se o `readonlyRootFilesystem` parâmetro nas definições de contêiner da definição de tarefa do ECS estiver definido como ou se `false` o parâmetro não existir na definição do contêiner dentro da definição da tarefa. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.
Se o parâmetro `readonlyRootFilesystem` estiver definido como `true` em uma definição de tarefa do Amazon ECS, o contêiner do ECS receberá acesso somente de leitura ao sistema de arquivos raiz. Isso reduz os vetores de ataque de segurança, pois porque o sistema de arquivos raiz da instância de contêiner não pode ser adulterado ou gravado sem montagens explícitas de volume com permissões de leitura e gravação para pastas e diretórios do sistema de arquivos. Habilitar essa opção também segue o princípio do privilégio mínimo.
**nota**
O `readonlyRootFilesystem` parâmetro não é compatível com contêineres do Windows. As definições de tarefas `runtimePlatform` configuradas para especificar uma família de `WINDOWS_SERVER` sistemas operacionais são marcadas como `NOT_APPLICABLE` e não gerarão descobertas para esse controle.
### Correção
Para dar a um contêiner do Amazon ECS acesso somente de leitura ao seu sistema de arquivos raiz, adicione o parâmetro `readonlyRootFilesystem` à definição da tarefa do contêiner e defina o valor do parâmetro como `true`. Para obter informações sobre parâmetros de definição de tarefa e como adicioná-los a uma definição de tarefa, consulte [Definições de tarefa do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) e [Atualizar uma definição de tarefa](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) no *Guia do desenvolvedor do Amazon Elastic Container Service*.
## [ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/8.6.2
**Categoria:** Proteger > Desenvolvimento seguro > Credenciais sem codificação rígida
**Gravidade:** alta
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:** `secretKeys`: `AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`,`ECS_ENGINE_AUTH_DATA` (não personalizáveis)
Esse controle verifica se o valor da chave de qualquer variável no parâmetro `environment` das definições do contêiner inclui `AWS_ACCESS_KEY_ID`, `AWS_SECRET_ACCESS_KEY` ou `ECS_ENGINE_AUTH_DATA`. Esse controle falhará se uma única variável de ambiente em qualquer definição de contêiner for igual a `AWS_ACCESS_KEY_ID`, `AWS_SECRET_ACCESS_KEY` ou `ECS_ENGINE_AUTH_DATA`. Esse controle não abrange variáveis ambientais transmitidas de outros locais, como o Amazon S3. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.
AWS Systems Manager O Parameter Store pode ajudá-lo a melhorar a postura de segurança da sua organização. Recomendamos usar o Parameter Store para armazenar segredos e credenciais em vez de passá-los diretamente para suas instâncias de contêiner ou codificá-los em seu código.
### Correção
Para criar parâmetros usando o SSM, consulte [Criar parâmetros do Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) no *Guia do usuário do AWS Systems Manager *. Para obter mais informações sobre a criação de uma definição de tarefa que especifica um segredo, consulte [Especificar dados sigilosos usando segredos do Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) no *Guia do desenvolvedor do Amazon Elastic Container Service*.
## [ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificar > Registro em log
**Gravidade:** alta
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**AWS Config regra: ecs-task-definition-log** [-configuração](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a última definição de tarefa ativa do Amazon ECS tem uma configuração de registro em log especificada. O controle falhará se a definição da tarefa não tiver a propriedade `logConfiguration` definida ou se o valor para `logDriver` for nulo em pelo menos uma definição de contêiner.
O registro em log ajuda a manter a confiabilidade, a disponibilidade e a performance do Amazon ECS. A coleta de dados das definições de tarefas fornece visibilidade, o que pode ajudá-lo a depurar processos e encontrar a causa raiz dos erros. Se você estiver usando uma solução de registro em log que não precisa ser definida na definição de tarefas do ECS (como uma solução de registro em log de terceiros), você pode desativar esse controle depois de garantir que seus logs sejam capturados e entregues adequadamente.
### Correção
Para definir uma configuração de log para suas definições de tarefas do Amazon ECS, consulte [Especificar uma configuração de log na definição de tarefa](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) no *Guia do desenvolvedor do Amazon Elastic Container Service*.
## [ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** média
**Tipo de recurso:** `AWS::ECS::Service`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `latestLinuxVersion: 1.4.0` (não personalizável)
+ `latestWindowsVersion: 1.0.0` (não personalizável)
Esse controle verifica se os serviços do Amazon ECS Fargate estão executando a versão da plataforma Fargate mais recente. Esse controle falhará se a versão da plataforma não for a mais recente.
AWS Fargate as versões de plataforma se referem a um ambiente de tempo de execução específico para a infraestrutura de tarefas do Fargate, que é uma combinação das versões de tempo de execução do kernel e do contêiner. Novas versões da plataforma são lançadas à medida que o ambiente de runtime evolui. Por exemplo, uma nova versão pode ter sido lançada para o kernel ou haver atualizações para o sistema operacional, novos recursos, correções de erros ou atualizações de segurança. As atualizações de segurança e patches são implantadas automaticamente nas tarefas do Fargate. Se for encontrado um problema de segurança que afete uma versão da plataforma, AWS corrija a versão da plataforma.
### Correção
Para atualizar um serviço existente, incluindo sua versão da plataforma, consulte [Atualizar um serviço](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) no *Guia do desenvolvedor do Amazon Elastic Container Service*.
## [ECS.12] Os clusters do ECS devem usar Container Insights
**Requisitos relacionados:** NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::ECS::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os clusters do ECS usam o Container Insights. Esse controle falhará se o Container Insights não estiver configurado para um cluster.
O monitoramento é uma parte importante para manter a confiabilidade, a disponibilidade e a performance dos clusters do Amazon ECS. Use o CloudWatch Container Insights para coletar, agregar e resumir métricas e registros de seus aplicativos e microsserviços em contêineres. CloudWatch coleta automaticamente métricas para vários recursos, como CPU, memória, disco e rede. O Container Insights também fornece informações de diagnóstico, como falhas de reinicialização de contêiner, para ajudar a isolar problemas e resolvê-los rapidamente. Você também pode definir CloudWatch alarmes nas métricas que o Container Insights coleta.
### Correção
Para usar o Container Insights, consulte [Atualização de um serviço](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) no *Guia CloudWatch do usuário da Amazon*.
## [ECS.13] Os serviços do ECS devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::ECS::Service`
**AWS Config regra:** `tagged-ecs-service` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um serviço do Amazon ECS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o serviço não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o serviço não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um serviço do ECS, consulte [Marcação de recursos do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html), no *Guia do Desenvolvedor do Amazon Elastic Container Service*.
## [ECS.14] Os clusters do ECS devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::ECS::Cluster`
**AWS Config regra:** `tagged-ecs-cluster` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um cluster do Amazon ECS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um cluster do ECS, consulte [Marcação de recursos do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html), no *Guia do Desenvolvedor do Amazon Elastic Container Service*.
## [ECS.15] As definições de tarefas do ECS devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**AWS Config regra:** `tagged-ecs-taskdefinition` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma definição de tarefa do Amazon ECS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a definição de tarefa não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a definição de tarefa não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma definição de tarefa do ECS, consulte [Marcação de recursos do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html), no *Guia do Desenvolvedor do Amazon Elastic Container Service*.
## [ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos
**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:** `AWS::ECS::TaskSet`
**AWS Config regra:** `ecs-taskset-assign-public-ip-disabled` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um conjunto de tarefas do Amazon ECS está configurado para atribuir automaticamente endereços IP públicos. O controle falha se `AssignPublicIP` estiver definido como `ENABLED`.
Um endereço IP público é acessível pela Internet. Se você configurar seu conjunto de tarefas com um endereço IP público, os recursos associados ao conjunto de tarefas poderão ser acessados pela Internet. Os conjuntos de tarefas do ECS não devem ser acessíveis ao público, pois isso pode permitir acesso não pretendido aos servidores de aplicações de contêiner.
### Correção
Para atualizar um conjunto de tarefas do ECS para que ele não use um endereço IP público, consulte [Atualização de um serviço do Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) no *Guia do desenvolvedor do Amazon Elastic Container Service*.
## [ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a última revisão ativa de uma definição de tarefa do Amazon ECS usa o modo de rede de `host`. O controle falhará se a última revisão ativa de definição de tarefa do ECS usa o modo de rede de `host`.
Com o uso do modo de rede de `host`, a rede do contêiner do Amazon ECS é vinculada diretamente ao host subjacente que está executando o contêiner. Em consequência, esse modo permite que os contêineres se conectem a serviços de rede de loopback privados no host e personifiquem o hospedeiro. Outras desvantagens significativas são que não há como remapear uma porta de contêiner ao usar o modo de rede de `host`, e não é possível executar mais do que uma única instanciação de uma tarefa em cada host.
### Correção
Para obter informações sobre modos e opções de rede para tarefas do Amazon ECS hospedadas em instâncias do Amazon EC2, consulte [Opções de rede de tarefas do Amazon ECS para o tipo de execução do EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) no *Guia do desenvolvedor do Amazon Elastic Container Service*. Para obter informações sobre como criar uma nova revisão de uma definição de tarefa e especificar um modo de rede diferente, consulte [Atualização de uma definição de tarefa do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) nesse guia.
Se a definição de tarefa do Amazon ECS foi criada por AWS Batch, consulte [Modos de rede para AWS Batch trabalhos para](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) aprender sobre os modos de rede e o uso típico dos tipos de AWS Batch trabalho e escolher uma opção segura.
## [ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS
**Categoria:** Proteger > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a última revisão ativa de uma definição de tarefa do Amazon ECS usa criptografia em trânsito para volumes EFS. O controle falhará se a última revisão ativa da definição de tarefa do ECS tiver a criptografia em trânsito desativada para volumes EFS.
Os volumes do Amazon EFS fornecem armazenamento de arquivos compartilhado simples, escalável e persistente para uso com suas tarefas do Amazon ECS. O Amazon EFS comporta a criptografia de dados em trânsito com Transport Layer Security (TLS). Quando a criptografia de dados em trânsito é declarada como uma opção de montagem para o sistema de arquivos EFS, o Amazon EFS estabelece conexão de TLS segura com o sistema de arquivos EFS ao montar o sistema de arquivos.
### Correção
Para obter informações sobre como habilitar a criptografia em trânsito para Amazon ECS Task Definition com volumes EFS, consulte [Etapa 5: Criar uma definição de tarefa](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) no *Amazon Elastic Container Service Developer Guide*.
## [ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada
**Categoria:** Proteger > Proteção de dados
**Gravidade:** média
**Tipo de recurso:** `AWS::ECS::CapacityProvider`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um provedor de capacidade do Amazon ECS tem a proteção gerenciada de terminação ativada. O controle falhará se a proteção gerenciada de terminação não estiver habilitada em um provedor de capacidade ECS.
Provedores de capacidade do Amazon ECS gerenciam a escalabilidade da infraestrutura das tarefas dos clusters. Ao usar instâncias do Amazon EC2 para sua capacidade, você usa grupos do Auto Scaling para gerenciar as instâncias do EC2. A proteção gerenciada contra encerramento permite o ajuste de escala automático de cluster para controlar quais instâncias serão encerradas. Quando você usa a proteção gerenciada contra encerramento, o Amazon ECS encerra somente as instâncias do EC2 que não têm tarefas do Amazon ECS em execução.
**nota**
Quando você usa a proteção contra encerramento gerenciada, a escalabilidade gerenciada também deve ser usada. Caso contrário, a proteção contra encerramento gerenciada não funcionará.
### Correção
Para habilitar a proteção gerenciada de rescisão para um provedor de capacidade do Amazon ECS, consulte [Atualização da proteção gerenciada de rescisão para provedores de capacidade do Amazon ECS no Guia](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) do *desenvolvedor do Amazon Elastic Container Service*.
## [ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux
**Categoria:** Proteger > Gerenciamento de acesso seguro > Restrições de acesso do usuário raiz
**Gravidade:** média
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a última revisão ativa de uma definição de tarefa do Amazon ECS configura os contêineres Linux para serem executados como usuários não root. O controle falhará se um usuário raiz padrão estiver configurado ou se a configuração do usuário estiver ausente em qualquer contêiner.
Quando os contêineres Linux são executados com privilégios de root, eles apresentam vários riscos de segurança significativos. Os usuários root têm acesso irrestrito ao contêiner. Esse acesso elevado aumenta o risco de ataques de fuga de contêineres, nos quais um invasor poderia sair do isolamento do contêiner e acessar o sistema hospedeiro subjacente. Se um contêiner executado como root for comprometido, os invasores poderão explorar isso para acessar ou modificar os recursos do sistema do host, afetando outros contêineres ou o próprio host. Além disso, o acesso root pode permitir ataques de escalonamento de privilégios, permitindo que os invasores obtenham permissões adicionais além do escopo pretendido do contêiner. O parâmetro de usuário nas definições de tarefas do ECS pode especificar usuários em vários formatos, incluindo nome de usuário, ID de usuário, nome de usuário com grupo ou UID com ID de grupo. É importante estar ciente desses vários formatos ao configurar as definições de tarefas para garantir que nenhum acesso root seja concedido inadvertidamente. Seguindo o princípio do privilégio mínimo, os contêineres devem ser executados com as permissões mínimas necessárias usando usuários não root. Essa abordagem reduz significativamente a superfície de ataque em potencial e mitiga o impacto de possíveis violações de segurança.
**nota**
Esse controle só avalia as definições de contêiner em uma definição de tarefa se `operatingSystemFamily` estiver configurado como `LINUX` ou `operatingSystemFamily` não configurado na definição da tarefa. O controle gerará uma `FAILED` descoberta para uma definição de tarefa avaliada se alguma definição de contêiner na definição da tarefa `user` não tiver sido configurada ou `user` configurada como usuário raiz padrão. Os usuários root padrão para `LINUX` contêineres são `"root"` `"0"` e.
### Correção
Para obter informações sobre como criar uma nova revisão de uma definição de tarefa do Amazon ECS e atualizar o `user` parâmetro na definição do contêiner, consulte [Atualização de uma definição de tarefa do Amazon ECS no Guia do desenvolvedor](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) do *Amazon Elastic Container Service*.
## [ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows
**Categoria:** Proteger > Gerenciamento de acesso seguro > Restrições de acesso do usuário raiz
**Gravidade:** média
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a última revisão ativa de uma definição de tarefa do Amazon ECS configura os contêineres do Windows para serem executados como usuários que não são administradores padrão. O controle falhará se um administrador padrão estiver configurado como usuário ou se a configuração do usuário estiver ausente em qualquer contêiner.
Quando os contêineres do Windows são executados com privilégios de administrador, eles apresentam vários riscos de segurança significativos. Os administradores têm acesso irrestrito ao contêiner. Esse acesso elevado aumenta o risco de ataques de fuga de contêineres, nos quais um invasor poderia sair do isolamento do contêiner e acessar o sistema hospedeiro subjacente.
**nota**
Esse controle só avalia as definições de contêiner em uma definição de tarefa se `operatingSystemFamily` estiver configurado como `WINDOWS_SERVER` ou `operatingSystemFamily` não configurado na definição da tarefa. O controle gerará uma `FAILED` descoberta para uma definição de tarefa avaliada se alguma definição de contêiner na definição da tarefa `user` não tiver sido configurada ou `user` configurada como administrador padrão para `WINDOWS_SERVER` contêineres, ou seja,`"containeradministrator"`.
### Correção
Para obter informações sobre como criar uma nova revisão de uma definição de tarefa do Amazon ECS e atualizar o `user` parâmetro na definição do contêiner, consulte [Atualização de uma definição de tarefa do Amazon ECS no Guia do desenvolvedor](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) do *Amazon Elastic Container Service*.
# Controles de CSPM do Security Hub para Amazon EFS
Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Elastic File System (Amazon EFS). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.3.1, CIS AWS Foundations Benchmark v3.0.0/2.4.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::EFS::FileSystem`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o Amazon Elastic File System está configurado para criptografar os dados do arquivo usando AWS KMS. A verificação falhará nos seguintes casos.
+ `Encrypted` está definido como `false` na resposta do [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html).
+ A chave `KmsKeyId` na resposta do [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) não corresponde ao parâmetro `KmsKeyId` para [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html).
Observe que esse controle não usa o parâmetro `KmsKeyId` para [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html). Ele só verifica o valor de `Encrypted`.
Para obter uma camada de segurança adicional para os dados confidenciais no Amazon EFS, é necessário criar sistemas de arquivos criptografados. O Amazon EFS é compatível com criptografia de sistemas de arquivos em repouso. É possível ativar a criptografia em repouso ao criar um sistema de arquivos do Amazon EFS. Para obter mais informações sobre a criptografia Amazon EFS, consulte [Criptografia de dados no Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) no *Guia do usuário do Amazon Elastic File System*.
### Correção
Para obter detalhes sobre como criptografar um novo sistema de arquivos do Amazon EFS [, consulte ](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html)Criptografar dados em repouso* no *Guia do usuário do Amazon Elastic File System.
## [EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Backups
**Gravidade:** média
**Tipo de recurso:** `AWS::EFS::FileSystem`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) foram adicionados aos planos de backup em AWS Backup. O controle falhará se os sistemas de arquivos do Amazon EFS não estiverem incluídos nos planos de backup.
Incluir sistemas de arquivos EFS nos planos de backup ajuda você a proteger seus dados contra exclusão e perda de dados.
### Correção
Para habilitar backups automáticos para um sistema de arquivos Amazon EFS existente, consulte [Conceitos básicos 4: Criar backups automáticos do Amazon EFS](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html) no *Guia do desenvolvedor do AWS Backup *.
## [EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz
**Requisitos relacionados:** NIST.800-53.r5 AC-6 (10)
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::EFS::AccessPoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os pontos de acesso do Amazon EFS estão configurados para impor um diretório raiz. O controle falhará se o valor de `Path` for definido como `/` (o diretório raiz padrão do sistema de arquivos).
Ao impor um diretório raiz, o cliente NFS usando o ponto de acesso utiliza o diretório raiz configurado no ponto de acesso em vez do diretório raiz do sistema de arquivos. A imposição de um diretório raiz para um ponto de acesso ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso só possam acessar arquivos do subdiretório especificado.
### Correção
Para obter instruções sobre como aplicar um diretório raiz para um ponto de acesso do Amazon EFS, consulte [Aplicação de um diretório raiz com um ponto de acesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point) no *Guia do usuário do Amazon Elastic File System*.
## [EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário
**Requisitos relacionados:** NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::EFS::AccessPoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os pontos de acesso do Amazon EFS estão configurados para executar uma identidade de usuário. Esse controle falhará se uma identidade de usuário POSIX não for definida durante a criação do ponto de acesso EFS.
Os pontos de acesso do Amazon EFS são pontos de entrada específicos da aplicação para um sistema de arquivos do EFS que facilitam o gerenciamento do acesso de aplicações a conjuntos de dados compartilhados. Os pontos de acesso podem impor uma identidade de usuário, inclusive grupos POSIX do usuário, para todas as solicitações do sistema de arquivamento feitas por meio do ponto de acesso. Os pontos de acesso também podem impor um diretório raiz diferente para o sistema de arquivamento fazendo com que clientes só possam acessar dados no diretório especificado ou em seus subdiretórios.
### Correção
Para impor uma identidade de usuário para um ponto de acesso do Amazon EFS, consulte [Impor uma identidade de usuário usando um ponto de acesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points) no *Guia do usuário do Amazon Elastic File System*.
## [EFS.5] Os pontos de acesso do EFS devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EFS::AccessPoint`
**AWS Config regra:** `tagged-efs-accesspoint` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um ponto de acesso do Amazon EFS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o ponto de acesso não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o ponto de acesso não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um ponto de acesso do EFS, consulte [Tagging Amazon EFS resources](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html) no *Amazon Elastic File System User Guide*.
## [EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização
**Categoria:** Proteger > Configuração de rede > Recursos não acessíveis ao público
**Gravidade:** média
**Tipo de recurso:** `AWS::EFS::FileSystem`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o destino de montagem do Amazon EFS está associado a sub-redes que atribuem endereços IP públicos na inicialização. O controle falhará se o destino de montagem estiver associado a sub-redes que atribuem endereços IP públicos na inicialização.
As sub-redes têm atributos que determinam se as interfaces de rede recebem automaticamente endereços IPv4 e IPv6 públicos. Para IPv4, esse atributo é definido como `TRUE` para sub-redes padrão e `FALSE` para sub-redes não padrão (com exceção das sub-redes não padrão criadas por meio do assistente de instância de inicialização do EC2, onde está definido como). `TRUE` Para IPv6, esse atributo é definido como `FALSE` para todas as sub-redes por padrão. Quando esses atributos são ativados, as instâncias executadas na sub-rede recebem automaticamente os endereços IP correspondentes (IPv4 ou IPv6) em sua interface de rede primária. Os destinos de montagem do Amazon EFS que são executados em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à interface de rede primária.
### Correção
Para associar um destino de montagem existente a outra sub-rede, é necessário criar um novo destino de montagem em uma sub-rede que não atribua endereços IP na inicialização e, em seguida, remover o antigo destino de montagem. Para obter informações sobre o gerenciamento de destinos de montagem, consulte [Creating and managing mount targets and security groups](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) no *Amazon Elastic File System User Guide*.
## [EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados
**Categoria:** Recuperação > Resiliência > Backups ativados
**Gravidade:** média
**Tipo de recurso:** `AWS::EFS::FileSystem`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um sistema de arquivos do Amazon EFS tem backups automáticos habilitados. Esse controle falhará se o sistema de arquivos EFS não tiver backups automáticos habilitados.
Um backup de dados é uma cópia dos dados do sistema, da configuração ou da aplicação que é armazenada separa do original. Habilitar backups regulares ajuda a proteger dados valiosos contra eventos imprevistos, como falhas no sistema, ataques cibernéticos ou exclusões acidentais. Ter uma estratégia de backup robusta também facilita recuperações mais rápidas, continuidade dos negócios e tranquilidade diante da possível perda de dados.
### Correção
Para obter informações sobre o uso AWS Backup de sistemas de arquivos EFS, consulte [Backup de sistemas de arquivos EFS](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) no *Guia do usuário do Amazon Elastic File System*.
## [EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.3.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::EFS::FileSystem`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um sistema de arquivos do Amazon EFS criptografa dados com AWS Key Management Service (AWS KMS). O controle falhará se um sistema de arquivos não for criptografado.
Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.
### Correção
Para habilitar a criptografia em repouso de um novo sistema de arquivos do EFS, consulte [Encrypting data at rest](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) no *Amazon Elastic File System User Guide*.
# Controles CSPM do Security Hub para Amazon EKS
Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Elastic Kubernetes Service (Amazon EKS). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:** `AWS::EKS::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um endpoint de cluster do Amazon EKS está acessível publicamente. O controle falhará se um cluster EKS tiver um endpoint acessível ao público.
Quando você cria um novo cluster, o Amazon EKS cria um endpoint para o servidor gerenciado de API do Kubernetes que é usado para comunicação com o cluster. Por padrão, esse endpoint do servidor de API está disponível publicamente na Internet. O acesso ao servidor da API é protegido usando uma combinação do AWS Identity and Access Management (IAM) e do Kubernetes Role Based Access Control (RBAC) nativo. Ao remover o acesso público ao endpoint, você pode evitar a exposição e o acesso não intencionais ao seu cluster.
### Correção
Para modificar o acesso ao endpoint para um cluster EKS existente, consulte [Modificar o acesso ao endpoint do cluster](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) no **Guia do usuário do Amazon EKS**. É possível configurar o acesso ao endpoint para um novo cluster EKS ao criá-lo. Para obter instruções sobre como criar um novo cluster do Amazon EKS, consulte [Criar um cluster do Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html) no **Guia do usuário do Amazon EKS**.
## [EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, Nist.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** alta
**Tipo de recurso:** `AWS::EKS::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `oldestVersionSupported`: `1.33` (não personalizável)
Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. O controle falhará se o cluster do EKS for executado em uma versão não compatível.
Se a sua aplicação não exigir uma versão específica do Kubernetes, recomendamos que você use a versão do Kubernetes mais recente disponível compatível com o EKS para seus clusters. Para obter mais informações, consulte o [calendário de lançamento do Amazon EKS Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar) e o [Noções básicas sobre o ciclo de vida das versões do Kubernetes no Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation) no **Guia do usuário do Amazon EKS**.
### Correção
Para atualizar um cluster do EKS, consulte [Atualização de um cluster existente para uma nova versão do Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html) no **Guia do usuário do Amazon EKS**.
## [EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes
**Requisitos relacionados:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, PCI DSS v4.0.1/8.3.2
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::EKS::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon EKS usa segredos criptografados do Kubernetes. O controle falhará se os segredos do Kubernetes do cluster não forem criptografados.
Ao criptografar segredos, você pode usar as chaves AWS Key Management Service (AWS KMS) para fornecer criptografia de envelope dos segredos do Kubernetes armazenados no etcd para seu cluster. Essa criptografia é adicional à criptografia de volume do EBS que é habilitada por padrão para todos os dados (incluindo segredos) armazenados no etcd como parte de um cluster do EKS. Usar criptografia de segredos para o cluster do EKS permite implantar uma estratégia de defesa em profundidade para aplicações do Kubernetes, criptografando os segredos do Kubernetes com uma chave do KMS que você define e gerencia.
### Correção
Para habilitar a criptografia de segredos em um cluster do EKS, consulte [Habilitar a criptografia de segredos em um cluster existente](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) no **Manual do usuário do Amazon EKS**.
## [EKS.6] Os clusters do EKS devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EKS::Cluster`
**AWS Config regra:** `tagged-eks-cluster` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um cluster do Amazon EKS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um cluster do EKS, consulte [Marcar recursos do Amazon EKS com tags](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) no **Manual do usuário do Amazon EKS**.
## [EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::EKS::IdentityProviderConfig`
**AWS Config regra:** `tagged-eks-identityproviderconfig` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se a configuração de um provedor de identidades do Amazon EKS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a configuração não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a configuração não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags às configurações de um provedor de identidades EKS, consulte [Marcar recursos do Amazon EKS com tags](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) no **Manual do usuário do Amazon EKS**.
## [EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::EKS::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `logTypes: audit` (não personalizável)
Esse controle verifica se um cluster do Amazon EKS tem o registro em log de auditoria habilitado. O controle falhará se o registro em log de auditoria não estiver habilitado para o cluster.
**nota**
Esse controle não verifica se o registro em log de auditoria do Amazon EKS é habilitado por meio do Amazon Security Lake para Conta da AWS.
O registro do plano de controle do EKS fornece registros de auditoria e diagnóstico diretamente do plano de controle do EKS para o Amazon CloudWatch Logs em sua conta. Você pode selecionar os tipos de registro necessários e os registros são enviados como fluxos de log para um grupo para cada cluster EKS em CloudWatch. O registro em log fornece visibilidade sobre o acesso e a performance dos clusters EKS. Ao enviar registros do plano de controle EKS para seus clusters EKS para o CloudWatch Logs, você pode registrar operações para fins de auditoria e diagnóstico em um local central.
### Correção
Para habilitar registros em log de auditoria para seu cluster do EKS, consulte [Habilitação e desabilitação de logs do ambiente de gerenciamento](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export) no **Guia do usuário do Amazon EKS**.
# Controles CSPM do Security Hub para ElastiCache
Esses AWS Security Hub CSPM controles avaliam o ElastiCache serviço e os recursos da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Backups ativados
**Gravidade:** alta
**Tipo de recurso:** `AWS::ElastiCache::CacheCluster`,`AWS:ElastiCache:ReplicationGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `snapshotRetentionPeriod` | Período mínimo de retenção de snapshot em dias | Inteiro | `1` para `35` | `1` |
Esse controle avalia se um cluster Amazon ElastiCache (Redis OSS) tem backups automáticos habilitados. O controle falhará se o `SnapshotRetentionLimit` para o cluster do Redis OSS for menor que o período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do snapshot, o Security Hub CSPM usa um valor padrão de 1 dia.
ElastiCache Os clusters (Redis OSS) podem fazer backup de seus dados. O backup pode ser usado para restaurar um cluster ou propagar um novo cluster. O backup consiste nos metadados do cluster, juntamente com todos os dados do cluster. Todos os backups são gravados no Amazon S3, que fornece armazenamento durável. Você pode restaurar seus dados criando um novo ElastiCache cluster e preenchendo-o com dados de um backup. Você pode gerenciar backups usando a Console de gerenciamento da AWS AWS CLI, a e a ElastiCache API.
**nota**
Esse controle também avalia grupos de replicação ElastiCache (Redis OSS e Valkey).
### Correção
Para obter informações sobre o agendamento de backups automáticos para um ElastiCache cluster, consulte [Programação de backups automáticos](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html) no Guia * ElastiCache do usuário da Amazon*.
## [ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas
**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5) PCI DSS v4.0.1/6.3.3
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** alta
**Tipo de recurso:** `AWS::ElastiCache::CacheCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle avalia se a Amazon aplica ElastiCache automaticamente atualizações de versões menores a um cluster de cache. Esse controle falhará se o cluster de cache não aplicar automaticamente atualizações de versões secundárias.
**nota**
Esse controle não se aplica aos clusters do ElastiCache Memcached.
A atualização automática de versões secundárias é um recurso que você pode ativar na Amazon ElastiCache para atualizar automaticamente seus clusters de cache quando uma nova versão secundária do mecanismo de cache estiver disponível. Essas atualizações podem incluir patches de segurança e correções de erros. Continuar up-to-date com a instalação do patch é uma etapa importante para proteger os sistemas.
### Correção
Para aplicar automaticamente pequenas atualizações de versões a um cluster de ElastiCache cache existente, consulte [Gerenciamento de versões ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html) no *Guia do ElastiCache usuário da Amazon*.
## [ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um grupo de ElastiCache replicação tem o failover automático ativado. O controle falhará se o failover automático não estiver habilitado para um grupo de replicação.
Quando o failover automático é habilitado para um grupo de replicação, o perfil do nó primário fará failover automaticamente para uma das réplicas de leitura. O failover e a promoção de réplica garantem que você possa continuar a gravar no novo primário assim que a promoção estiver concluída, reduzindo o tempo de interrupção geral em caso de falha.
### Correção
Para habilitar o failover automático para um grupo de ElastiCache replicação existente, consulte [Modificação de um ElastiCache cluster](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON) no Guia do usuário da *Amazon ElastiCache *. Se você usa o ElastiCache console, defina o **failover automático** como ativado.
## [ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um grupo de ElastiCache replicação está criptografado em repouso. O controle falhará se o grupo de replicação não for criptografado em repouso.
Criptografar dados em repouso reduz o risco de um usuário não autenticado ter acesso aos dados armazenados em disco. ElastiCache Os grupos de replicação (Redis OSS) devem ser criptografados em repouso para uma camada adicional de segurança.
### Correção
Para configurar a criptografia em repouso em um grupo de ElastiCache replicação, consulte [Habilitar a criptografia em repouso no Guia](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable) do usuário da *Amazon ElastiCache *.
## [ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um grupo de ElastiCache replicação está criptografado em trânsito. O controle falhará se o grupo de replicação não for criptografado em trânsito.
Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede. A ativação da criptografia em trânsito em um grupo de ElastiCache replicação criptografa seus dados sempre que eles são movidos de um lugar para outro, como entre os nós do cluster ou entre o cluster e o aplicativo.
### Correção
Para configurar a criptografia em trânsito em um grupo de ElastiCache replicação, consulte [Habilitar a criptografia em trânsito no Guia](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html) do usuário da *Amazon ElastiCache *.
## [ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.3.1
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um grupo de replicação ElastiCache (Redis OSS) tem o Redis OSS AUTH ativado. O controle falhará se a versão do Redis OSS dos nós do grupo de replicação for abaixo de 6.0 e o `AuthToken` não estiver em uso.
Ao usar os tokens de autenticação do Redis, ou senhas, o Redis exige uma senha antes de permitir que os clientes executem comandos, melhorando assim a segurança dos dados. Para o Redis 6.0 e versões posteriores, recomendamos o uso do Role-Based Access Control (RBAC — Controle de acesso baseado em perfil). Como o RBAC não é compatível com versões do Redis anteriores à 6.0, esse controle avalia apenas as versões que não podem usar o atributo RBAC.
### Correção
*Para usar o Redis AUTH em um grupo de replicação ElastiCache (Redis OSS), consulte [Modificação do token AUTH em um cluster existente ElastiCache (Redis OSS) no](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token) Guia do usuário da Amazon. ElastiCache *
## [ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** alta
**Tipo de recurso:** `AWS::ElastiCache::CacheCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um ElastiCache cluster está configurado com um grupo de sub-rede personalizado. O controle falhará se `CacheSubnetGroupName` for um ElastiCache cluster tiver o valor`default`.
Ao iniciar um ElastiCache cluster, um grupo de sub-rede padrão é criado, caso ainda não exista um. O grupo padrão usa sub-redes da Nuvem privada virtual (VPC) padrão. Recomendamos usar grupos de sub-redes personalizados que sejam mais restritivos em relação às sub-redes em que o cluster reside e à rede que o cluster herda das sub-redes.
### Correção
Para criar um novo grupo de sub-redes para um ElastiCache cluster, consulte [Criação de um grupo de sub-redes no Guia ElastiCache ](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html) *do usuário da Amazon*.
# Controles de CSPM do Security Hub para o Elastic Beanstalk
Esses AWS Security Hub CSPM controles avaliam o AWS Elastic Beanstalk serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados
**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
**Categoria:** Detectar > Serviços de detecção > Monitoramento de aplicativos
**Gravidade:** baixa
**Tipo de recurso:** `AWS::ElasticBeanstalk::Environment`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os relatórios de integridade aprimorados estão habilitados para seus ambientes AWS Elastic Beanstalk .
Os relatórios de saúde aprimorados do Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade do aplicativo.
Os relatórios de saúde aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e identificar possíveis causas a serem investigadas. O agente de saúde do Elastic Beanstalk, incluído nas Amazon Machine AMIs Images () suportadas, avalia registros e métricas de instâncias do ambiente. EC2
Para obter informações adicionais, consulte [Monitoramento e relatório de integridade aprimorada](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html) no *Guia do desenvolvedor do AWS Elastic Beanstalk *.
### Correção
Para obter instruções sobre como habilitar relatórios de saúde aprimorados, consulte [Habilitar relatórios de integridade aprimorada usando o console do Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console) no * Guia do desenvolvedor do AWS Elastic Beanstalk *.
## [ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas
**Requisitos relacionados:** NIST.800-53.r5 SI-2,NIST.800-53.r5 SI-2(2),NIST.800-53.r5 SI-2(4),NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** alta
**Tipo de recurso:** `AWS::ElasticBeanstalk::Environment`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `UpdateLevel` | Nível de atualização da versão | Enum | `minor`, `patch` | Nenhum valor padrão |
Esse controle verifica se as atualizações da plataforma gerenciadas estão habilitadas para o ambiente do Elastic Beanstalk. O controle falhará se nenhuma atualização da plataforma gerenciada estiver habilitada. Por padrão, o controle passará se algum tipo de atualização da plataforma estiver habilitado. Opcionalmente, é possível fornecer um valor de parâmetro personalizado para exigir um nível de atualização específico.
A ativação das atualizações gerenciadas da plataforma garante que as correções, atualizações e recursos mais recentes da plataforma disponíveis para o ambiente sejam instalados. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas.
### Correção
Para permitir atualizações da plataforma gerenciadas, consulte [Para configurar atualizações da plataforma gerenciadas em Atualizações da plataforma gerenciadas](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html) no *Guia do desenvolvedor do AWS Elastic Beanstalk *.
## [ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** alta
**Tipo de recurso:** `AWS::ElasticBeanstalk::Environment`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `RetentionInDays` | Número de dias para manter eventos de log antes que expirem | Enum | `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653` | Nenhum valor padrão |
Esse controle verifica se um ambiente do Elastic Beanstalk está configurado para enviar registros para o Logs. CloudWatch O controle falhará se um ambiente do Elastic Beanstalk não estiver configurado para enviar registros para o Logs. CloudWatch Opcionalmente, é possível fornecer um valor personalizado para o parâmetro `RetentionInDays` se quiser que o controle passe somente se os logs forem retidos pelo número especificado de dias antes da expiração.
CloudWatch ajuda você a coletar e monitorar várias métricas para seus aplicativos e recursos de infraestrutura. Você também pode usar CloudWatch para configurar ações de alarme com base em métricas específicas. Recomendamos integrar o Elastic CloudWatch Beanstalk para obter maior visibilidade do seu ambiente do Elastic Beanstalk. Os logs do Elastic Beanstalk incluem o eb-activity.log, logs de acesso do ambiente nginx ou do servidor proxy Apache e logs específicos de um ambiente.
### Correção
*Para integrar o Elastic CloudWatch Beanstalk com o Logs[, consulte Streaming de registros de instâncias para CloudWatch registros](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming) no Guia do desenvolvedor.AWS Elastic Beanstalk *
# Controles CSPM do Security Hub para Elastic Load Balancing
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Elastic Load Balancing. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS
**Requisitos relacionados:** PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3 NIST.800-53.r5 AC-4, 3, 3 NIST.800-53.r5 IA-5 (3), (4), NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o redirecionamento HTTP para HTTPS está configurado em todos os receptores HTTP dos Application Load Balancers. O controle falhará se algum dos receptores HTTP dos Application Load Balancers não tiver o redirecionamento de HTTP para HTTPS configurado.
Antes de começar a usar seu Application Load Balancer, é necessário adicionar ao menos um receptor. Um listener é um processo que usa o protocolo e a porta configurados para verificar solicitações de conexão. Os listeners oferecem suporte para os protocolos HTTP e HTTPS. É possível usar um listener HTTPS para descarregar o trabalho de criptografia e descriptografia para seu balanceador de cargas. Para executar a criptografia em trânsito, é necessário usar ações de redirecionamento com os Application Load Balancers para redirecionar uma solicitação HTTP do cliente para uma solicitação do HTTPS na porta 443.
Para saber mais, consulte [Receptores para seus Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html) no *Guia do usuário dos Application Load Balancers*.
### Correção
Para redirecionar solicitações HTTP para HTTPS, é necessário adicionar uma regra de receptor do Application Load Balancer ou editar uma regra existente.
Para obter instruções sobre como adicionar uma nova regra, consulte [Adicionar uma regra](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule) no *Guia do usuário dos Application Load Balancers*. Para **Protocolo : Porta**, escolha **HTTP** e insira **80**. Em **Adicionar ação, Redirecionar para**, escolha **HTTPS** e, em seguida, insira **443**.
Para obter instruções sobre como adicionar uma nova regra, consulte [Adicionar uma regra](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule) no *Guia do usuário dos Application Load Balancers*. Para **Protocolo : Porta**, escolha **HTTP** e insira **80**. Em **Adicionar ação, Redirecionar para**, escolha **HTTPS** e, em seguida, insira **443**.
## [ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (5), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.8 NIST.800-53.r5 SC-8
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o Classic Load Balancer usa HTTPS/SSL certificados fornecidos pelo AWS Certificate Manager (ACM). O controle falhará se o Classic Load Balancer configurado com o HTTPS/SSL ouvinte não usar um certificado fornecido pelo ACM.
Para criar um certificado, você pode usar o ACM ou uma ferramenta que ofereça suporte aos protocolos SSL e TLS, como OpenSSL. O Security Hub CSPM recomenda que você use o ACM para criar ou importar certificados para seu balanceador de carga.
O ACM se integra aos Classic Load Balancers para que você possa implantar o certificado em seu balanceador de carga. Você também deve renovar automaticamente esses certificados.
### Correção
Para obter informações sobre como associar um SSL/TLS certificado ACM a um Classic Load Balancer, consulte AWS o [artigo do Knowledge Center Como posso associar um certificado SSL/TLS ACM a um Classic, Application ou Network Load Balancer](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/)?
## Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (3), (4), NIST.800-53.r5 SC-1, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se seus receptores do Classic Load Balancer estão configurados com o protocolo HTTPS ou TLS para conexões front-end (cliente para balanceador de carga). O controle é aplicável se um Classic Load Balancer tiver receptores. Se o Classic Load Balancer não tiver um receptor configurado, o controle não relatará nenhuma descoberta.
O controle passa se os receptores do Classic Load Balancer estiverem configurados com TLS ou HTTPS para conexões front-end.
O controle falha se o receptor não estiver configurado com TLS ou HTTPS para conexões front-end.
Antes de começar a usar um balanceador de cargas, é necessário adicionar ao menos um receptor. Um listener é um processo que usa o protocolo e a porta configurados para verificar solicitações de conexão. Os ouvintes podem suportar tanto HTTP quanto HTTPS/TLS protocolos. É necessário sempre usar um receptor HTTPS ou TLS, para que o balanceador de carga faça o trabalho de criptografia e descriptografia em trânsito.
### Correção
Para corrigir esse problema, atualize seus receptores para usar o protocolo TLS ou HTTPS.
**Para transformar todos os ouvintes não compatíveis em ouvintes TLS/HTTPS**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. No painel de navegação, em **Load Balancing**, selecione **Load Balancers**.
1. Selecione seu Classic Load Balancer.
1. Na guia **Listeners**, selecione **Editar**.
1. Para todos os receptores em que o **Protocolo balanceador de carga** não está definido como HTTPS ou SSL, altere a configuração para HTTPS ou SSL.
1. Para todos os receptores modificados, na guia **Certificados**, escolha **Alterar padrão**.
1. Em **Certificados do ACM e do IAM**, selecione um certificado.
1. Escolha **Salvar como padrão**.
1. Depois de atualizar todos os receptores, escolha **Salvar**.
## [ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos
**Requisitos relacionados:** NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/6.2.4
**Categoria:** Proteger > Segurança de rede
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle avalia seu um Application Load Balancers está configurado para descartar cabeçalhos HTTP inválidos. O controle falha se o valor de `routing.http.drop_invalid_header_fields.enabled` estiver definido como `false`.
Por padrão, os Application Load Balancers não estão configurados para eliminar valores de cabeçalho HTTP inválidos. A remoção desses valores de cabeçalho evita ataques de dessincronização de HTTP.
**nota**
Recomendamos desabilitar esse controle se o ELB.12 estiver habilitado em sua conta. Para obter mais informações, consulte [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](#elb-12).
### Correção
Para corrigir esse problema, configure seu balanceador de carga para eliminar campos de cabeçalho inválidos.
**Para configurar o balanceador de carga para eliminar campos de cabeçalho inválidos**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. No painel de navegação, escolha **Load balancers**.
1. Escolha um Application Load Balancer
1. Em **Ações**, escolha **Editar atributos**.
1. Em **Eliminar campos de cabeçalho inválidos**, escolha **Habilitar**.
1. Escolha **Salvar**.
## [ELB.5] O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`,`AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o Application Load Balancer e o Classic Load Balancer têm o registro em log ativado. O controle falha se `access_logs.s3.enabled` for `false`.
O Elastic Load Balancing fornece logs de acesso que capturam informações detalhadas sobre as solicitações enviadas ao seu balanceador de carga. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. É possível usar esses logs de acesso para analisar padrões de tráfego e solucionar problemas.
Para saber mais, consulte [Logs de acesso para seu Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) no *Guia do usuário dos Classic Load Balancers*.
### Correção
Para ativar os registros de acesso, consulte [Etapa 3: Configurar logs de acesso](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) no *Guia do usuário dos Application Load Balancers*.
## [ELB.6] A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se seu Application, Gateway ou Network Load Balancer tem a proteção contra exclusão habilitada. O controle falhará se a proteção contra exclusão não estiver habilitada.
Habilite a proteção contra exclusão para proteger o Application, Gateway ou Network Load Balancer contra exclusão.
### Correção
Para evitar que seu load balancer seja excluído acidentalmente, é possível ativar a proteção contra exclusão. Por padrão, a proteção contra exclusão está desativada para seu load balancer.
Se você ativar a proteção contra exclusão para o load balancer, deverá desativá-la antes de excluir o load balancer.
Para habilitar a proteção contra exclusão de um Application Load Balancer, consulte [Deletion protection](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection) no *Guia do usuário de Application Load Balancers*. Para habilitar a proteção contra exclusão de um balanceador de carga de gateway, consulte [Deletion protection](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection) no *User Guide for Application Load Balancers*. Para habilitar a proteção contra exclusão de um Network Load Balancer, consulte [Deletion protection](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection) no *Guia do usuário de Network Load Balancers*.
## [ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Recuperação > Resiliência
**Gravidade:** baixa
**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`
**AWS Config regra:** `elb-connection-draining-enabled` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os Classic Load Balancers têm drenagem da conexão habilitada.
Habilitar a drenagem da conexão em Classic Load Balancers garante que o balanceador de carga interromperá o envio de solicitações para instâncias cujo registro está sendo cancelado ou que não sejam íntegras. Ele mantém as conexões existentes abertas. Isso é particularmente útil para instâncias em grupos do Auto Scaling, para garantir que as conexões não sejam interrompidas abruptamente.
### Correção
Para habilitar a drenagem da conexão em Classic Load Balancers, consulte [Configurar a drenagem da conexão para o Classic Load Balancer *no *Guia do usuário dos Classic Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html).
## [ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (3), (4), NIST.800-53.r5 SC-1, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `predefinedPolicyName`: `ELBSecurityPolicy-TLS-1-2-2017-01` (não personalizável)
Esse controle verifica se os HTTPS/SSL ouvintes do Classic Load Balancer usam a política predefinida. `ELBSecurityPolicy-TLS-1-2-2017-01` O controle falhará se os HTTPS/SSL ouvintes do Classic Load Balancer não usarem. `ELBSecurityPolicy-TLS-1-2-2017-01`
A política de segurança é uma combinação de protocolos SSL, cifras SSL e a opção Preferência de ordem do servidor. Políticas predefinidas controlam as cifras, os protocolos e as ordens de preferência a serem suportadas durante as negociações de SSL entre um cliente e um balanceador de carga.
O uso de `ELBSecurityPolicy-TLS-1-2-2017-01` pode ajudá-lo a atender aos padrões de conformidade e segurança que exigem a desativação de versões específicas de SSL e TLS. Para obter mais informações, consulte [Políticas de segurança SSL predefinidas para Classic Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html) no *Guia do usuário dos Classic Load Balancers*.
### Correção
Para obter informações sobre como usar a política de segurança predefinida `ELBSecurityPolicy-TLS-1-2-2017-01` com um Classic Load Balancer, consulte [Definir configurações de segurança](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth) no *Guia do usuário dos Classic Load Balancers*.
## [ELB.9] Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o balanceamento de carga entre zonas está ativado para os Classic Load Balancers (). CLBs O controle falhará se o balanceamento de carga entre zonas não estiver habilitado para um CLB.
Um nó de load balancer distribui tráfego para destinos registrados somente na sua zona de disponibilidade. Quando o balanceamento de carga entre zonas estiver desabilitado, cada nó do load balancer distribuirá o tráfego somente para os destinos registrados na respectiva zona de disponibilidade. Se o número de destinos registrados não for o mesmo nas zonas de disponibilidade, o tráfego não será distribuído uniformemente e as instâncias em uma zona poderão acabar sendo superutilizadas em comparação com as instâncias em outra zona. Com o balanceamento de carga entre zonas, cada nó do balanceador de carga do seu Classic Load Balancer distribui solicitações uniformemente a todas as instâncias registradas em todas as zonas de disponibilidade habilitadas. Para detalhes, consulte [Balanceamento de carga entre zonas](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) no Guia do usuário do Elastic Load Balancing.
### Correção
Para habilitar o balanceamento de carga entre zonas em um Classic Load Balancer, consulte [Habilitar balanceamento de carga entre zonas](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone) no *Guia do usuário dos Classic Load Balancers*.
## [ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Número mínimo de zonas de disponibilidade | Enum | `2, 3, 4, 5, 6` | `2` |
Esse controle verifica se um Classic Load Balancer foi configurado para abranger pelo menos o número especificado de zonas de disponibilidade ()AZs. O controle falhará se o Classic Load Balancer não abranger pelo menos o número especificado de. AZs A menos que você forneça um valor de parâmetro personalizado para o número mínimo de AZs, o Security Hub CSPM usa um valor padrão de dois. AZs
É possível configurar o Classic Load Balancer no Amazon EC2-Classic para distribuir as solicitações de entrada em instâncias EC2 em uma única Zona de disponibilidade ou em várias Zonas de disponibilidade. Um Classic Load Balancer que não abrange várias zonas de disponibilidade não consegue redirecionar o tráfego para destinos em outra zona de disponibilidade se a única zona de disponibilidade configurada ficar indisponível.
### Correção
Para adicionar zonas de disponibilidade a um Classic Load Balancer, consulte [Adicionar ou remover sub-redes para seu Classic Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html) no *Guia do usuário de Classic Load Balancers*.
## [ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4
**Categoria:** Proteção > Integridade dos dados
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `desyncMode`: `defensive, strictest` (não personalizável)
Esse controle verifica se um Application Load Balancer está configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso. O controle falhará se um Application Load Balancer não estiver configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso.
Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar os aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Por sua vez, essas vulnerabilidades podem levar ao preenchimento de credenciais ou à execução de comandos não autorizados. Os Application Load Balancers configurados com o modo defensivo ou de mitigação de dessincronização mais rigorosa protegem seu aplicativo contra problemas de segurança que podem ser causados pela dessincronização HTTP.
### Correção
Para atualizar o modo de mitigação de dessincronização de um Application Load Balancer, consulte [Modo de mitigação de dessincronização](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode) no *Guia do usuário dos Application Load Balancers*.
## [ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Número mínimo de zonas de disponibilidade | Enum | `2, 3, 4, 5, 6` | `2` |
Esse controle verifica se um Elastic Load Balancer V2 (Load Balancer de aplicativo, rede ou gateway) registrou instâncias de pelo menos o número especificado de zonas de disponibilidade (). AZs O controle falhará se um Elastic Load Balancer V2 não tiver instâncias registradas em pelo menos o número especificado de. AZs A menos que você forneça um valor de parâmetro personalizado para o número mínimo de AZs, o Security Hub CSPM usa um valor padrão de dois. AZs
O Elastic Load Balancing distribui automaticamente seu tráfego de entrada entre vários destinos, como instâncias do EC2, contêineres e endereços IP, em uma ou mais zonas de disponibilidade. O Elastic Load Balancing escala seu balanceador de carga conforme seu tráfego de entrada muda com o tempo. É recomendável configurar pelo menos duas zonas de disponibilidade para garantir a disponibilidade dos serviços, pois o Elastic Load Balancer poderá direcionar o tráfego para outra zona de disponibilidade se uma ficar indisponível. Ter várias zonas de disponibilidade configuradas ajudará a eliminar um único ponto de falha para o aplicativo.
### Correção
Para adicionar uma zona de disponibilidade a um Application Load Balancer, consulte [Zonas de disponibilidade para Application Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html) no *Guia do usuário dos Application Load Balancers*. Para criar uma Zona de disponibilidade em um Network Load Balancer load balancer de rede, consulte [Conceitos básicos sobre load balancers de rede](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones) no *Guia do usuário do load balancer de rede*. Para adicionar uma zona de disponibilidade a um Gateway Load Balancer, consulte [Criar um Gateway Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html) no *Guia do usuário dos Gateway Load Balancers*.
## O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4
**Categoria:** Proteção > Integridade dos dados
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `desyncMode`: `defensive, strictest` (não personalizável)
Esse controle verifica se um Classic Load Balancer está configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso. O controle falhará se um Classic Load Balancer não estiver configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso.
Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar os aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Por sua vez, essas vulnerabilidades podem levar ao sequestro de credenciais ou à execução de comandos não autorizados. Os Classic Load Balancers configurados com o modo defensivo ou de mitigação de dessincronização mais rigorosa protegem seu aplicativo contra problemas de segurança que podem ser causados pela dessincronização HTTP.
### Correção
Para atualizar o modo de mitigação de dessincronização de um Classic Load Balancer, consulte [Modo de mitigação de dessincronização](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode) no *Guia do usuário dos Classic Load Balancers*.
## [ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma ACL da web AWS WAF
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21)
**Categoria:** Proteger > Serviços de proteção
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um Application Load Balancer está associado a uma lista de controle de acesso AWS WAF clássica ou à AWS WAF web (web ACL). O controle falhará se o `Enabled` campo da AWS WAF configuração estiver definido como`false`.
AWS WAF é um firewall de aplicativos da Web que ajuda a proteger os aplicativos da Web e APIs contra ataques. Com AWS WAF, você pode configurar uma ACL da web, que é um conjunto de regras que permite, bloqueia ou conta solicitações da web com base nas regras e condições de segurança da web personalizáveis que você define. Recomendamos associar seu Application Load Balancer a AWS WAF uma ACL da web para ajudar a protegê-lo contra ataques maliciosos.
### Correção
*Para associar um Application Load Balancer a uma ACL da web, consulte Como [associar ou desassociar uma ACL da web a um recurso](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html) no Guia do desenvolvedor. AWS AWS WAF *
## [ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::Listener`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:** `sslPolicies`: `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` (não personalizável)
Esse controle verifica se o receptor de HTTPS para um Application Load Balancer ou o receptor de TLS para um Network Load Balancer está configurado para criptografar dados em trânsito usando uma política de segurança recomendada. O controle falhará se o receptor de HTTPS ou de TLS de um balanceador de carga não for configurado para usar uma política de segurança recomendada.
O Elastic Load Balancing usa uma configuração de negociação SSL, conhecida como uma *política de segurança*, para negociar conexões entre um cliente e um balanceador de carga. A política de segurança especifica uma combinação de cifras e protocolos. O protocolo estabelece uma conexão segura entre um cliente e um servidor. Uma cifra é um algoritmo criptográfico que usa chaves de criptografia para criar uma mensagem codificada. Durante o processo de negociação de conexão, o cliente e o load balancer apresentam uma lista de cifras e protocolos que cada um suporta, em ordem de preferência. Usar uma política de segurança recomendada para um balanceador de carga pode ajudar você a atender aos padrões de conformidade e segurança.
### Correção
Para obter informações sobre as políticas de segurança recomendadas e como atualizar os receptores, consulte as seções a seguir dos *Guias do usuário do Elastic Load Balancing*: [Políticas de segurança para Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html), [Políticas de segurança para Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html), [Atualização de um receptor de HTTPS para seu Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html) e [Atualização de um receptor para seu Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html).
## [ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::Listener`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o receptor de um Application Load Balancer ou Network Load Balancer está configurado para usar um protocolo seguro para a criptografia de dados em trânsito. O controle falhará se um receptor do Application Load Balancer não estiver configurado para usar o protocolo HTTPS ou se um receptor do Network Load Balancer não estiver configurado para usar o protocolo TLS.
Para criptografar dados transmitidos entre um cliente e um balanceador de carga, os receptores do Elastic Load Balancer devem ser configurados para usar protocolos de segurança padrão do setor: HTTPS para Application Load Balancers ou TLS para Network Load Balancers. Caso contrário, os dados transmitidos entre um cliente e um balanceador de carga ficam vulneráveis a interceptação, adulteração e acesso não autorizado. O uso de HTTPS ou TLS por um receptor alinha-se às práticas recomendadas de segurança e ajuda a garantir a confidencialidade e a integridade dos dados durante a transmissão. Isso é particularmente importante para aplicações que lidem com informações sensíveis ou precisem estar em conformidade com padrões de segurança que exijam criptografia de dados em trânsito.
### Correção
Para obter informações sobre como configurar protocolos de segurança para receptores, consulte as seções a seguir dos *Guias do usuário do Elastic Load Balancing*: [Criação de um ouvinte de HTTPS para seu Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html) e [Criação de um ouvinte para seu Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html).
## [ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::TargetGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o grupo-alvo das verificações de integridade do balanceador de carga do aplicativo e da rede usa um protocolo de transporte criptografado. O controle falhará se o protocolo de verificação de integridade não usar HTTPS. Esse controle não é aplicável aos tipos de alvo Lambda.
Os balanceadores de carga enviam solicitações de verificação de integridade aos alvos registrados para determinar seu status e rotear o tráfego adequadamente. O protocolo de verificação de integridade especificado na configuração do grupo-alvo determina como essas verificações são realizadas. Quando os protocolos de verificação de integridade usam comunicação não criptografada, como HTTP, as solicitações e respostas podem ser interceptadas ou manipuladas durante a transmissão. Isso permite que os invasores obtenham informações sobre a configuração da infraestrutura, alterem os resultados da verificação de integridade ou conduzam man-in-the-middle ataques que afetam as decisões de roteamento. O uso de HTTPS para verificações de saúde fornece comunicação criptografada entre o balanceador de carga e seus alvos, protegendo a integridade e a confidencialidade das informações de status de saúde.
### Correção
Para configurar verificações de saúde criptografadas para seu grupo-alvo do Application Load Balancer, consulte [Atualizar as configurações de verificação de saúde de um grupo-alvo do Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html) no Guia do Usuário do *Elastic Load Balancing*. Para configurar verificações de saúde criptografadas para seu grupo-alvo do Network Load Balancer, consulte [Atualizar as configurações de verificação de saúde de um grupo-alvo do Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html) no Guia do Usuário do *Elastic Load Balancing*.
## [ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::TargetGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo-alvo do Elastic Load Balancing usa um protocolo de transporte criptografado. Esse controle não se aplica a grupos-alvo com um tipo de alvo de Lambda ou ALB, ou grupos-alvo que usam o protocolo GENEVE. O controle falhará se o grupo-alvo não usar o protocolo HTTPS, TLS ou QUIC.
A criptografia de dados em trânsito os protege da interceptação por usuários não autorizados. Os grupos-alvo que usam protocolos não criptografados (HTTP, TCP, UDP) transmitem dados sem criptografia, tornando-os vulneráveis à espionagem. O uso de protocolos criptografados (HTTPS, TLS, QUIC) garante que os dados transmitidos entre balanceadores de carga e destinos sejam protegidos.
### Correção
Para usar um protocolo criptografado, você deve criar um novo grupo-alvo com o protocolo HTTPS, TLS ou QUIC. O protocolo do grupo-alvo não pode ser modificado após a criação. Para criar um grupo-alvo do Application Load Balancer, consulte [Criar um grupo-alvo para seu Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html) Balancer no Guia do Usuário do *Elastic Load Balancing*. Para criar um grupo-alvo do Network Load Balancer, consulte [Criar um grupo-alvo para seu Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html) Balancer no Guia do Usuário do *Elastic Load Balancing*.
# Security Hub CSPM para Elasticsearch
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Elasticsearch.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
**Requisitos relacionados:** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se os domínios do Elasticsearch têm a configuração da criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada.
Para uma camada adicional de segurança para seus dados confidenciais OpenSearch, você deve configurá-los OpenSearch para serem criptografados em repouso. Os domínios do Elasticsearch oferecem criptografia de dados em repouso. O recurso é usado AWS KMS para armazenar e gerenciar suas chaves de criptografia. Para executar a criptografia, ele usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).
Para saber mais sobre OpenSearch criptografia em repouso, consulte [Criptografia de dados em repouso para o Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) no *Amazon OpenSearch Service Developer Guide*.
Certos tipos de instâncias, como `t.small` e `t.medium`, não oferecem suporte à criptografia de dados em repouso. Para obter detalhes, consulte [Tipos de instância compatíveis](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) no *Amazon OpenSearch Service Developer Guide*.
### Correção
Para habilitar a criptografia em repouso para domínios novos e existentes do Elasticsearch, consulte [Habilitar a criptografia de dados em repouso no](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) *Amazon OpenSearch Service* Developer Guide.
## [ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16), (20), (21), (3), (4), (9) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura > Recursos na VPC
**Gravidade:** crítica
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se os domínios do Elasticsearch estão em uma VPC. Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. É necessário garantir que os domínios do Elasticsearch não estejam anexados a sub-redes públicas. Consulte as [políticas baseadas em recursos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) no *Amazon OpenSearch Service Developer Guide*. Você também deve garantir que a VPC esteja configurada de acordo com as melhores práticas recomendadas. Para saber mais, consulte [Grupos de segurança para a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) no *Guia do usuário do Amazon VPC*.
Os domínios do Elasticsearch implantados em uma VPC podem se comunicar com os recursos da VPC pela rede AWS privada, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. VPCs forneça vários controles de rede para proteger o acesso aos domínios do Elasticsearch, incluindo ACL de rede e grupos de segurança. O Security Hub CSPM recomenda que você migre domínios públicos do Elasticsearch VPCs para aproveitar esses controles.
### Correção
Se você criar um domínio com um endpoint público, não será possível colocá-lo em uma VPC posteriormente. Em vez disso, é necessário criar um novo domínio e migrar seus dados. O inverso também é verdadeiro. Se você criar um domínio com uma VPC, ele não poderá ter um endpoint público. Em vez disso, é necessário [criar outro domínio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) ou desabilitar esse controle.
Consulte [Lançamento de seus domínios do Amazon OpenSearch Service em uma VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) no * OpenSearch Amazon Service* Developer Guide.
## [ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um domínio do Elasticsearch tem node-to-node criptografia habilitada. O controle falhará se o domínio Elasticsearch não tiver a node-to-node criptografia habilitada. O controle também produz descobertas malsucedidas se uma versão do Elasticsearch não oferecer suporte a verificações de node-to-node criptografia.
O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores espionem ou manipulem o tráfego da rede usando ataques similares. person-in-the-middle Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Habilitar a node-to-node criptografia para domínios do Elasticsearch garante que as comunicações dentro do cluster sejam criptografadas em trânsito.
Pode haver uma penalidade de performance associada a essa configuração. É necessário estar ciente e testar a compensação de performance antes de habilitar essa opção.
### Correção
Para obter informações sobre como habilitar a node-to-node criptografia em domínios novos e existentes, consulte [Habilitar a node-to-node criptografia](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) no *Amazon OpenSearch Service Developer Guide*.
## [ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificar – Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `logtype = 'error'` (não personalizável)
Esse controle verifica se os domínios do Elasticsearch estão configurados para enviar registros de erros para o Logs. CloudWatch
Você deve habilitar os registros de erros para os domínios do Elasticsearch e enviá-los aos Logs para CloudWatch retenção e resposta. Os logs de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
### Correção
Para obter informações sobre como habilitar a publicação de registros, consulte [Habilitando a publicação de registros (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) no *Amazon OpenSearch Service Developer Guide*.
## [ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**AWS Config regra:** `elasticsearch-audit-logging-enabled` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `cloudWatchLogsLogGroupArnList` (não personalizável). O CSPM do Security Hub não preenche esse parâmetro. Lista separada por vírgulas de grupos de CloudWatch registros de registros que devem ser configurados para registros de auditoria.
Essa regra é válida `NON_COMPLIANT` se o grupo de CloudWatch registros de registros do domínio Elasticsearch não estiver especificado nessa lista de parâmetros.
Esse controle verifica se os domínios do Elasticsearch têm o registro em log de auditoria ativado. Esse controle falhará se um domínio do Elasticsearch não tiver o registro em log de auditoria ativado.
Os registros em log de auditoria são altamente personalizáveis. Eles permitem que você acompanhe a atividade do usuário em seus clusters do Elasticsearch, incluindo sucessos e falhas de autenticação, solicitações, alterações de indexação e consultas de pesquisa recebidas. OpenSearch
### Correção
Para obter instruções detalhadas sobre como habilitar registros de auditoria, consulte [Habilitar registros de auditoria](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) no *Amazon OpenSearch Service Developer Guide*.
## [ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**AWS Config regra:** `elasticsearch-data-node-fault-tolerance` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os domínios do Elasticsearch estão configurados com pelo menos três nós de dados e `zoneAwarenessEnabled` é `true`.
Um domínio do Elasticsearch requer pelo menos três nós de dados para alta disponibilidade e tolerância a falhas. A implantação de um domínio do Elasticsearch com pelo menos três nós de dados garante as operações do cluster se um nó falhar.
### Correção
**Para modificar o número de nós de dados em um domínio do Elasticsearch**
1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Em **Domínios**, escolha o nome do domínio que você deseja editar.
1. Selecione **Edit domain (Editar domínio)**.
1. Em **Nós de dados**, defina **Número de nós** como um número maior ou igual a `3`.
Para três implantações de zona de disponibilidade, defina um múltiplo de três para garantir uma distribuição igual entre as zonas de disponibilidade.
1. Selecione **Enviar**.
## [ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**AWS Config regra:** `elasticsearch-primary-node-fault-tolerance` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os domínios do Elasticsearch estão configurados com pelo menos três nós primários dedicados. Esse controle indicará falha se o domínio não usar nós primários dedicados. Esse controle indicará sucesso se os domínios do Elasticsearch tiverem cinco nós primários dedicados. Porém, usar mais de três nós primários pode ser desnecessário para reduzir o risco de disponibilidade e resultará em custos adicionais.
Um domínio do Elasticsearch requer pelo menos três nós primários dedicados para garantir alta disponibilidade e tolerância a falhas. Os recursos dedicados do nó primário podem ser sobrecarregados durante blue/green as implantações dos nós de dados porque há nós adicionais para gerenciar. A implantação de um domínio do Elasticsearch com pelo menos três nós primários dedicados garante suficiente capacidade de recursos dos nós primários e operações do cluster se um nó falhar.
### Correção
**Para modificar o número de nós primários dedicados em um OpenSearch domínio**
1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Em **Domínios**, escolha o nome do domínio que você deseja editar.
1. Selecione **Edit domain (Editar domínio)**.
1. Em **Nós principais dedicados**, defina o **Tipo de instância** como o tipo de instância desejado.
1. Defina o **Número de nós principais** igual a três ou mais.
1. Selecione **Enviar**.
## [ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**AWS Config regra:** `elasticsearch-https-required` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um endpoint de domínio do Elasticsearch está configurado para usar a política de segurança TLS mais recente. O controle falhará se o endpoint do domínio Elasticsearch não estiver configurado para usar a política mais recente suportada ou se HTTPs não estiver habilitado. A política de segurança TLS mais recente compatível atualmente é a `Policy-Min-TLS-1-2-PFS-2023-10`.
O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS. O TLS 1.2 fornece vários aprimoramentos de segurança em relação às versões anteriores do TLS.
### Correção
Para habilitar a criptografia TLS, use a operação da API [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) para configurar o objeto [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html). Isso define a `TLSSecurityPolicy`.
## [ES.9] Os domínios do Elasticsearch devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**AWS Config regra:** `tagged-elasticsearch-domain` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um domínio do Elasticsearch tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o domínio não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o domínio não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um domínio do Elasticsearch, consulte Como [trabalhar com tags](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) no *Amazon OpenSearch Service Developer Guide*.
# Controles de CSPM do Security Hub para Amazon EMR
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon EMR (anteriormente chamado de Amazon Elastic MapReduce). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, 1, (7), (21),, (11), (16), (20)), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** alta
**Tipo de recurso:** `AWS::EMR::Cluster`
**AWS Config regra: emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se os nós principais nos clusters do Amazon EMR têm endereços IP públicos. O controle falhará se os endereços IP públicos estiverem associados a qualquer uma das instâncias do nó principal.
Os endereços IP públicos são designados no campo `PublicIp` da configuração `NetworkInterfaces` da instância. Esse controle verifica somente os clusters do Amazon EMR que estão em um estado `RUNNING` ou `WAITING`.
### Correção
Durante a execução, você pode controlar se sua instância em uma sub-rede padrão ou não padrão recebe um endereço público IPv4 . Por padrão, as sub-redes padrão têm esse atributo definido como `true`. As sub-redes não padrão têm o atributo de endereçamento IPv4 público definido como`false`, a menos que tenham sido criadas pelo assistente de instância de EC2 inicialização da Amazon. Nesse caso, o atributo é definido como `true`.
Após o lançamento, você não pode desassociar manualmente um IPv4 endereço público da sua instância.
Para corrigir uma falha na descoberta, você deve iniciar um novo cluster em uma VPC com uma sub-rede privada que tenha IPv4 o atributo de endereçamento público definido como. `false` Para obter instruções, consulte [Executar clusters em uma VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) no *Guia de gerenciamento do Amazon EMR*.
## [EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada
**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21) NIST.800-53.r5 AC-4,,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se sua conta está configurada com o bloqueio de acesso público do Amazon EMR. O controle falhará se a configuração de bloqueio de acesso público não estiver habilitada ou se qualquer porta diferente da porta 22 for permitida.
O bloqueio de acesso público do Amazon EMR impede que você inicie um cluster em uma sub-rede pública se o cluster tiver uma configuração de segurança que permita tráfego de entrada de endereços IP públicos em uma porta. Quando um usuário de sua Conta da AWS inicia um cluster, o Amazon EMR verifica as regras de porta no grupo de segurança do cluster e as compara com as regras de tráfego de entrada. Se o grupo de segurança tiver uma regra de entrada que abre portas para os endereços IP públicos IPv4 0.0.0.0/0 ou IPv6 : :/0, e essas portas não forem especificadas como exceções para sua conta, o Amazon EMR não permitirá que o usuário crie o cluster.
**nota**
O bloqueio de acesso público é habilitado por padrão. Para aumentar a proteção da conta, é recomendável mantê-la habilitada.
### Correção
Para configurar o bloqueio de acesso público para o Amazon EMR, consulte [Uso do bloqueio de acesso público do Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) no *Guia de gerenciamento do Amazon EMR*.
## [EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CP-9 (8), NIST.800-53.r5 SI-12
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::EMR::SecurityConfiguration`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Este controle verifica se uma configuração de segurança do Amazon EMR tem a criptografia em repouso habilitada. O controle falhará se a configuração de segurança não habilitar a criptografia em repouso.
Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.
### Correção
Para habilitar a criptografia em repouso em uma configuração de segurança do Amazon EMR, consulte [Configuração da criptografia de dados](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) no *Guia de gerenciamento do Amazon EMR*.
## [EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8,, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::EMR::SecurityConfiguration`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Este controle verifica se uma configuração de segurança do Amazon EMR tem a criptografia em trânsito habilitada. O controle falhará se a configuração de segurança não habilitar a criptografia em trânsito.
Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.
### Correção
Para habilitar a criptografia em trânsito em uma configuração de segurança do Amazon EMR, consulte [Configuração da criptografia de dados](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) no *Guia de gerenciamento do Amazon EMR*.
# Controles CSPM do Security Hub para EventBridge
Esses AWS Security Hub CSPM controles avaliam o EventBridge serviço e os recursos da Amazon.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Events::EventBus`
**AWS Config regra:** `tagged-events-eventbus` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um barramento de EventBridge eventos da Amazon tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o barramento de eventos não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o barramento de eventos não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um ônibus de EventBridge eventos, consulte as [ EventBridge tags da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) no *Guia EventBridge do usuário da Amazon*.
## [EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada
**Requisitos relacionados:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7),,, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/10.3.1
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Events::EventBus`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um barramento de eventos EventBridge personalizado da Amazon tem uma política baseada em recursos anexada. Esse controle falhará se o barramento de eventos personalizado não tiver uma política baseada em recursos.
Por padrão, um barramento de eventos EventBridge personalizado não tem uma política baseada em recursos anexada. Isso permite que as entidades principais na conta acessem o barramento de eventos. Ao vincular uma política baseada em recursos ao barramento de eventos, você pode limitar o acesso ao barramento de eventos a contas especificadas, bem como conceder acesso intencional a entidades em outra conta.
### Correção
*Para anexar uma política baseada em recursos a um barramento de eventos EventBridge personalizado, consulte [Usando políticas baseadas em recursos para a Amazon no Guia EventBridge do usuário](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html) da Amazon. EventBridge *
## [EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::Events::Endpoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a replicação de eventos está habilitada para um endpoint EventBridge global da Amazon. O controle falhará se a replicação de eventos não estiver habilitada para um endpoint global.
Os endpoints globais ajudam a tornar seu aplicativo tolerante a falhas regionais. Para começar, você atribui uma verificação de integridade do Amazon Route 53 ao endpoint. Quando o failover é iniciado, a verificação de integridade relata um estado “não íntegro”. Poucos minutos após o início do failover, todos os eventos personalizados são roteados para um barramento de eventos na região secundária e processados por esse barramento de eventos. Ao usar endpoints globais, você pode ativar a replicação de eventos. A replicação de eventos envia todos os eventos personalizados para os barramentos de eventos nas regiões primária e secundária usando regras gerenciadas. Recomendamos ativar a replicação de eventos ao configurar endpoints globais. A replicação de eventos ajuda você a verificar se seus endpoints globais estão configurados corretamente. A replicação de eventos é necessária para se recuperar automaticamente de um evento de failover. Se você não tiver a replicação de eventos ativada, precisará redefinir manualmente a verificação de integridade do Route 53 para “íntegra” antes que os eventos sejam redirecionados de volta para a região principal.
**nota**
Se você estiver usando um barramento de eventos personalizado, precisará de um barramento uniforme personalizado em cada região com o mesmo nome e na mesma conta para que o failover funcione corretamente. Habilitar a replicação de eventos pode aumentar seu custo mensal. Para obter informações sobre preços, consulte [ EventBridge Preços da Amazon](https://aws.amazon.com/eventbridge/pricing/).
### Correção
Para habilitar a replicação de eventos para endpoints EventBridge globais, consulte [Criar um endpoint global](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint) no Guia do usuário da *Amazon EventBridge *. Em **Replicação de eventos**, selecione **Replicação de eventos ativada**.
# Controles de CSPM do Security Hub para o Amazon Fraud Detector
Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Fraud Detector.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::FraudDetector::EntityType`
**Regra do AWS Config :** `frauddetector-entity-type-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um tipo de entidade do Amazon Fraud Detector tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o tipo de entidade não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o tipo de entidade não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
**Para adicionar tags a um tipo de entidade do Amazon Fraud Detector (console)**
1. Abra o console do Amazon Fraud Detector em [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. No painel de navegação, escolha **Entidades**.
1. Selecione um tipo de entidade na lista.
1. Na seção **tags de tipos de entidades**, escolha **Gerenciar tags**.
1. Selecione **Adicionar nova tag**. Insira a chave e o valor da tag. Repita o procedimento para pares de chave-valor adicionais.
1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.
## [FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::FraudDetector::Label`
**Regra do AWS Config :** `frauddetector-label-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um rótulo do Amazon Fraud Detector tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o rótulo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o rótulo não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
**Para adicionar tags a um rótulo do Amazon Fraud Detector (console)**
1. Abra o console do Amazon Fraud Detector em [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. No painel de navegação, escolha **Rótulos**.
1. Selecione um rótulo na lista.
1. Na seção **tags de rótulos**, escolha **Gerenciar tags**.
1. Selecione **Adicionar nova tag**. Insira a chave e o valor da tag. Repita o procedimento para pares de chave-valor adicionais.
1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.
## [FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::FraudDetector::Outcome`
**Regra do AWS Config :** `frauddetector-outcome-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um resultado do Amazon Fraud Detector tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o resultado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o resultado não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
**Para adicionar tags a um resultado do Amazon Fraud Detector (console)**
1. Abra o console do Amazon Fraud Detector em [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. No painel de navegação, escolha **Resultados**.
1. Selecione um resultado na lista.
1. Na seção **tags de resultados**, escolha **Gerenciar tags**.
1. Selecione **Adicionar nova tag**. Insira a chave e o valor da tag. Repita o procedimento para pares de chave-valor adicionais.
1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.
## [FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::FraudDetector::Variable`
**Regra do AWS Config :** `frauddetector-variable-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma variável do Amazon Fraud Detector tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se a variável não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a variável não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
**Para adicionar tags a uma variável do Amazon Fraud Detector (console)**
1. Abra o console do Amazon Fraud Detector em [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. No painel de navegação, escolha **Variáveis**.
1. Selecione uma variável na lista.
1. Na seção **tags de variáveis**, escolha **Gerenciar tags**.
1. Selecione **Adicionar nova tag**. Insira a chave e o valor da tag. Repita o procedimento para pares de chave-valor adicionais.
1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.
# Controles CSPM do Security Hub para Amazon FSx
Esses AWS Security Hub CSPM controles avaliam o FSx serviço e os recursos da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::FSx::FileSystem`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um sistema de arquivos Amazon FSx for OpenZFS está configurado para copiar tags para backups e volumes. O controle falhará se o sistema de arquivos OpenZFS não estiver configurado para copiar tags para backups e volumes.
A identificação e o inventário de seus ativos de TI é um aspecto importante de governança e segurança. As tags ajudam você a categorizar seus AWS recursos de maneiras diferentes, por exemplo, por finalidade, proprietário ou ambiente. Isso é útil quando você possui muitos recursos do mesmo tipo, pois torna possível identificar rapidamente um recurso específico baseado nas tags que você atribuiu a ele.
### Correção
Para obter informações sobre como configurar um sistema de arquivos FSx para OpenZFS para copiar tags para backups e volumes, consulte [Atualizando um sistema de arquivos no Guia do usuário](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html) do *Amazon FSx for OpenZFS*.
## [FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
**Requisitos relacionados:** NIST.800-53.r5 CP-9, NIST.800-53.r5 CM-8
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::FSx::FileSystem`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um sistema de arquivos Amazon FSx for Lustre está configurado para copiar tags para backups e volumes. O controle falhará se o sistema de arquivos Lustre não estiver configurado para copiar tags para backups e volumes.
A identificação e o inventário de seus ativos de TI é um aspecto importante de governança e segurança. As tags ajudam você a categorizar seus AWS recursos de maneiras diferentes, por exemplo, por finalidade, proprietário ou ambiente. Isso é útil quando você possui muitos recursos do mesmo tipo, pois torna possível identificar rapidamente um recurso específico baseado nas tags que você atribuiu a ele.
### Correção
Para obter informações sobre como configurar um FSx sistema de arquivos for Lustre para copiar tags para backups, consulte Como [copiar backups dentro do mesmo Conta da AWS no Guia do](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html) usuário do *Amazon FSx for Lustre.*
## [FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::FSx::FileSystem`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)
**Tipo de programação:** Periódico
**Parâmetros:** `deploymentTypes: MULTI_AZ_1` (não personalizável)
Esse controle verifica se um sistema de arquivos Amazon FSx for OpenZFS está configurado para usar o tipo de implantação de várias zonas de disponibilidade (Multi-AZ). O controle falhará se o sistema de arquivos não estiver configurado para usar o tipo de implantação multi-AZ.
*O Amazon FSx for OpenZFS oferece suporte a vários tipos de implantação para sistemas de arquivos: *Multi-AZ (HA)*, *Single-AZ (HA) e Single-AZ (não HA)*.* Os tipos de implantação oferecem diferentes níveis de disponibilidade e durabilidade. Os sistemas de arquivos Multi-AZ (HA) são compostos por um par de servidores de arquivos de alta disponibilidade (HA) distribuídos em duas zonas de disponibilidade ()AZs. Recomendamos o uso do tipo de implantação multi-AZ (HA) para a maioria das workloads de produção, devido ao modelo de alta disponibilidade e durabilidade que ela oferece.
### Correção
Você pode configurar um sistema de arquivos Amazon FSx for OpenZFS para usar o tipo de implantação Multi-AZ ao criar o sistema de arquivos. Você não pode alterar o tipo de implantação de um sistema de arquivos existente FSx para OpenZFS.
Para obter informações sobre tipos e opções de implantação FSx para sistemas de arquivos OpenZFS, consulte [Disponibilidade e durabilidade do Amazon FSx para OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html) e [Gerenciamento de recursos do sistema de arquivos no](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html) Guia do usuário do *Amazon FSx for* OpenZFS.
## [FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::FSx::FileSystem`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `deploymentTypes` | Uma lista de tipos de implantação a serem incluídos na avaliação. O controle gerará uma descoberta `FAILED` se um sistema de arquivos não estiver configurado para usar um tipo de implantação especificado na lista. | Enum | `MULTI_AZ_1`, `MULTI_AZ_2` | `MULTI_AZ_1`, `MULTI_AZ_2` |
Esse controle verifica se um sistema de arquivos Amazon FSx for NetApp ONTAP está configurado para usar um tipo de implantação de várias zonas de disponibilidade (Multi-AZ). O controle falhará se o sistema de arquivos não estiver configurado para usar um tipo de implantação multi-AZ. É possível, opcionalmente, especificar uma lista de tipos de implantação a serem incluídos na avaliação.
*O Amazon FSx for NetApp ONTAP oferece suporte a vários tipos de implantação para sistemas de arquivos: *Single-AZ 1*, *Single-AZ 2*, *Multi-AZ 1 e Multi-AZ* 2.* Os tipos de implantação oferecem diferentes níveis de disponibilidade e durabilidade. Recomendamos o uso de um tipo de implantação multi-AZ para a maioria das workloads de produção, devido ao modelo de alta disponibilidade e durabilidade que os tipos de implantação multi-AZ oferecem. Os sistemas de arquivos multi-AZ oferecem suporte a todos os recursos de disponibilidade e durabilidade dos sistemas de arquivos single-AZ. Além disso, eles são projetados para fornecer disponibilidade contínua aos dados, mesmo quando uma zona de disponibilidade (AZ) não estiver disponível.
### Correção
Você não pode alterar o tipo de implantação de um sistema de arquivos Amazon FSx for NetApp ONTAP existente. No entanto, é possível fazer backup dos dados e restaurá-los em um novo sistema de arquivos que use um tipo de implantação multi-AZ.
Para obter informações sobre os tipos e opções de implantação dos sistemas de arquivos ONTAP, consulte [Disponibilidade, durabilidade e opções de implantação](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html) e [Gerenciamento de sistemas de arquivos](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html) no Guia do *FSx usuário do ONTAP*. FSx
## [FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::FSx::FileSystem`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)
**Tipo de programação:** Periódico
**Parâmetros:** `deploymentTypes: MULTI_AZ_1` (não personalizável)
Esse controle verifica se um sistema de arquivos do Amazon FSx para Windows File Server está configurado para usar o tipo de implantação de várias zonas de disponibilidade (Multi-AZ). O controle falhará se o sistema de arquivos não estiver configurado para usar o tipo de implantação multi-AZ.
O Amazon FSx para Windows File Server oferece suporte a dois tipos de implantação para sistemas de arquivos: *Single-AZ* e *Multi-AZ*. Os tipos de implantação oferecem diferentes níveis de disponibilidade e durabilidade. Os sistemas de arquivos single-AZ são compostos por uma única instância do servidor de arquivos do Windows e um conjunto de volumes de armazenamento em uma única zona de disponibilidade (AZ). Os sistemas de arquivos multi-AZ são compostos por cluster de alta disponibilidade de servidores de arquivos do Windows espalhados por duas zonas de disponibilidade (AZ). Recomendamos o uso do tipo de implantação multi-AZ para a maioria das workloads de produção, devido ao modelo de alta disponibilidade e durabilidade que ela oferece.
### Correção
Você pode configurar um sistema de arquivos Amazon FSx para Windows File Server para usar o tipo de implantação Multi-AZ ao criar o sistema de arquivos. Você não pode alterar o tipo de implantação de um sistema de arquivos existente FSx para Windows File Server.
Para obter informações sobre os tipos de implantação e as opções de sistemas de arquivos do Windows File Server, consulte [Disponibilidade e durabilidade: sistemas de arquivos Single-AZ e Multi-AZ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html) e [Introdução ao Amazon FSx para Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html) no Guia do *usuário do Amazon FSx para Windows File Server*. FSx
# Controles CSPM do Security Hub para o Global Accelerator
Esses AWS Security Hub CSPM controles avaliam o AWS Global Accelerator serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::GlobalAccelerator::Accelerator`
**AWS Config regra:** `tagged-globalaccelerator-accelerator` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um AWS Global Accelerator acelerador tem tags com as teclas específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o acelerador não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o acelerador não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um acelerador global do Global Accelerator, consulte [Tagging in AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html) no *AWS Global Accelerator Developer Guide*.
# Controles CSPM do Security Hub para AWS Glue
Esses AWS Security Hub CSPM controles avaliam o AWS Glue serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## Os AWS Glue trabalhos [Glue.1] devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Glue::Job`
**AWS Config regra:** `tagged-glue-job` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AWS Glue trabalho tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o trabalho não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o trabalho não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um AWS Glue trabalho, consulte as [AWS tags AWS Glue no](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) *Guia do AWS Glue usuário*.
## [Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::Glue::MLTransform`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:** não
Esse controle verifica se uma transformação AWS Glue de aprendizado de máquina está criptografada em repouso. Esse controle falhará se a transformação de machine learning não for criptografada em repouso.
Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.
### Correção
Para configurar a criptografia para transformações AWS Glue de aprendizado de máquina, consulte Como [trabalhar com transformações de aprendizado de máquina](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html) no Guia do *AWS Glue usuário*.
## [Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, Nist.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), Nist.800-53.r5 SI-2 (5)
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** média
**Tipo de recurso:** `AWS::Glue::Job`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:** `minimumSupportedGlueVersion`: `3.0` (não personalizável)
Esse controle verifica se uma AWS Glue tarefa do Spark está configurada para ser executada em uma versão compatível do AWS Glue. O controle falhará se a tarefa do Spark estiver configurada para ser executada em uma versão anterior à versão mínima suportada. AWS Glue
**nota**
Esse controle também gera uma `FAILED` descoberta AWS Glue para uma tarefa do Spark se a propriedade AWS Glue version (`GlueVersion`) não existir ou for nula no item de configuração (CI) da tarefa. Nesses casos, a descoberta inclui a anotação a seguir: `GlueVersion is null or missing in glueetl job configuration`. Para resolver esse tipo de descoberta `FAILED`, adicione a propriedade `GlueVersion` à configuração do trabalho. Para obter uma lista das versões com suporte e dos ambientes de runtime, consulte [Versões do AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions) no *Guia do usuário do AWS Glue *.
A execução de trabalhos do AWS Glue Spark nas versões atuais do AWS Glue pode otimizar o desempenho, a segurança e o acesso aos recursos mais recentes do AWS Glue. Isso também pode ajudar na proteção contra vulnerabilidades de segurança. Por exemplo, uma nova versão pode ser lançada para fornecer atualizações de segurança, solucionar problemas ou introduzir novos atributos.
### Correção
*Para obter informações sobre como migrar uma tarefa do Spark para uma versão compatível do AWS Glue, consulte [Migração AWS Glue para tarefas do Spark](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html) no Guia do usuário.AWS Glue *
# Controles CSPM do Security Hub para Amazon GuardDuty
Esses AWS Security Hub CSPM controles avaliam o GuardDuty serviço e os recursos da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [GuardDuty.1] GuardDuty deve ser ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), 1 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-1 1 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (6), NIST.800-53.r5 SA-1 5 (2), 5 (8), (19), (21), (25),, ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-20, NIST.800-53.r5 SA-8 NIST.800-53.r5 SI-3 NIST.800-53.r5 SA-8 (8), NIST.800-53.r5 SA-8 NIST.800-53.r5 SI-4 NIST.800-53.r5 SC-5, NISt.800.R5 SI-4 800-53.r5 SI-4 NIST.800-53.r5 SC-5 NIST.800-53.r5 SC-5 (1), Nist.800-53.R5 SI-4 (13), NIST.800-53.R5 SI-4 (2), NIST.800-53.R5 SI-4 (22), NIST.800-53.R5 SI-4 (25), NIST.800-53.R5 SI-4 (4), NIST.800-53.R5 SI-4 (5), NIST.800-171.r2 3.4.2, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/11.4 , PCI DSS v4.0.1/11.5.1
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a Amazon GuardDuty está habilitada em sua GuardDuty conta e região.
É altamente recomendável que você habilite GuardDuty em todas as AWS regiões suportadas. Isso permite GuardDuty gerar descobertas sobre atividades não autorizadas ou incomuns, mesmo em regiões que você não usa ativamente. Isso também permite GuardDuty monitorar CloudTrail eventos globais Serviços da AWS , como o IAM.
### Correção
Para habilitar GuardDuty, consulte [Introdução GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) no *Guia do GuardDuty usuário da Amazon*.
## [GuardDuty.2] GuardDuty os filtros devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::GuardDuty::Filter`
**AWS Config regra:** `tagged-guardduty-filter` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um GuardDuty filtro da Amazon tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o filtro não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o filtro não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um GuardDuty filtro, consulte [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)na *Amazon GuardDuty API Reference*.
## [GuardDuty.3] GuardDuty IPSets deve ser marcado
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::GuardDuty::IPSet`
**AWS Config regra:** `tagged-guardduty-ipset` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se uma Amazon GuardDuty IPSet tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se IPSet não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro`requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se ela IPSet não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um GuardDuty IPSet, consulte [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)na *Amazon GuardDuty API Reference*.
## [GuardDuty.4] os GuardDuty detectores devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::GuardDuty::Detector`
**AWS Config regra:** `tagged-guardduty-detector` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um GuardDuty detector da Amazon tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o detector não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o detector não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um GuardDuty detector, consulte [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)na *Amazon GuardDuty API Reference*.
## [GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::GuardDuty::Detector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o GuardDuty EKS Audit Log Monitoring está ativado. Para uma conta autônoma, o controle falhará se o GuardDuty EKS Audit Log Monitoring estiver desativado na conta. Em um ambiente com várias contas, o controle falha se a conta do GuardDuty administrador delegado e todas as contas dos membros não tiverem o EKS Audit Log Monitoring ativado.
Em um ambiente com várias contas, o controle gera descobertas somente na conta do GuardDuty administrador delegado. Somente o administrador delegado pode ativar ou desativar o recurso EKS Audit Log Monitoring para as contas dos membros na organização. GuardDuty as contas dos membros não podem modificar essa configuração em suas contas. Esse controle gera `FAILED` descobertas se o GuardDuty administrador delegado tiver uma conta de membro suspensa que não tenha o GuardDuty EKS Audit Log Monitoring ativado. Para receber uma `PASSED` descoberta, o administrador delegado deve desassociar essas contas suspensas em. GuardDuty
GuardDuty O EKS Audit Log Monitoring ajuda você a detectar atividades potencialmente suspeitas em seus clusters do Amazon Elastic Kubernetes Service (Amazon EKS). O Monitoramento de logs de auditoria do EKS usa registros de auditoria do Kubernetes para capturar atividades cronológicas de usuários e aplicações usando a API Kubernetes e o ambiente de gerenciamento.
### Correção
Para ativar o monitoramento do registro de auditoria do GuardDuty [EKS, consulte Monitoramento do registro de auditoria](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html) do EKS no *Guia GuardDuty do usuário da Amazon*.
## [GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::GuardDuty::Detector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a Proteção GuardDuty Lambda está ativada. Para uma conta independente, o controle falhará se a Proteção GuardDuty Lambda estiver desativada na conta. Em um ambiente com várias contas, o controle falhará se a conta do GuardDuty administrador delegado e todas as contas dos membros não tiverem a Proteção Lambda ativada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta do GuardDuty administrador delegado. Somente o administrador delegado pode ativar ou desativar o recurso de Proteção Lambda para as contas dos membros na organização. GuardDuty as contas dos membros não podem modificar essa configuração em suas contas. Esse controle gera `FAILED` descobertas se o GuardDuty administrador delegado tiver uma conta de membro suspensa que não tenha a Proteção GuardDuty Lambda ativada. Para receber uma `PASSED` descoberta, o administrador delegado deve desassociar essas contas suspensas em. GuardDuty
GuardDuty A Proteção Lambda ajuda você a identificar possíveis ameaças à segurança quando uma AWS Lambda função é invocada. Depois de habilitar o Lambda Protection, GuardDuty começa a monitorar os registros de atividades da rede Lambda associados às funções do Lambda em seu. Conta da AWS Quando uma função Lambda é invocada e GuardDuty identifica tráfego de rede suspeito que indica a presença de um código potencialmente malicioso em sua função Lambda, gera uma descoberta. GuardDuty
### Correção
*Para habilitar a Proteção GuardDuty Lambda, consulte [Configuração da Proteção Lambda no Guia do Usuário](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) da Amazon. GuardDuty *
## [GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::GuardDuty::Detector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o GuardDuty EKS Runtime Monitoring com gerenciamento automatizado de agentes está ativado. Para uma conta autônoma, o controle falhará se o GuardDuty EKS Runtime Monitoring com gerenciamento automatizado de agentes estiver desativado na conta. Em um ambiente com várias contas, o controle falha se a conta do GuardDuty administrador delegado e todas as contas dos membros não tiverem o EKS Runtime Monitoring com o gerenciamento automatizado de agentes ativado.
Em um ambiente com várias contas, o controle gera descobertas somente na conta do GuardDuty administrador delegado. Somente o administrador delegado pode ativar ou desativar o recurso EKS Runtime Monitoring com gerenciamento automatizado de agentes para as contas dos membros na organização. GuardDuty as contas dos membros não podem modificar essa configuração em suas contas. Esse controle gera `FAILED` descobertas se o GuardDuty administrador delegado tiver uma conta de membro suspensa que não tenha o GuardDuty EKS Runtime Monitoring ativado. Para receber uma `PASSED` descoberta, o administrador delegado deve desassociar essas contas suspensas em. GuardDuty
O EKS Protection na Amazon GuardDuty fornece cobertura de detecção de ameaças para ajudar você a proteger os clusters do Amazon EKS em seu AWS ambiente. O Monitoramento de Runtime do EKS usa eventos ao nível do sistema operacional para ajudar a detectar possíveis ameaças nos nós e contêineres do EKS em seus clusters do EKS.
### Correção
Para habilitar o EKS Runtime Monitoring com gerenciamento automatizado de agentes, consulte [Habilitar o monitoramento em tempo de GuardDuty execução](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) no *Guia GuardDuty do usuário da Amazon*.
## [GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::GuardDuty::Detector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a Proteção contra GuardDuty Malware está ativada. Para uma conta independente, o controle falhará se a Proteção contra GuardDuty Malware estiver desativada na conta. Em um ambiente com várias contas, o controle falhará se a conta do GuardDuty administrador delegado e todas as contas dos membros não tiverem a Proteção contra Malware ativada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta do GuardDuty administrador delegado. Somente o administrador delegado pode ativar ou desativar o recurso de Proteção contra Malware para as contas dos membros da organização. GuardDuty as contas dos membros não podem modificar essa configuração em suas contas. Esse controle gera `FAILED` descobertas se o GuardDuty administrador delegado tiver uma conta de membro suspensa que não tenha a Proteção contra GuardDuty Malware ativada. Para receber uma `PASSED` descoberta, o administrador delegado deve desassociar essas contas suspensas em. GuardDuty
GuardDuty O Malware Protection for EC2 ajuda você a detectar a possível presença de malware examinando os volumes do Amazon Elastic Block Store (Amazon EBS) que estão conectados às instâncias e cargas de trabalho de contêineres do Amazon Elastic Compute Cloud (Amazon EC2). A Proteção contra Malware fornece opções de verificação nas quais você pode decidir se deseja incluir ou excluir workloads de contêineres e instâncias específicas do EC2 na hora da varredura. Ele também oferece a opção de reter os instantâneos dos volumes do EBS anexados às instâncias do EC2 ou às cargas de trabalho do contêiner em suas contas. GuardDuty Os snapshots são retidos somente quando o malware é encontrado e as descobertas da Proteção contra malware são geradas.
### Correção
Para ativar a proteção contra GuardDuty malware para o EC2, consulte [Configurando a verificação de GuardDuty malware iniciada no Guia](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html) do usuário da *Amazon GuardDuty *.
## [GuardDuty.9] A proteção GuardDuty RDS deve estar ativada
**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::GuardDuty::Detector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a Proteção GuardDuty RDS está ativada. Para uma conta autônoma, o controle falhará se a Proteção GuardDuty RDS estiver desativada na conta. Em um ambiente com várias contas, o controle falhará se a conta do GuardDuty administrador delegado e todas as contas dos membros não tiverem a Proteção RDS ativada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta do GuardDuty administrador delegado. Somente o administrador delegado pode ativar ou desativar o recurso de Proteção RDS para as contas dos membros na organização. GuardDuty as contas dos membros não podem modificar essa configuração em suas contas. Esse controle gera `FAILED` descobertas se o GuardDuty administrador delegado tiver uma conta de membro suspensa que não tenha a Proteção GuardDuty RDS ativada. Para receber uma `PASSED` descoberta, o administrador delegado deve desassociar essas contas suspensas em. GuardDuty
O RDS Protection GuardDuty analisa e traça o perfil da atividade de login do RDS para possíveis ameaças de acesso aos seus bancos de dados Amazon Aurora (Aurora MySQL Compatible Edition e Aurora PostgreSQL Compatible Edition). Esse recurso permite identificar comportamentos de login potencialmente suspeitos. A Proteção do RDS não requer infraestrutura adicional. Ela foi projetada para não afetar a performance de suas instâncias de banco de dados. Quando o RDS Protection detecta uma tentativa de login potencialmente suspeita ou anômala que indica uma ameaça ao seu banco de dados, GuardDuty gera uma nova descoberta com detalhes sobre o banco de dados potencialmente comprometido.
### Correção
Para habilitar a Proteção GuardDuty RDS, consulte Proteção [GuardDuty RDS no Guia GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) *do Usuário da Amazon*.
## [GuardDuty.10] A proteção GuardDuty S3 deve estar ativada
**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::GuardDuty::Detector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o GuardDuty S3 Protection está ativado. Para uma conta independente, o controle falhará se o GuardDuty S3 Protection estiver desativado na conta. Em um ambiente com várias contas, o controle falhará se a conta do GuardDuty administrador delegado e todas as contas dos membros não tiverem o S3 Protection ativado.
Em um ambiente com várias contas, o controle gera descobertas somente na conta do GuardDuty administrador delegado. Somente o administrador delegado pode ativar ou desativar o recurso de Proteção do S3 para as contas dos membros na organização. GuardDuty as contas dos membros não podem modificar essa configuração em suas contas. Esse controle gera `FAILED` descobertas se o GuardDuty administrador delegado tiver uma conta de membro suspensa que não tenha o GuardDuty S3 Protection ativado. Para receber uma `PASSED` descoberta, o administrador delegado deve desassociar essas contas suspensas em. GuardDuty
O S3 Protection permite GuardDuty monitorar operações de API em nível de objeto para identificar possíveis riscos de segurança para dados em seus buckets do Amazon Simple Storage Service (Amazon S3). GuardDuty monitora ameaças contra seus recursos do S3 analisando eventos AWS CloudTrail de gerenciamento e eventos de dados CloudTrail do S3.
### Correção
Para ativar a Proteção do GuardDuty S3, consulte a Proteção do [Amazon S3 na GuardDuty Amazon no Guia](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) do Usuário da * GuardDuty Amazon*.
## [GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::GuardDuty::Detector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o Runtime Monitoring está habilitado na Amazon GuardDuty. Para uma conta autônoma, o controle falhará se o GuardDuty Runtime Monitoring estiver desativado para a conta. Em um ambiente com várias contas, o controle falhará se o GuardDuty Runtime Monitoring estiver desativado para a conta do GuardDuty administrador delegado e para todas as contas dos membros.
Em um ambiente com várias contas, somente o GuardDuty administrador delegado pode ativar ou desativar o GuardDuty Runtime Monitoring para contas em sua organização. Além disso, somente o GuardDuty administrador pode configurar e gerenciar os agentes de segurança GuardDuty usados para monitorar o tempo de execução das AWS cargas de trabalho e dos recursos das contas na organização. GuardDuty as contas dos membros não podem ativar, configurar ou desativar o Runtime Monitoring para suas próprias contas.
GuardDuty O Runtime Monitoring observa e analisa eventos em nível de sistema operacional, rede e arquivos para ajudá-lo a detectar possíveis ameaças em cargas de AWS trabalho específicas em seu ambiente. Ele usa agentes GuardDuty de segurança que adicionam visibilidade ao comportamento do tempo de execução, como acesso a arquivos, execução de processos, argumentos de linha de comando e conexões de rede. É possível habilitar e gerenciar o agente de segurança para cada tipo de recurso que você deseja monitorar para possíveis ameaças, como clusters do Amazon EKS e instâncias do Amazon EC2.
### Correção
Para obter informações sobre como configurar e ativar o monitoramento em GuardDuty tempo de execução, consulte Monitoramento [GuardDuty de tempo de execução](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html) e [ativação do monitoramento em GuardDuty tempo de execução](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) no *Guia GuardDuty do usuário da Amazon*.
## [GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** média
**Tipo de recurso:** `AWS::GuardDuty::Detector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o agente de segurança GuardDuty automatizado da Amazon está habilitado para o monitoramento em tempo de execução dos clusters do Amazon ECS em AWS Fargate. Para uma conta autônoma, o controle falhará se o agente de segurança estiver desabilitado para a conta. Em um ambiente com várias contas, o controle falhará se o agente de segurança for desativado para a conta do GuardDuty administrador delegado e para todas as contas dos membros.
Em um ambiente com várias contas, esse controle gera descobertas somente na conta do GuardDuty administrador delegado. Isso ocorre porque somente o GuardDuty administrador delegado pode ativar ou desativar o monitoramento de tempo de execução dos recursos do ECS-Fargate para contas em sua organização. GuardDuty as contas dos membros não podem fazer isso com suas próprias contas. Além disso, esse controle gera `FAILED` descobertas se GuardDuty for suspenso para uma conta de membro e o monitoramento de tempo de execução dos recursos do ECS-Fargate estiver desativado para a conta do membro. Para receber uma `PASSED` descoberta, o GuardDuty administrador deve desassociar a conta de membro suspensa de sua conta de administrador usando GuardDuty.
GuardDuty O Runtime Monitoring observa e analisa eventos em nível de sistema operacional, rede e arquivos para ajudá-lo a detectar possíveis ameaças em cargas de AWS trabalho específicas em seu ambiente. Ele usa agentes GuardDuty de segurança que adicionam visibilidade ao comportamento do tempo de execução, como acesso a arquivos, execução de processos, argumentos de linha de comando e conexões de rede. É possível habilitar e gerenciar o agente de segurança para cada tipo de recurso que deseja monitorar para possíveis ameaças. Isso inclui clusters do Amazon ECS no AWS Fargate.
### Correção
Para habilitar e gerenciar o agente de segurança para monitoramento GuardDuty de tempo de execução dos recursos do ECS-Fargate, você deve usá-lo diretamente. GuardDuty Você não pode habilitá-lo ou gerenciá-lo manualmente para recursos do ECS-Fargate. *Para obter informações sobre como habilitar e gerenciar o agente de segurança, consulte [Pré-requisitos para suporte (somente para AWS Fargate Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html) e [Gerenciamento do agente de segurança automatizado para (somente AWS Fargate Amazon ECS) no](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html) Guia do usuário da Amazon. GuardDuty *
## [GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** média
**Tipo de recurso:** `AWS::GuardDuty::Detector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o agente de segurança GuardDuty automatizado da Amazon está habilitado para o monitoramento do tempo de execução das instâncias do Amazon EC2. Para uma conta autônoma, o controle falhará se o agente de segurança estiver desabilitado para a conta. Em um ambiente com várias contas, o controle falhará se o agente de segurança for desativado para a conta do GuardDuty administrador delegado e para todas as contas dos membros.
Em um ambiente com várias contas, esse controle gera descobertas somente na conta do GuardDuty administrador delegado. Isso ocorre porque somente o GuardDuty administrador delegado pode habilitar ou desabilitar o Runtime Monitoring de instâncias do Amazon EC2 para contas em sua organização. GuardDuty as contas dos membros não podem fazer isso com suas próprias contas. Além disso, esse controle gera `FAILED` descobertas se GuardDuty for suspenso para uma conta membro e o monitoramento de tempo de execução de instâncias do EC2 for desativado para a conta membro. Para receber uma `PASSED` descoberta, o GuardDuty administrador deve desassociar a conta de membro suspensa de sua conta de administrador usando GuardDuty.
GuardDuty O Runtime Monitoring observa e analisa eventos em nível de sistema operacional, rede e arquivos para ajudá-lo a detectar possíveis ameaças em cargas de AWS trabalho específicas em seu ambiente. Ele usa agentes GuardDuty de segurança que adicionam visibilidade ao comportamento do tempo de execução, como acesso a arquivos, execução de processos, argumentos de linha de comando e conexões de rede. É possível habilitar e gerenciar o agente de segurança para cada tipo de recurso que deseja monitorar para possíveis ameaças. Isso inclui instâncias do Amazon EC2.
### Correção
*Para obter informações sobre como configurar e gerenciar o agente de segurança automatizado para o monitoramento de tempo de GuardDuty execução de instâncias do EC2, consulte [Pré-requisitos para o suporte à instância do Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html) [e Como habilitar o agente de segurança automatizado para instâncias do Amazon EC2 no Guia do usuário da Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html). GuardDuty *
# Controles CSPM do Security Hub para AWS Identity and Access Management
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos AWS Identity and Access Management (IAM). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1),, (15), (7),, NIST.800-53.r5 AC-2, (10), (2) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (3), NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.4 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI NIST.800-53.r5 AC-6 DSS v3.2.1/7.2.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** alta
**Tipo de recurso:** `AWS::IAM::Policy`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `excludePermissionBoundaryPolicy: true` (não personalizável)
Esse controle verifica se a versão padrão das políticas do IAM (também conhecidas como políticas gerenciadas pelo cliente) não tem acesso de administrador com uma instrução que tenha`"Effect": "Allow"` com `"Action": "*"` em `"Resource": "*"`. O controle falhará se você tiver políticas do IAM com essa declaração.
O controle apenas verifica as políticas gerenciadas pelo cliente que você criou. Ele não verifica políticas em linha e AWS gerenciadas.
As políticas do IAM definem um conjunto de privilégios concedidos a usuários, grupos ou perfis. Seguindo o conselho de segurança padrão, AWS recomenda que você conceda privilégios mínimos, o que significa conceder somente as permissões necessárias para realizar uma tarefa. Ao fornecer privilégios administrativos completos em vez do conjunto mínimo de permissões que o usuário precisa, você expõe os recursos a ações potencialmente indesejadas.
Em vez de permitir privilégios administrativos completos, determine o que os usuários precisam fazer e crie políticas que permitam que executem apenas aquelas tarefas. É mais seguro começar com um conjunto mínimo de permissões e conceder permissões adicionais conforme necessário. Não comece com permissões que sejam muito flexíveis para depois tentar restringi-las.
Remova as políticas do IAM `"Effect": "Allow" ` que têm uma instrução com `"Action": "*"` por `"Resource": "*"`.
**nota**
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.
### Correção
Para modificar suas políticas do IAM para que elas não permitam privilégios administrativos “\$1” completos, consulte [Editar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) no *Guia do usuário do IAM*.
## [IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.14, CIS Foundations Benchmark v3.0.0/1.15, CIS AWS Foundations Benchmark v1.2.0/1.16,, (1),, (15), (7),, NIST.800-53.r5 AC-2 (3), AWS NIST.800-171.r2 3.1.1, NIST.800-171.r2 3.1.2, NIST.800-171.r2 3.1.7 NIST.800-53.r5 AC-2, NIST.800-171.r2 IST.800-171.r2 3.3.9 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-171.r2 NIST.800-53.r5 AC-6 3.13.3 NIST.800-53.r5 AC-6, PCI DSS v3.2.1/7.2.1
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IAM::User`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se nenhum dos usuários do IAM tem políticas anexadas. O controle falhará se seus usuários do IAM tiverem políticas vinculadas. Em vez disso, os usuários do IAM devem herdar permissões dos grupos ou funções do .
Por padrão, usuários, grupos e funções do IAM não têm acesso aos AWS recursos. As políticas do IAM são como os privilégios são concedidos aos usuários, aos grupos ou às funções na . Recomendamos que você aplique as políticas do IAM diretamente a grupos e funções, mas não aos usuários. A atribuição de privilégios no nível do grupo ou função reduz a complexidade do gerenciamento de acesso à medida que o número de usuários aumenta. Reduzir a complexidade do gerenciamento de acesso pode, por sua vez, reduzir a oportunidade para uma entidade principal inadvertidamente receber ou manter um número excessivo de privilégios.
**nota**
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar os recursos globais somente em uma região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registrar os recursos globais.
### Correção
Para resolver esse problema, [crie um grupo do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html) e anexe a política ao grupo. Depois, [adicione os usuários ao grupo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html). A política é aplicada a cada usuário no grupo. Para remover uma política vinculada diretamente a um usuário, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do IAM*.
## [IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.13, CIS Foundations Benchmark v3.0.0/1.14, CIS AWS Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, (1), (3), (15), PCI DSS AWS v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::IAM::User`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)
**Tipo de programação:** Periódico
**Parâmetros:**
+ `maxAccessKeyAge`: `90` (não personalizável)
Esse controle verifica se as chaves de acesso ativas são mudadas em até 90 dias.
É altamente recomendado não gerar e remover todas as chaves de acesso na conta. Em vez disso, a melhor prática recomendada é criar uma ou mais funções do IAM ou usar a [federação](https://aws.amazon.com/identity/federation/) por meio de Centro de Identidade do AWS IAM. Você pode usar esses métodos para permitir que seus usuários acessem Console de gerenciamento da AWS AWS CLI e.
Cada abordagem tem os respectivos casos de uso. A federação é geralmente melhor para empresas com um diretório central existente ou que projetam a necessidade de um número maior do que o limite atual de usuários do IAM. Os aplicativos executados fora de um AWS ambiente precisam de chaves de acesso para acesso programático aos AWS recursos.
No entanto, se os recursos que precisam de acesso programático forem executados internamente AWS, a melhor prática é usar funções do IAM. As funções permitem conceder acesso a recursos sem codificar um ID de chave de acesso e uma chave de acesso secreta na configuração.
Para saber mais sobre como proteger suas chaves de acesso e sua conta, consulte [Melhores práticas para gerenciar chaves de AWS acesso](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) no *Referência geral da AWS*. Veja também a postagem do blog [Diretrizes para proteger você Conta da AWS ao usar o acesso programático](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/).
Se você já tem uma chave de acesso, o Security Hub CSPM recomenda que você alterne as chaves de acesso a cada 90 dias. A mudança de chaves de acesso reduz a chance de uso de uma chave de acesso associada a uma conta comprometida ou encerrada. Isso também garante que os dados não possam ser acessados com uma chave antiga que pode ter sido perdida, decifrada ou roubada. Sempre atualize os aplicativos após mudar as chaves de acesso.
As chaves de acesso consistem em um ID de chave de acesso e em uma chave de acesso secreta. Elas são usadas para assinar as solicitações programáticas que você faz à AWS. Os usuários precisam de suas próprias chaves de acesso para fazer chamadas programáticas a AWS AWS CLI partir do Tools for Windows PowerShell, do AWS SDKs, ou chamadas HTTP diretas usando as operações de API individuais Serviços da AWS.
Se sua organização usa Centro de Identidade do AWS IAM (IAM Identity Center), seus usuários podem entrar no Active Directory, em um diretório integrado do IAM Identity Center ou em [outro provedor de identidade (IdP) conectado ao IAM Identity](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) Center. Em seguida, eles podem ser mapeados para uma função do IAM que permite executar AWS CLI comandos ou chamar operações de AWS API sem a necessidade de chaves de acesso. Para saber mais, consulte [Configurando o AWS CLI para uso Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) no *Guia do AWS Command Line Interface usuário*.
**nota**
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.
### Correção
Para alternar chaves de acesso com mais de 90 dias, consulte [Chaves de acesso rotativas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) no *Guia do usuário do IAM*. Siga as instruções para qualquer usuário com uma **chave de acesso com idade** superior a 90 dias.
## [IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.3, CIS Foundations Benchmark v3.0.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.4, CIS AWS Foundations Benchmark v1.2.0/1.12, PCI DSS v3.2.1/2.1, AWS PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (15), (7), (10), (2) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** crítica
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a chave de acesso do usuário raiz está presente.
O usuário root é o usuário mais privilegiado em um Conta da AWS. AWS as teclas de acesso fornecem acesso programático a uma determinada conta.
O Security Hub CSPM recomenda que você remova todas as chaves de acesso associadas ao usuário raiz. Isso limita os vetores que podem ser usados para comprometer a conta. Além disso, incentiva a criação e o uso de contas baseadas em função que são menos privilegiadas.
### Correção
Para excluir a chave de acesso do usuário raiz, consulte [Excluir chaves de acesso para o usuário raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key) no *Guia do usuário do IAM*. Para excluir as chaves de acesso do usuário root de um Conta da AWS in AWS GovCloud (US), consulte [Excluindo as chaves de acesso do usuário raiz da minha AWS GovCloud (US) conta](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key) no *Guia do AWS GovCloud (US) usuário*.
## [IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.9, CIS Foundations Benchmark v3.0.0/1.10, CIS AWS Foundations Benchmark v1.4.0/1.10, CIS AWS Foundations Benchmark v1.2.0/1.2, (1), (15), (1), (2), (6), NIST.800-53.r5 AC-2 (8), PCI AWS DSS v4.0.1/8.4.2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::IAM::User`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a autenticação AWS multifator (MFA) está habilitada para todos os usuários do IAM que usam uma senha de console.
A autenticação multifator (MFA) adiciona uma camada extra de proteção sobre um nome de usuário e senha. Com o MFA ativado, quando um usuário faz login em um AWS site, ele é solicitado a fornecer seu nome de usuário e senha. Além disso, eles são solicitados a fornecer um código de autenticação de seu dispositivo de AWS MFA.
Recomendamos habilitar a MFA para todas as contas que têm uma senha do console. A MFA foi projetada para fornecer maior segurança para o acesso ao console. O principal de autenticação deve conter um dispositivo que emite uma chave sensível ao tempo e deve ter conhecimento de uma credencial.
**nota**
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.
### Correção
Para aidiconar MPA a usuários do IAM, consulte [Usar autenticação multifator (MFA) na AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) no *Guia do usuário do IAM*.
## [IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.5, CIS Foundations Benchmark v3.0.0/1.6, CIS AWS Foundations Benchmark v1.4.0/1.6, CIS AWS Foundations Benchmark v1.2.0/1.14, PCI DSS AWS v3.2.1/8.3.1, (1), (1), (2), (6), (8), PCI DSS v4.0.1/8.4.2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** crítica
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se você Conta da AWS está habilitado para usar um dispositivo de autenticação multifator (MFA) de hardware para fazer login com credenciais de usuário raiz. O controle falhará se a MFA de hardware não estiver habilitada ou se algum dispositivo virtual de MFA tiver permissão para fazer login com as credenciais do usuário-raiz.
A MFA virtual pode não fornecer o mesmo nível de segurança oferecido por dispositivos MFA de hardware. Recomendamos usar um dispositivo de MFA virtual somente enquanto aguarda a aprovação da compra do hardware ou a chegada do hardware. Para saber mais, consulte [Atribuição de um dispositivo de MFA virtual (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html) no *Guia do usuário do IAM*.
**nota**
O Security Hub CSPM avalia esse controle com base na presença de credenciais do usuário raiz (perfil de login) em um. Conta da AWS O controle gera descobertas `PASSED` nos seguintes casos:
As credenciais do usuário-raiz estão presentes na conta e a MFA de hardware está habilitada para o usuário-raiz.
As credenciais do usuário-raiz não estão presentes na conta.
O controle gerará uma descoberta `FAILED` se credenciais do usuário-raiz estiverem presentes na conta e a MFA de hardware não estiver habilitada para o usuário-raiz.
### Correção
Para obter informações sobre como habilitar a MFA de hardware para o usuário-raiz, consulte [Autenticação multifator para um Usuário raiz da conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) no *Guia do usuário do IAM*.
## [IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (3), (15), NIST.800-53.r5 AC-2 (1), NIST.800-171.r2 3.5.2, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.9, PCI PCI DSS v4.0.1/8.3.10.1, PCI DSS v4.0.1/8.6.3 NIST.800-53.r5 IA-5
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `RequireUppercaseCharacters` | Exige pelo menos um caractere maiúsculo na senha | Booleano | `true` ou `false` | `true` |
| `RequireLowercaseCharacters` | Exige pelo menos um caractere minúsculo na senha | Booleano | `true` ou `false` | `true` |
| `RequireSymbols` | Exige pelo menos um símbolo na senha | Booleano | `true` ou `false` | `true` |
| `RequireNumbers` | Exige pelo menos um número na senha | Booleano | `true` ou `false` | `true` |
| `MinimumPasswordLength` | Número mínimo de caracteres na senha | Inteiro | `8` para `128` | `8` |
| `PasswordReusePrevention` | Número de rotações de senha antes que uma senha antiga possa ser reutilizada | Inteiro | `12` para `24` | Nenhum valor padrão |
| `MaxPasswordAge` | Número de dias antes da expiração da senha | Inteiro | `1` para `90` | Nenhum valor padrão |
Esse controle verifica se a política de senha de conta para usuários do IAM usa configurações fortes. O controle falhará se a política de senha não usar configurações fortes. A menos que você forneça valores de parâmetros personalizados, o Security Hub CSPM usa os valores padrão mencionados na tabela anterior. Os `MaxPasswordAge` parâmetros `PasswordReusePrevention` e não têm valor padrão, portanto, se você excluir esses parâmetros, o CSPM do Security Hub ignorará o número de rotações de senha e a idade da senha ao avaliar esse controle.
Para acessar o Console de gerenciamento da AWS, os usuários do IAM precisam de senhas. Como prática recomendada, o Security Hub CSPM recomenda fortemente que, em vez de criar usuários do IAM, você use a federação. A federação permite que os usuários usem suas credenciais corporativas existentes para fazer login no Console de gerenciamento da AWS. Use Centro de Identidade do AWS IAM (IAM Identity Center) para criar ou federar o usuário e, em seguida, assumir uma função do IAM em uma conta.
Para saber mais sobre provedores de identidade e federação, consulte [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) no *Guia do usuário do IAM*. Para saber mais sobre o Centro de Identidade do IAM, consulte o [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).
Se você precisar usar usuários do IAM, o Security Hub CSPM recomenda que você imponha a criação de senhas de usuário fortes. Você pode definir uma política de senha Conta da AWS para especificar requisitos de complexidade e períodos de rotação obrigatórios para senhas. Quando você criar ou alterar uma política de senha, a maioria das configurações de política de senha será aplicada da próxima vez que seus usuários mudarem suas senhas. Algumas das configurações serão aplicadas imediatamente.
### Correção
Para atualizar sua política de senha, consulte [Configuração de uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*.
## [IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.3,, NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2, (15), NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-2 NIST.800-171.r2 3.1.2 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 PCI DSS v3.2.1/8.1.4 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.2.6
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::IAM::User`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)
**Tipo de programação:** Periódico
**Parâmetros:**
+ `maxCredentialUsageAge`: `90` (não personalizável)
Esse controle verifica se seus usuários do IAM têm senhas ou chaves de acesso ativas que não foram usadas por 90 dias.
Os usuários do IAM podem acessar AWS recursos usando diferentes tipos de credenciais, como senhas ou chaves de acesso.
O Security Hub CSPM recomenda que você remova ou desative todas as credenciais que não foram usadas por 90 dias ou mais. Desabilitar ou remover credenciais desnecessárias reduz a possibilidade de uso de credenciais associadas a uma conta comprometida ou abandonada.
**nota**
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.
### Correção
Quando você visualiza as informações do usuário no console do IAM, há colunas para **Idade da chave de acesso**, **Idade da senha** e **Última atividade**. Se o valor em qualquer uma dessas colunas for maior do que 90 dias, deixe as credenciais para esses usuários inativas.
Também é possível usar os [relatórios de credenciais](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) para monitorar e identificar usuário sem atividade por 90 dias ou mais. É possível baixar os relatórios de credenciais no formato .csv no console do IAM `.csv`.
Depois de identificar as contas inativas ou as credenciais não utilizadas, desative-as. Para instruções, consulte [Criar, alterar ou excluir uma senha de usuário do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) no *Guia do usuário do IAM*.
## [IAM.9] A MFA deve estar habilitada para o usuário raiz
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.4, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, CIS Foundations Benchmark v3.0.0/1.5, CIS Foundations Benchmark v1.4.0/1.5, CIS AWS Foundations Benchmark v1.2.0/1.13, (1), (1), (2), (6), (8) AWS AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** crítica
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a autenticação multifator (MFA) está habilitada para que o usuário raiz do IAM de Conta da AWS an faça login no. Console de gerenciamento da AWS O controle falhará se a MFA não estiver habilitada para o usuário-raiz da conta.
O usuário raiz do IAM de an Conta da AWS tem acesso completo a todos os serviços e recursos da conta. Se o MFA estiver ativado, o usuário deverá inserir um nome de usuário, uma senha e um código de autenticação do dispositivo de AWS MFA para entrar no. Console de gerenciamento da AWS A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha.
Esse controle gerará descobertas `PASSED` nos casos a seguir:
+ As credenciais do usuário-raiz estão presentes na conta e a MFA está habilitada para o usuário-raiz.
+ As credenciais do usuário-raiz não estão presentes na conta.
O controle gerará descobertas `FAILED` se credenciais do usuário-raiz estiverem presentes na conta e a MFA não estiver habilitada para o usuário-raiz.
### Correção
*Para obter informações sobre como habilitar o MFA para o usuário raiz de um Conta da AWS, consulte [Autenticação multifator Usuário raiz da conta da AWS no Guia do](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) usuário.AWS Identity and Access Management *
## [IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes
**Requisitos relacionados:** NIST.800-171.r2 3,5.2, NIST.800-171.r2 3,5.7, NIST.800-171.r2 3,5.8, PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a política da senha da conta para usuários do IAM usa as configurações recomendadas a seguir.
+ `RequireUppercaseCharacters`: exige pelo menos um caractere maiúsculo na senha. (Padrão = `true`)
+ `RequireLowercaseCharacters`: exige pelo menos um caractere minúsculo na senha. (Padrão = `true`)
+ `RequireNumbers`: exige pelo menos um número na senha. (Padrão = `true`)
+ `MinimumPasswordLength`: tamanho mínimo da senha. (Padrão = 7 ou mais)
+ `PasswordReusePrevention`: número de senhas antes de permitir a reutilização. (Padrão = 4)
+ `MaxPasswordAge`: número de dias antes da expiração da senha. (Padrão = 0)
**nota**
Em 30 de maio de 2025, o Security Hub CSPM removeu esse controle do padrão PCI DSS v4.0.1. O PCI DSS v4.0.1 agora exige que as senhas tenham no mínimo 8 caracteres. Esse controle continua a ser aplicado ao padrão PCI DSS v3.2.1, que tem requisitos de senha diferentes.
Para avaliar as políticas de senha da conta em relação aos requisitos do PCI DSS v4.0.1, é possível usar o [controle IAM.7](#iam-7). Esse controle exige que as senhas tenham no mínimo 8 caracteres. Ele também oferece suporte a valores personalizados para tamanho da senha e outros parâmetros. O controle IAM.7 faz parte do padrão PCI DSS v4.0.1 no CSPM do Security Hub.
### Correção
Para atualizar sua política de senha para usar a configuração recomendada, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*.
## 1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.5, NIST.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres.
O CIS recomenda que a política de senhas exija pelo menos uma letra maiúscula. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.
### Correção
Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Força da senha**, selecione **Exigir pelo menos uma letra maiúscula do alfabeto latino (A–Z)**.
## 1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.6, NIST.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres. O CIS recomenda que a política de senhas exija pelo menos uma letra minúscula. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.
### Correção
Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Força da senha**, selecione **Exigir pelo menos uma letra minúscula do alfabeto latino (A–Z)**.
## 1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.7, NIST.800-171.r2 3.5.7
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres.
O CIS recomenda que a política de senhas exija pelo menos um símbolo. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.
### Correção
Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Força da senha**, selecione **Exigir pelo menos um caractere não alfanumérico**.
## Certifique-se de que política de senha do IAM exija pelo menos um número
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.8, NIST.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres.
O CIS recomenda que a política de senhas exija pelo menos um número. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.
### Correção
Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Força da senha**, selecione **Exigir pelo menos um número**.
## 1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.7, CIS Foundations Benchmark v3.0.0/1.8, CIS Foundations Benchmark v1.4.0/1.8, CIS AWS Foundations Benchmark v1.2.0/1.9, NIST.800-171.r2 3.5.7 AWS AWS
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas tenham pelo menos um determinado comprimento.
O CIS recomenda que a política de senha exija um comprimento mínimo para senha de 14 caracteres. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.
### Correção
Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Tamanho mínimo da senha**, insira **14** ou um número maior.
## 1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.8, CIS Foundations Benchmark v3.0.0/1.9, CIS Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10, NIST.800-171.r2 3.5.8, PCI DSS AWS v4.0.1/8.3.7 AWS
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** baixa
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o número de senhas a serem lembradas está definido como 24. O controle falhará se o valor não for 24.
As políticas de senha do IAM podem impedir a reutilização de uma determinada senha pelo mesmo usuário.
O CIS recomenda que a política de senha impeça a reutilização de senhas. Impedir a reutilização de senhas aumenta a resiliência da conta contra tentativas de login forçado.
### Correção
Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Impedir a reutilização da senha**, digite **24**.
## 1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.11, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** baixa
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
As políticas de senha do IAM podem exigir a mudança ou expiração de senhas após um determinado número de dias.
O CIS recomenda que a política de senha expire senhas após 90 dias ou menos. Reduzir a duração da senha aumenta a resiliência da conta contra tentativas de login forçado. Exigir alterações de senha regulares ajuda nos seguintes cenários:
+ As senhas podem ser roubadas ou comprometidas sem o seu conhecimento. Isso pode acontecer por meio de um comprometimento do sistema, vulnerabilidade de software ou ameaças internas.
+ Alguns filtros governamentais e corporativos da Web ou servidores de proxy podem interceptar e registrar o tráfego mesmo se ele for criptografado.
+ Muitas pessoas usam a mesma senha para muitos sistemas, como trabalho, email e pessoal.
+ Estações de trabalho do usuário final comprometidas podem ter um registrador de teclas.
### Correção
Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Ativar a expiração da senha**, digite **90** ou um número menor.
## [IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.16, CIS Foundations Benchmark v3.0.0/1.17, CIS Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20, NIST.800-171.r2 3.1.2, PCI AWS DSS v4.0.1/12.10.3 AWS
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** baixa
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)
**Tipo de programação:** Periódico
**Parâmetros:**
+ `policyARN`: `arn:partition:iam::aws:policy/AWSSupportAccess` (não personalizável)
+ `policyUsageType`: `ANY` (não personalizável)
AWS fornece um centro de suporte que pode ser usado para notificação e resposta a incidentes, bem como suporte técnico e atendimento ao cliente.
Crie um perfil do IAM para permitir que usuários autorizados gerenciem incidentes com o AWS Support. Ao implementar o menor privilégio para controle de acesso, uma função do IAM exigirá uma política de IAM apropriada para permitir o acesso ao centro de suporte a fim de gerenciar incidentes com. Suporte
**nota**
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.
### Correção
Para corrigir esse problema, crie um perfil para permitir que usuários autorizados gerenciem incidentes do Suporte .
**Para criar a função a ser usada para Suporte acesso**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do IAM, escolha **Perfis** e escolha **Criar perfil**.
1. Em **Tipo de perfil**, escolha **Outra Conta da AWS**.
1. Em **ID da conta**, insira Conta da AWS a Conta da AWS ID da qual você deseja conceder acesso aos seus recursos.
Se os usuários ou grupos que assumirão essa função estiverem na mesma conta, insira o número da conta local.
**nota**
O administrador da conta especificada pode conceder permissão para assumir essa função a qualquer usuário do . Para fazer isso, o administrador anexa uma política ao usuário ou grupo que concede permissão para a ação `sts:AssumeRole`. Nessa política, o recurso deve ser o ARN da função.
1. Escolha **Próximo: Permissões**.
1. Procure a política gerenciada `AWSSupportAccess`.
1. Marque a caixa de seleção da política gerenciada `AWSSupportAccess`.
1. Escolha **Próximo: tags**.
1. (Opcional) Para adicionar metadados à função, anexe tags como pares de chave-valor.
Para obter mais informações sobre o uso de tags no IAM, consulte [Marcar usuários e funções do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.
1. Escolha **Próximo: revisar**.
1. Em **Role name (Nome da função)**, digite um nome para sua função.
Os nomes das funções devem ser exclusivos em seu Conta da AWS. Não diferenciam letras maiúsculas de minúsculas.
1. (Opcional) Em **Descrição do perfil**, insira uma descrição para o novo perfil.
1. Revise a função e selecione **Create role (Criar função)**.
## [IAM.19] A MFA deve estar habilitada para todos os usuários do IAM
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (15), (1), NIST.800-53.r5 AC-3 (2), (6), NIST.800-53.r5 IA-2 (8), NIST.800-53.r5 IA-2 NIST.800-171.r2 3.3.8, NIST.800-53.r5 IA-2 NIST.800-171.r2 3.5.3, NIST.800-53.r5 IA-2 NIST.800-171.r2 3.5.4, NIST.800-171.r2 3.7.5, PCI DSS v3.2.1/8.3.1, PCI DSS v4.4.0,1/8.4.2,
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::IAM::User`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se os usuários do IAM têm a autenticação multifator (MFA) habilitada.
**nota**
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.
### Correção
Para adicionar MFA para usuários do IAM, consulte [Habilitar dispositivos de MFA para usuários na AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html) no *Guia do usuário do IAM*.
## [IAM.20] Evite o uso do usuário raiz
**Importante**
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).
**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.1
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IAM::User`
**AWS Config regra:** `use-of-root-account-test` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um Conta da AWS tem restrições ao uso do usuário root. O controle avalia os seguintes recursos:
+ Amazon Simple Notification Service (Amazon SNS) topics
+ AWS CloudTrail trilhas
+ Filtros métricos associados às CloudTrail trilhas
+ CloudWatch Alarmes da Amazon com base nos filtros
Essa verificação resulta em uma descoberta `FAILED` se uma ou mais das seguintes afirmações são verdadeiras:
+ Não existem CloudTrail trilhas na conta.
+ Uma CloudTrail trilha está ativada, mas não está configurada com pelo menos uma trilha multirregional que inclui eventos de gerenciamento de leitura e gravação.
+ Uma CloudTrail trilha está ativada, mas não está associada a um grupo de CloudWatch registros de registros.
+ O filtro métrico exato prescrito pelo Center for Internet Security (CIS) não é usado. O filtro métrico prescrito é `'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'`.
+ Não há CloudWatch alarmes com base no filtro métrico na conta.
+ CloudWatch os alarmes configurados para enviar notificação ao tópico SNS associado não são acionados com base na condição do alarme.
+ O tópico do SNS não está em conformidade com as [restrições de envio de uma mensagem para um tópico do SNS](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html).
+ O tópico do SNS não tem pelo menos um assinante.
Essa verificação resulta em um status de controle `NO_DATA` se uma ou mais das seguintes afirmações forem verdadeiras:
+ Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
+ Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.
Essa verificação resulta em um status de controle `WARNING` se uma ou mais das seguintes afirmações forem verdadeiras:
+ A conta atual não é proprietária do tópico SNS referenciado no CloudWatch alarme.
+ A conta atual não tem acesso ao tópico do SNS ao invocar a API do SNS `ListSubscriptionsByTopic`.
**nota**
Recomendamos usar trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO\$1DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Como uma melhor prática, use as credenciais raiz somente quando necessário para [realizar tarefas de gerenciamento de serviços e da conta](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Aplique as políticas do IAM diretamente a grupos e perfis, mas não aos usuários. Para obter instruções sobre como configurar um administrador para uso diário, consulte [Criar seu primeiro usuário administrador e grupo de administradores do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) no *Guia do usuário do IAM*.
### Correção
As etapas para corrigir esse problema incluem a configuração de um tópico do Amazon SNS, CloudTrail uma trilha, um filtro métrico e um alarme para o filtro métrico.
**Para criar um tópico do Amazon SNS**
1. [Abra o console do Amazon SNS em https://console.aws.amazon.com/sns/ v3/home.](https://console.aws.amazon.com/sns/v3/home)
1. Crie um tópico do Amazon SNS que receba todos os alarmes de CIS.
Crie pelo menos um assinante para o tópico. Para obter mais informações, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
Em seguida, configure um ativo CloudTrail que se aplique a todas as regiões. Para fazer isso, siga as etapas de correção em [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1).
Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Crie filtros de métricas para o grupo de logs.
Por fim, crie o filtro métrico e o alarme.
**Para criar um filtro e um alarme de métrica**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Grupos de logs**.
1. Marque a caixa de seleção do grupo de CloudWatch registros de registros associado à CloudTrail trilha que você criou.
1. Em **Ações**, escolha **Criar filtro de métrica**.
1. Em **Definir padrão**, faça o seguinte:
1. Copie o seguinte padrão e cole-o no campo **Filter Pattern (Padrão de filtro)**.
```
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
```
1. Escolha **Próximo**.
1. Em **Atribuir métrica**, faça o seguinte:
1. Em **Nome do filtro**, insira um nome para o filtro de métricas.
1. Em **Namespace da métrica**, digite **LogMetrics**.
Se você usar o mesmo namespace para todos os seus filtros de métricas de log do CIS, todas as métricas do CIS Benchmark serão agrupadas.
1. Em **Nome da métrica**, insira um nome para a nova métrica. Lembre-se do nome da métrica. Você precisará selecionar a métrica ao criar o alarme.
1. Em **Valor de métrica**, insira **1**.
1. Escolha **Próximo**.
1. Em **Revisar e criar**, verifique as informações que você forneceu para o novo filtro de métrica. Escolha **Criar filtro de métrica**.
1. No painel de navegação, escolha **Grupos de log** e, em seguida, escolha o filtro que você criou em **Filtros métricos**.
1. Marque a caixa de seleção do filtro. Selecione **Criar alarme**.
1. Em **Especificar métrica e condições**, faça o seguinte.
1. Na seção **Condições**, em **Tipo de limite**, escolha **Estático**.
1. Para **Definir a condição de alarme**, escolha **Maior/igual**.
1. Em **Definir o valor do limite**, insira **1**.
1. Escolha **Próximo**.
1. Em **Configurar ações**, faça o seguinte:
1. Em **Gatilho do estado do alarme**, escolha **Em alarme**.
1. Em **Select an SNS topic (Selecionar um tópico do SNS)**, escolha **Select an existing SNS topic (Selecionar um tópico do SNS existente)**.
1. Em **Enviar notificação para**, insira o nome do tópico do SNS que você criou no procedimento anterior.
1. Escolha **Próximo**.
1. Em **Adicionar uma descrição**, insira um **Nome** e uma **Descrição** para o alarme, como **CIS-1.1-RootAccountUsage**. Escolha **Próximo**.
1. Em **Visualizar e criar**, revise a configuração do alarme. Escolha **Criar alarme**.
## [IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.
**Requisitos relacionados:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1),, (15), (7),,, (10) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-3 (3), NIST.800-171.r2 3.1.1 NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.1.2, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.1.5, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.1.7, NIST.800-171.r2 3.3.8, Nist.IsT.800-171.r2 3.3.8 800-171.r2 3.3.9, NIST.800-171.r2 3.13.3, NIST.800-171.r2 3.13.4 NIST.800-53.r5 AC-6
**Categoria:** Detectar > Gerenciamento de acesso seguro
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IAM::Policy`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `excludePermissionBoundaryPolicy`: `True` (não personalizável)
Esse controle verifica se as políticas baseadas em identidade do IAM que você cria têm instruções Allow que usam o caractere curinga \$1 para conceder permissões para todas as ações em qualquer serviço. O controle falhará se alguma declaração de política incluir `"Effect": "Allow"` com `"Action": "Service:*"`.
Por exemplo, a declaração a seguir em uma política resulta em uma descoberta com falha.
```
"Statement": [
{
"Sid": "EC2-Wildcard",
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*"
}
```
O controle também falhará se você usar `"Effect": "Allow"` com `"NotAction": "service:*"`. Nesse caso, o `NotAction` elemento fornece acesso a todas as ações em um AWS service (Serviço da AWS), exceto às ações especificadas em`NotAction`.
Esse controle se aplica somente às políticas do IAM gerenciadas pelo cliente. Ela não se aplica às políticas do IAM que são gerenciadas pela AWS.
Ao atribuir permissões a Serviços da AWS, é importante definir o escopo das ações permitidas do IAM em suas políticas do IAM. É necessário restringir as ações do IAM somente às ações necessárias. Isso ajuda você a provisionar permissões com privilégios mínimos. Políticas excessivamente permissivas podem levar ao aumento de privilégios se as políticas estiverem vinculadas a uma entidade principal do IAM que talvez não exija a permissão.
Em alguns casos, você pode desejar permitir ações do IAM com um prefixo semelhante, como `DescribeFlowLogs` e `DescribeAvailabilityZones`. Nesses casos autorizados, você pode adicionar um curinga com sufixo ao prefixo comum. Por exemplo, .`ec2:Describe*`
Esse controle passa se você usar uma ação prefixada do IAM com um caractere curinga com sufixo. Por exemplo, a declaração a seguir em uma política resulta em uma descoberta aprovada.
```
"Statement": [
{
"Sid": "EC2-Wildcard",
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
}
```
Ao agrupar ações relacionadas do IAM dessa forma, você também pode evitar exceder os limites de tamanho da política do IAM.
**nota**
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.
### Correção
Para corrigir esse problema, atualize suas políticas do IAM para que elas não permitam privilégios administrativos “\$1” completos. Para obter mais informações sobre como editar uma política do IAM, consulte [Editar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) no *Guia do usuário do IAM*.
## [IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.11, CIS Foundations Benchmark v3.0.0/1.12, CIS AWS Foundations Benchmark v1.4.0/1.12, NIST.800-171.r2 3.1.2 AWS
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::IAM::User`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se seus usuários do IAM têm senhas ou chaves de acesso ativas que não foram usadas por 45 dias. Para isso, ele verifica se o `maxCredentialUsageAge` parâmetro da AWS Config regra é igual a 45 ou mais.
Os usuários podem acessar AWS recursos usando diferentes tipos de credenciais, como senhas ou chaves de acesso.
O CIS recomenda que você remova ou desative todas as credenciais que não foram usadas em 45 dias ou mais. Desabilitar ou remover credenciais desnecessárias reduz a possibilidade de uso de credenciais associadas a uma conta comprometida ou abandonada.
A AWS Config regra para esse controle usa as operações de [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)e, que são atualizadas somente a cada quatro horas. As alterações feitas nos usuários do IAM podem levar até quatro horas para ficarem visíveis para esse controle.
**nota**
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.
### Correção
Quando você visualiza as informações do usuário no console do IAM, há colunas para **Idade da chave de acesso**, **Idade da senha** e **Última atividade**. Se o valor em qualquer uma dessas colunas for maior do que 90 dias, deixe as credenciais para esses usuários inativas.
Também é possível usar os [relatórios de credenciais](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) para monitorar e identificar usuário sem atividade por 45 dias ou mais. É possível baixar os relatórios de credenciais no formato .csv no console do IAM `.csv`.
Depois de identificar as contas inativas ou as credenciais não utilizadas, desative-as. Para instruções, consulte [Criar, alterar ou excluir uma senha de usuário do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) no *Guia do usuário do IAM*.
## [IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AccessAnalyzer::Analyzer`
**AWS Config regra:** `tagged-accessanalyzer-analyzer` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um analisador gerenciado pelo AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) tem tags com as chaves específicas definidas no parâmetro. `requiredTagKeys` O controle falhará se o analisador não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o analisador não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um analisador, consulte[https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html) na *AWS IAM Access Analyzer API Reference*.
## [IAM.24] Os perfis do IAM devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IAM::Role`
**AWS Config regra:** `tagged-iam-role` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se uma função AWS Identity and Access Management (IAM) tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o perfil não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o perfil não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um perfil do IAM, consulte [Tags para recursos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.
## [IAM.25] Os usuários do IAM devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IAM::User`
**AWS Config regra:** `tagged-iam-user` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um usuário AWS Identity and Access Management (IAM) tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o usuário não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o usuário não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um usuário do IAM, consulte [Tags para recursos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.
## [IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.18, CIS Foundations Benchmark v3.0.0/1.19 AWS
**Categoria:** Identificação > Conformidade
**Gravidade:** média
**Tipo de recurso:** `AWS::IAM::ServerCertificate`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)**
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Isso controla se um certificado de SSL/TLS servidor ativo gerenciado no IAM expirou. O controle falhará se o certificado expirado SSL/TLS do servidor não for removido.
Para habilitar conexões HTTPS com seu site ou aplicativo em AWS, você precisa de um certificado de SSL/TLS servidor. Você pode usar o IAM ou AWS Certificate Manager (ACM) para armazenar e implantar certificados de servidor. Use o IAM como gerenciador de certificados somente quando precisar oferecer suporte a conexões HTTPS em uma conexão Região da AWS que não seja compatível com o ACM. O IAM criptografa com segurança suas chaves privadas e armazena a versão criptografada no armazenamento de certificado SSL do IAM. O IAM oferece suporte à implantação de certificados de servidor em todas as regiões, mas você precisa obter seu certificado de um provedor externo para usá-lo com AWS. Você não pode carregar um certificado do ACM no IAM. Além disso, não pode gerenciar certificados no console do IAM. A remoção de SSL/TLS certificados expirados elimina o risco de que um certificado inválido seja implantado acidentalmente em um recurso, o que pode prejudicar a credibilidade do aplicativo ou site subjacente.
### Correção
Para remover um certificado de servidor do IAM, consulte [Gerenciar certificados de servidor no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) no *Guia do usuário do IAM*.
## [IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.21, CIS Foundations Benchmark v3.0.0/1.22 AWS
**Categoria:** Proteger > Gerenciamento de acesso seguro > políticas do IAM seguras
**Gravidade:** média
**Tipo de recurso:** `AWS::IAM::Role`, `AWS::IAM::User`, `AWS::IAM::Group`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)**
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ “policyArns”: “arn: aws:iam: :aws:” policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess
Esse controle verifica se uma identidade do IAM (usuário, função ou grupo) tem a política AWS `AWSCloudShellFullAccess` gerenciada anexada. O controle falhará se uma identidade do IAM tiver a política `AWSCloudShellFullAccess`anexada.
AWS CloudShell fornece uma maneira conveniente de executar comandos CLI contra. Serviços da AWS A política AWS gerenciada `AWSCloudShellFullAccess` fornece acesso total a CloudShell, o que permite a capacidade de upload e download de arquivos entre o sistema local do usuário e o CloudShell ambiente. Dentro do CloudShell ambiente, um usuário tem permissões de sudo e pode acessar a Internet. Como resultado, anexar essa política gerenciada a uma identidade do IAM permite que eles instalem software de transferência de arquivos e movam dados de servidores externos da CloudShell Internet. Recomendamos seguir o princípio do privilégio mínimo e anexar permissões mais restritas às suas identidades do IAM.
### Correção
Para desanexar a política `AWSCloudShellFullAccess` de uma identidade do IAM, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do IAM*.
## [IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.19, CIS Foundations Benchmark v3.0.0/1.20 AWS
**Categoria:** Detectar > Serviços de detecção > Monitoramento de uso privilegiado
**Gravidade:** alta
**Tipo de recurso:** `AWS::AccessAnalyzer::Analyzer`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)**
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um Conta da AWS analisador de acesso externo do IAM Access Analyzer está ativado. O controle falhará se a conta não tiver um analisador de acesso externo habilitado na Região da AWS atualmente selecionada.
Os analisadores de acesso externo do IAM Access Analyzer ajudam a identificar recursos, como buckets do Amazon Simple Storage Service (Amazon S3) ou perfis do IAM, que sejam compartilhados com uma entidade externa. Isso ajuda a evitar o acesso não pretendido aos recursos e dados. O IAM Access Analyzer é regional e deve ser habilitado em cada região. Para identificar recursos que são compartilhados com entidades externas, um analisador de acesso usa raciocínio baseado em lógica para analisar políticas baseadas em recursos em seu ambiente. AWS Quando você cria um analisador de acesso externo, é possível criá-lo e habilitá-lo para toda a sua organização ou para contas individuais.
**nota**
Se uma conta fizer parte de uma organização em AWS Organizations, esse controle não considera os analisadores de acesso externo que especificam a organização como a zona de confiança e estão habilitados para a organização na região atual. Se a sua organização usa esse tipo de configuração, considere desabilitar esse controle para contas de membro individuais em sua organização na região.
### Correção
Para obter informações sobre a habilitação de um analisador de acesso externo em uma região específica, consulte [Conceitos básicos do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html) no *Guia do usuário do IAM*. É necessário habilitar um analisador em cada região na qual deseja monitorar o acesso aos recursos.
# Controles CSPM do Security Hub para o Amazon Inspector
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Inspector.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
**Requisitos relacionados:** PCI DSS v4.0.1/11.3.1
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o EC2 escaneamento do Amazon Inspector está habilitado. Para uma conta autônoma, o controle falhará se a digitalização do Amazon EC2 Inspector estiver desativada na conta. Em um ambiente com várias contas, o controle falha se a conta delegada de administrador do Amazon Inspector e todas as contas membros não EC2 tiverem a verificação ativada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode ativar ou desativar o recurso de EC2 escaneamento das contas dos membros na organização. As contas de membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gera `FAILED` descobertas se o administrador delegado tiver uma conta de membro suspensa que não tenha a verificação do Amazon EC2 Inspector ativada. Para receber uma descoberta `PASSED`, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.
O EC2 escaneamento do Amazon Inspector extrai metadados da sua instância do Amazon Elastic Compute Cloud ( EC2Amazon) e, em seguida, compara esses metadados com regras coletadas de consultorias de segurança para produzir descobertas. O Amazon Inspector varre as instâncias em busca de vulnerabilidades de pacotes e problemas de acessibilidade de rede. Para obter informações sobre sistemas operacionais compatíveis, incluindo quais sistemas operacionais podem ser escaneados sem um agente SSM, consulte [Sistemas operacionais compatíveis: escaneamento da Amazon EC2 ](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2).
### Correção
*Para habilitar o EC2 escaneamento do Amazon Inspector, consulte [Ativação de escaneamentos no Guia do usuário](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) do Amazon Inspector.*
## [Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada
**Requisitos relacionados:** PCI DSS v4.0.1/11.3.1
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a varredura do ECR do Amazon Inspector está habilitada. Para uma conta autônoma, o controle falhará se a varredura do ECR do Amazon Inspector estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do Amazon Inspector e todas as contas de membro não tiverem a varredura do ECR habilitada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode habilitar ou desabilitar o atributo de varredura do ECR para as contas de membro da organização. As contas de membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gerará descobertas `FAILED` se o administrador delegado tiver uma conta de membro suspensa que não tenha a varredura do ECR do Amazon Inspector habilitada. Para receber uma descoberta `PASSED`, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.
O Amazon Inspector varre as imagens de contêineres armazenadas no Amazon Elastic Container Registry (Amazon ECR) em busca de vulnerabilidades de software para gerar descobertas de vulnerabilidade de pacote. Ao ativar as verificações do Amazon Inspector para o Amazon ECR, você define o Amazon Inspector como seu serviço de verificação preferido para seu registro privado. Isso substitui o escaneamento básico, que é fornecido gratuitamente pelo Amazon ECR, pela varredura avançada que é fornecida e cobrada por meio do Amazon Inspector. O escaneamento avançado oferece o benefício de varrer para encontrar vulnerabilidades para pacotes de sistemas operacionais e de linguagens de programação ao nível do registro. Analise as descobertas usando o escaneamento avançado no nível da imagem, para cada camada da imagem, no console do Amazon ECR. Além disso, você pode analisar e trabalhar com essas descobertas em outros serviços não disponíveis para descobertas básicas de escaneamento, incluindo AWS Security Hub CSPM a Amazon EventBridge.
### Correção
Para habilitar a varredura do ECR do Amazon Inspector, consulte [Activating scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) no *Amazon Inspector User Guide*.
## [Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada
**Requisitos relacionados:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a varredura de código do Lambda do Amazon Inspector está habilitada. Para uma conta autônoma, o controle falhará se a varredura de código do Lambda do Amazon Inspector estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do Amazon Inspector e todas as contas de membro não tiverem a varredura de código do Lambda habilitada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode habilitar ou desabilitar o atributo de varredura de código do Lambda para as contas de membro da organização. As contas de membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gerará descobertas `FAILED` se o administrador delegado tiver uma conta de membro suspensa que não tenha a varredura do varredura de código do Lambda do Amazon Inspector habilitada. Para receber uma descoberta `PASSED`, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.
O escaneamento de código Lambda do Amazon Inspector escaneia o código do aplicativo personalizado dentro de uma AWS Lambda função em busca de vulnerabilidades de código com base nas melhores práticas de segurança. AWS O escaneamento de código do Lambda pode detectar falhas de injeção, vazamentos de dados, criptografia fraca ou criptografia ausente em seu código. Esse recurso está disponível [Regiões da AWS somente de forma específica](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability). É possível ativar a varredura de código do Lambda junto com a varredura padrão do Lambda (consulte [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](#inspector-4)).
### Correção
Para habilitar varredura de código do Lambda do Amazon Inspector, consulte [Activating scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) no *Amazon Inspector User Guide*.
## [Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada
**Requisitos relacionados:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a varredura padrão do Lambda do Amazon Inspector está habilitada. Para uma conta autônoma, o controle falhará se a varredura padrão do Lambda do Amazon Inspector estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do Amazon Inspector e todas as contas de membro não tiverem a varredura padrão do Lambda habilitada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode habilitar ou desabilitar o atributo de varredura padão do Lambda para as contas de membros na organização. As contas de membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gerará descobertas `FAILED` se o administrador delegado tiver uma conta de membro suspensa que não tenha a varredura do varredura padrão do Lambda do Amazon Inspector habilitada. Para receber uma descoberta `PASSED`, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.
O escaneamento padrão do Amazon Inspector Lambda identifica vulnerabilidades de software nas dependências do pacote de aplicativos que você adiciona ao seu código de função e camadas. AWS Lambda Se o Amazon Inspector detectar uma vulnerabilidade nas dependências do pacotes de aplicação da função do Lambda, o Amazon Inspector produzirá uma descoberta detalhada do tipo `Package Vulnerability`. É possível ativar a varredura de código do Lambda junto com a varredura padrão do Lambda (consulte [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](#inspector-3)).
### Correção
Para habilitar a varredura padrão do Lambda do Amazon Inspector, consulte [Activating scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) no *Amazon Inspector User Guide*.
# Controles CSPM do Security Hub para AWS IoT
Esses AWS Security Hub CSPM controles avaliam o AWS IoT serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoT::SecurityProfile`
**AWS Config regra:** `tagged-iot-securityprofile` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um perfil de AWS IoT Device Defender segurança tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o perfil de segurança não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o perfil de segurança não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um perfil AWS IoT Device Defender de segurança, consulte Como [marcar seus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) no *Guia do AWS IoT desenvolvedor*.
## [IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoT::MitigationAction`
**AWS Config regra:** `tagged-iot-mitigationaction` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se uma AWS IoT Core ação de mitigação tem tags com as chaves específicas definidas no parâmetro. `requiredTagKeys` O controle falhará se a ação de mitigação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a ação de mitigação não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
*Para adicionar tags a uma ação de AWS IoT Core mitigação, consulte Como [marcar seus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) no Guia do AWS IoT desenvolvedor.*
## [IoT.3] as AWS IoT Core dimensões devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoT::Dimension`
**AWS Config regra:** `tagged-iot-dimension` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se uma AWS IoT Core dimensão tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a dimensão não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a dimensão não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma AWS IoT Core dimensão, consulte Como [marcar seus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) no *Guia do AWS IoT desenvolvedor*.
## [IoT.4] os AWS IoT Core autorizadores devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoT::Authorizer`
**AWS Config regra:** `tagged-iot-authorizer` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um AWS IoT Core autorizador tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o autorizador não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o autorizador não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um AWS IoT Core autorizador, consulte Como [marcar seus AWS IoT recursos no Guia](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) do *AWS IoT desenvolvedor*.
## [IoT.5] aliases de AWS IoT Core função devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoT::RoleAlias`
**AWS Config regra:** `tagged-iot-rolealias` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um alias de AWS IoT Core função tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o alias de perfil não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se alias de perfil não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um alias de AWS IoT Core função, consulte Como [marcar seus AWS IoT recursos no Guia](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) do *AWS IoT desenvolvedor*.
## As AWS IoT Core políticas [IoT.6] devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoT::Policy`
**AWS Config regra:** `tagged-iot-policy` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se uma AWS IoT Core política tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a política não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a política não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma AWS IoT Core política, consulte Como [marcar seus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) no *Guia do AWS IoT desenvolvedor*.
# Controles CSPM do Security Hub para AWS eventos de IoT
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do AWS IoT Events.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTEvents::Input`
**Regra do AWS Config :** `iotevents-input-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma entrada de AWS IoT Events tem tags com as chaves específicas definidas no `requiredKeyTags` parâmetro. O controle falhará se a entrada não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a entrada não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a uma entrada AWS do IoT Events, [consulte Como marcar AWS IoT Events seus](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) recursos no Guia *AWS IoT Events do* desenvolvedor.
## [Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTEvents::DetectorModel`
**Regra do AWS Config :** `iotevents-detector-model-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um modelo de detector de eventos de AWS IoT tem tags com as chaves específicas definidas no `requiredKeyTags` parâmetro. O controle falhará se o modelo do detector não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o modelo do detector não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um modelo de detector de eventos do AWS IoT, [consulte Como marcar AWS IoT Events seus](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) recursos no Guia *AWS IoT Events do* desenvolvedor.
## [Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTEvents::AlarmModel`
**Regra do AWS Config :** `iotevents-alarm-model-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um modelo de alarme do AWS IoT Events tem tags com as chaves específicas definidas no `requiredKeyTags` parâmetro. O controle falhará se o modelo de alarme não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o modelo de alarme não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um modelo de alarme do AWS IoT Events, [consulte Como marcar AWS IoT Events seus](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) recursos no Guia *AWS IoT Events do* desenvolvedor.
# Controles CSPM do Security Hub para IoT AWS SiteWise
Esses AWS Security Hub CSPM controles avaliam o SiteWise serviço e os recursos de AWS IoT.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTSiteWise::AssetModel`
**Regra do AWS Config :** `iotsitewise-asset-model-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um modelo de SiteWise ativo de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o modelo de ativo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o modelo de ativo não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um modelo de SiteWise ativo de AWS IoT, consulte [Marcar seus AWS IoT SiteWise recursos](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) no Guia do *AWS IoT SiteWise usuário*.
## [Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTSiteWise::Dashboard`
**Regra do AWS Config :** `iotsitewise-dashboard-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um SiteWise painel de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o painel não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o painel não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um SiteWise painel de AWS IoT, consulte [Marcar seus AWS IoT SiteWise recursos no Guia](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) do *AWS IoT SiteWise usuário*.
## [Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTSiteWise::Gateway`
**Regra do AWS Config :** `iotsitewise-gateway-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um SiteWise gateway de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o gateway não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um SiteWise gateway de AWS IoT, consulte [Marcar seus AWS IoT SiteWise recursos no Guia](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) do *AWS IoT SiteWise usuário*.
## [Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTSiteWise::Portal`
**Regra do AWS Config :** `iotsitewise-portal-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um SiteWise portal de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o portal não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o portal não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um SiteWise portal de AWS IoT, consulte [Marcar seus AWS IoT SiteWise recursos no Guia](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) do *AWS IoT SiteWise usuário*.
## [Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTSiteWise::Project`
**Regra do AWS Config :** `iotsitewise-project-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um SiteWise projeto de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o projeto não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o projeto não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um SiteWise projeto de AWS IoT, consulte [Marcar seus AWS IoT SiteWise recursos no Guia](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) do *AWS IoT SiteWise usuário*.
# Controles CSPM do Security Hub para IoT AWS TwinMaker
Esses AWS Security Hub CSPM controles avaliam o TwinMaker serviço e os recursos de AWS IoT.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTTwinMaker::SyncJob`
**Regra do AWS Config :** `iottwinmaker-sync-job-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um trabalho de TwinMaker sincronização de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o trabalho de sincronização não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o trabalho de sincronização não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um trabalho de TwinMaker sincronização de AWS IoT, consulte [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)o Guia do *AWS IoT TwinMaker usuário*.
## [Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTTwinMaker::Workspace`
**Regra do AWS Config :** `iottwinmaker-workspace-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um TwinMaker espaço de trabalho de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o espaço de trabalho não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o espaço de trabalho não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
*Para adicionar tags a um TwinMaker espaço de trabalho de AWS IoT, consulte o Guia do [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)AWS IoT TwinMaker usuário.*
## [Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTTwinMaker::Scene`
**Regra do AWS Config :** `iottwinmaker-scene-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma TwinMaker cena de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se a cena não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a cena não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a uma TwinMaker cena de AWS IoT, consulte o Guia [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)do *AWS IoT TwinMaker usuário*.
## [Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTTwinMaker::Entity`
**Regra do AWS Config :** `iottwinmaker-entity-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma TwinMaker entidade de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se a entidade não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a entidade não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a uma TwinMaker entidade de AWS IoT, consulte o Guia [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)do *AWS IoT TwinMaker usuário*.
# Controles CSPM do Security Hub para AWS IoT Wireless
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do AWS IoT Wireless.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTWireless::MulticastGroup`
**Regra do AWS Config :** `iotwireless-multicast-group-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um grupo multicast do AWS IoT Wireless tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o grupo de multicast não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de multicast não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
*Para adicionar tags a um grupo multicast do AWS IoT Wireless, [consulte Como marcar AWS IoT Wireless seus](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) recursos no AWS IoT Wireless Guia do desenvolvedor.*
## [Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTWireless::ServiceProfile`
**Regra do AWS Config :** `iotwireless-service-profile-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um perfil de serviço AWS IoT Wireless tem tags com as chaves específicas definidas no `requiredKeyTags` parâmetro. O controle falhará se o perfil de serviço não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o perfil de serviço não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um perfil de serviço AWS IoT Wireless, [consulte Como marcar AWS IoT Wireless seus](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) recursos no Guia *AWS IoT Wireless do* desenvolvedor.
## [Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IoTWireless::FuotaTask`
**Regra do AWS Config :** `iotwireless-fuota-task-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma tarefa de over-the-air atualização de firmware do AWS IoT Wireless (FUOTA) tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se a tarefa FUOTA não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a tarefa FUOTA não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
*Para adicionar tags a uma tarefa FUOTA do AWS IoT Wireless, [consulte Como marcar AWS IoT Wireless seus](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) recursos no AWS IoT Wireless Guia do desenvolvedor.*
# Controles de CSPM do Security Hub para Amazon IVS
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Interactive Video Service (IVS).
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IVS::PlaybackKeyPair`
**Regra do AWS Config :** `ivs-playback-key-pair-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um par de chaves de reprodução do Amazon IVS tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o par de chaves de reprodução não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o par de chaves de reprodução não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um par de chaves de reprodução do IVS, consulte [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html) na *Referência de API do streaming em tempo real do Amazon IVS*.
## [IVS.2] As configurações de gravação IVS devem ser marcadas com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IVS::RecordingConfiguration`
**Regra do AWS Config :** `ivs-recording configuration-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma configuração de registro do Amazon IVS tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se a configuração de registro não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a configuração de registro não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a uma configuração de registro do IVS, consulte [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html) na *Referência de API do streaming em tempo real do Amazon IVS*.
## [IVS.3] Os canais do IVS devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::IVS::Channel`
**Regra do AWS Config :** `ivs-channel-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um canal do Amazon IVS tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o canal não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o canal não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um canal do IVS, consulte [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html) na *Referência de API do streaming em tempo real do Amazon IVS*.
# Controles CSPM do Security Hub para Amazon Keyspaces
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Keyspaces.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Cassandra::Keyspace`
**Regra do AWS Config :** `cassandra-keyspace-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um espaço de chaves do Amazon Keyspaces tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o espaço de chaves não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o espaço de chaves não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a um espaço de chaves do Amazon Keyspaces, consulte [Aplicação de tags a um keyspace](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html) no *Guia do desenvolvedor do Amazon Keyspaces*.
# Controles CSPM do Security Hub para Kinesis
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Kinesis.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::Kinesis::Stream`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o Kinesis Data Streams está criptografado em repouso com criptografia do lado do servidor. Esse controle falha se um fluxo do Kinesis não estiver criptografado em repouso com criptografia do lado do servidor.
A criptografia no lado do servidor é um recurso do Amazon Kinesis Data Streams que criptografa automaticamente os dados antes do repouso usando um AWS KMS key. Os dados são criptografados antes de serem gravados na camada de armazenamento do fluxo do Kinesis e descriptografados depois de recuperados do armazenamento. Como resultado, os dados são criptografados em repouso no serviço Amazon Kinesis Data Streams.
### Correção
*Para obter informações sobre como habilitar a criptografia no lado do servidor para fluxos do Kinesis, consulte [Como começar a criptografia no lado do servidor?](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html) no Guia do desenvolvedor do Amazon Kinesis*.
## [Kinesis.2] Os fluxos do Kinesis devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Kinesis::Stream`
**AWS Config regra:** `tagged-kinesis-stream` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um fluxo de dados do Amazon Kinesis tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o fluxo de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o fluxo de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um fluxo de dados do Kinesis, consulte [Tagging your streams in Amazon Kinesis Data Streams](https://docs.aws.amazon.com/streams/latest/dev/tagging.html) no *Amazon Kinesis Developer Guide*.
## [Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado
**Gravidade:** média
**Tipo de recurso:** `AWS::Kinesis::Stream`
**Regra do AWS Config:** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| minimumBackupRetentionPeriod | Número mínimo de horas durante as quais os dados devem ser retidos. | String | 24 a 8.760 | 168 |
Esse controle verifica se um fluxo de dados do Amazon Kinesis tem um período de retenção de dados maior ou igual ao período de tempo especificado. O controle falhará se o período de retenção de dados for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção de dados, o Security Hub CSPM usa um valor padrão de 168 horas.
No Kinesis Data Streams, um fluxo de dados é uma sequência ordenada de registros de dados destinada a ser gravada e lida em tempo real. Os registros de dados são armazenados em fragmentos no fluxo temporariamente. O período entre o momento de adição de um registro e o momento em que ele deixa de estar acessível é chamado de período de retenção. O Kinesis Data Streams torna os registros mais antigos que o novo período de retenção acessíveis quase imediatamente após a redução do período de retenção. Por exemplo, alterar o período de retenção de 24 horas para 48 horas significa que os registros adicionados ao fluxo 23 horas 55 minutos antes ainda estarão disponíveis depois de 24 horas.
### Correção
Para alterar o período de retenção de backup do Amazon Kinesis Data Streams, consulte [Change the data retention period](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html) no *Amazon Kinesis Data Streams Developer Guide*.
# Controles CSPM do Security Hub para AWS KMS
Esses AWS Security Hub CSPM controles avaliam o AWS Key Management Service (AWS KMS) serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS
**Requisitos relacionados:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::IAM::Policy`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt` (não personalizável)
+ `excludePermissionBoundaryPolicy`: `True` (não personalizável)
Verifica se a versão padrão das políticas gerenciadas pelo cliente do IAM permite que os diretores usem as ações de AWS KMS descriptografia em todos os recursos. O controle falhará se a política estiver aberta o suficiente para permitir ações `kms:Decrypt` e `kms:ReEncryptFrom` em todas as chaves do KMS.
O controle verifica somente as chaves KMS no elemento Recurso e não leva em conta nenhuma condição no elemento Condição de uma política. Além disso, o controle avalia as políticas gerenciadas pelo cliente vinculadas e não vinculadas. Ele não verifica políticas em linha ou políticas AWS gerenciadas.
Com AWS KMS, você controla quem pode usar suas chaves KMS e obter acesso aos seus dados criptografados. As políticas do IAM definem quais ações uma identidade (usuário, grupo ou função) pode realizar em quais recursos. Seguindo as melhores práticas de segurança, AWS recomenda que você permita o menor privilégio. Em outras palavras, é necessário conceder apenas as permissões `kms:Decrypt` ou `kms:ReEncryptFrom` necessárias e apenas para a chaves necessárias para executar uma tarefa. Caso contrário, o usuário poderá usar chaves que não sejam apropriadas para seus dados.
Em vez de conceder permissões para todas as chaves, determine o conjunto mínimo de chaves que os usuários precisam para acessar os dados criptografados. Em seguida, crie políticas que permitam que os usuários usem somente essas chaves. Por exemplo, não conceda permissão `kms:Decrypt` para todas as chaves do KMS. Em vez disso, permita `kms:Decrypt` somente com chaves em uma região específica para sua conta. Ao adotar o princípio do privilégio mínimo, você pode reduzir o risco de divulgação não intencional de seus dados.
### Correção
Para modificar uma política gerenciada pelo cliente do IAM, consulte [Editar políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) no *Guia do usuário do IAM*. Ao editar a política, para o campo `Resource`, forneça o nome do recurso da Amazon (ARN) da chave ou chaves específicas nas quais você deseja permitir ações de decodificação.
## [KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS
**Requisitos relacionados:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt` (não personalizável)
Esse controle verifica se as políticas em linha incorporadas às suas identidades do IAM (função, usuário ou grupo) permitem as ações de AWS KMS descriptografia e recriptografia em todas as chaves do KMS. O controle falhará se a política estiver aberta o suficiente para permitir ações `kms:Decrypt` e `kms:ReEncryptFrom` em todas as chaves do KMS.
O controle verifica somente as chaves KMS no elemento Recurso e não leva em conta nenhuma condição no elemento Condição de uma política.
Com AWS KMS, você controla quem pode usar suas chaves KMS e obter acesso aos seus dados criptografados. As políticas do IAM definem quais ações uma identidade (usuário, grupo ou função) pode realizar em quais recursos. Seguindo as melhores práticas de segurança, AWS recomenda que você permita o menor privilégio. Em outras palavras, é necessário conceder às identidades somente as permissões necessárias e somente as chaves necessárias para executar uma tarefa. Caso contrário, o usuário poderá usar chaves que não sejam apropriadas para seus dados.
Em vez de conceder permissões para todas as chaves, determine o conjunto mínimo de chaves que os usuários precisam para acessar os dados criptografados. Em seguida, crie políticas que permitam que os usuários usem somente essas chaves. Por exemplo, não conceda permissão `kms:Decrypt` para todas as chaves do KMS. Em vez disso, permita a permissão somente em chaves específicas em uma região específica da sua conta. Ao adotar o princípio do privilégio mínimo, você pode reduzir o risco de divulgação não intencional de seus dados.
### Correção
Para modificar uma política em linha do IAM, consulte [Editar políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) no *Guia do usuário do IAM*. Ao editar a política, para o campo `Resource`, forneça o nome do recurso da Amazon (ARN) da chave ou chaves específicas nas quais você deseja permitir ações de decodificação.
## [KMS.3] não AWS KMS keys deve ser excluído acidentalmente
**Requisitos relacionados:** NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2)
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Gravidade:** crítica
**Tipo de recurso:** `AWS::KMS::Key`
**AWS Config regra:** `kms-cmk-not-scheduled-for-deletion-2` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as chaves KMS estão programadas para exclusão. O controle falhará se uma chave KMS estiver programada para exclusão.
As chaves KMS não podem ser recuperadas depois de excluídas. Os dados criptografados sob uma chave KMS também são permanentemente irrecuperáveis se a chave KMS for excluída. Se dados significativos tiverem sido criptografados em uma chave KMS programada para exclusão, considere descriptografar os dados ou recriptografá-los com uma nova chave KMS, a menos que você esteja executando intencionalmente uma *eliminação criptográfica*.
Quando uma chave KMS é programada para exclusão, um período de espera obrigatório é imposto para permitir tempo de reverter a exclusão, caso tenha sido agendada por engano. O período de espera padrão é de 30 dias, mas pode ser reduzido para até 7 dias quando a chave KMS está programada para exclusão. Durante o período de espera, a exclusão programada pode ser cancelada e a chave KMS não será excluída.
Para obter informações adicionais sobre a exclusão de chaves KMS, consulte [Excluir chaves KMS](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *.
### Correção
Para cancelar uma exclusão programada da chave KMS, consulte **Para cancelar a exclusão de chaves** em [Programar e cancelar a exclusão de chaves (console)](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) no *Guia do desenvolvedor do AWS Key Management Service *.
## A rotação de AWS KMS teclas [KMS.4] deve estar ativada
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.6, CIS Foundations Benchmark v3.0.0/3.6, CIS AWS Foundations Benchmark v1.4.0/3.8, CIS AWS Foundations Benchmark v1.2.0/2.8, 2, 2 (2), 8 (3), PCI DSS v3.2.1/3.6.4, PCI AWS DSS v4.0.1/3.7.4 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::KMS::Key`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
AWS KMS permite que os clientes girem a chave de apoio, que é o material chave armazenado AWS KMS e está vinculado ao ID da chave KMS. É a chave de backup usada para executar operações de criptografia, por exemplo, criptografia e descriptografia. No momento, a rotação de chaves automatizada retém todas as chaves de backup anteriores para que a descriptografia de dados criptografados seja transparente.
Recomendamos que você habilite a alternância de chaves de CMK. A rotação de chaves de criptografia ajuda a reduzir o impacto em potencial de uma chave comprometida porque os dados criptografados com uma nova chave não podem ser acessados com uma chave anterior que pode ter sido exposta.
### Correção
Para ativar a alternância de chaves KMS, consulte [Como ativar e desativar a alternância automática de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable) no *Guia do desenvolvedor do AWS Key Management Service *.
## [KMS.5] As chaves do KMS não devem estar acessíveis ao público
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::KMS::Key`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Isso controla se um AWS KMS key está acessível ao público. O controle falhará se a chave do KMS estiver acessível ao público.
A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto de erros ou usuários mal-intencionados. Se a política de chaves do an AWS KMS key permitir o acesso de contas externas, terceiros poderão criptografar e descriptografar dados usando a chave. Isso pode resultar em uma ameaça interna ou externa extraindo dados Serviços da AWS desse uso da chave.
**nota**
Esse controle também retorna uma `FAILED` descoberta para um AWS KMS key caso suas configurações AWS Config impeçam o registro da política de chaves no Item de Configuração (CI) da chave KMS. AWS Config Para preencher a política de chaves no CI para a chave KMS, a [AWS Config função](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole) deve ter acesso para ler a política de chaves usando a chamada de [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)API. Para resolver esse tipo de `FAILED` descoberta, verifique as políticas que podem impedir que a AWS Config função tenha acesso de leitura à política de chaves da chave KMS. Por exemplo, verifique o seguinte:
A política de chaves para a chave do KMS.
[As políticas de controle de serviços (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) e [as políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) AWS Organizations que se aplicam à sua conta.
Permissões para a AWS Config função, se você não estiver usando a função [AWS Config vinculada ao serviço](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Além disso, esse controle não avalia as condições de políticas que usem caracteres curinga ou variáveis. Para produzir uma descoberta `PASSED`, as condições na política de chave devem usar somente valores fixos, que são valores que não contêm caracteres curinga ou variáveis de política. Para obter informações sobre as variáveis de política, consulte [Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do AWS Identity and Access Management *.
### Correção
Para obter informações sobre como atualizar a política de chaves para um AWS KMS key, consulte [Políticas principais AWS KMS no](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview) *Guia do AWS Key Management Service desenvolvedor*.
# Controles CSPM do Security Hub para AWS Lambda
Esses AWS Security Hub CSPM controles avaliam o AWS Lambda serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Lambda.1] As funções do Lambda.1 devem proibir o acesso público
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 3.2.1/7.2.1, PCI DSS v4.0.1/7.2.1 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** crítica
**Tipo de recurso:** `AWS::Lambda::Function`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a política baseada em recursos da função do Lambda proíbe o acesso público fora da sua conta. O controle falhará se o acesso público for permitido. O controle também falhará se uma função do Lambda for invocada do Amazon S3 e a política não incluir uma condição para limitar o acesso público, como `AWS:SourceAccount`. Recomendamos usar outras condições do S3 junto com `AWS:SourceAccount` em sua política de bucket para um acesso mais refinado.
**nota**
Esse controle não avalia as condições de políticas que usem caracteres curinga ou variáveis. Para produzir uma descoberta `PASSED`, as condições na política para a função do Lambda devem usar somente valores fixos, que são valores que não contêm caracteres curinga ou variáveis de política. Para obter informações sobre as variáveis de política, consulte [Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do AWS Identity and Access Management *.
A função do Lambda não deve ser publicamente acessível, pois isso pode permitir o acesso não intencional ao seu código de função.
### Correção
Para corrigir esse problema, é necessário atualizar a política baseada em recursos da sua função para remover permissões ou adicionar a condição `AWS:SourceAccount`. Você só pode atualizar a política baseada em recursos a partir da API Lambda ou. AWS CLI
Para começar, [revise a política baseada em recursos](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) no console Lambda. Identifique a declaração de política que tem valores de campo `Principal` que tornam a política pública, como `"*"` ou `{ "AWS": "*" }`.
É possível editar uma política a partir do console. Para remover as permissões da função, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html) no AWS CLI.
```
$ aws lambda remove-permission --function-name --statement-id
```
Substitua `` pelo nome da função do Lambda e `` pela ID da instrução (`Sid`) que você deseja remover.
## [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, Nist.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4
**Categoria:** Proteger > Desenvolvimento seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::Lambda::Function`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (não personalizável)
Esse controle verifica se as configurações de tempo de execução da AWS Lambda função correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O controle falhará se a função do Lambda não usar um runtime com suporte, conforme observado na seção Parâmetros. O Security Hub CSPM ignora funções que têm um tipo de pacote de. `Image`
Os tempos de execução do Lambda se baseiam em uma combinação de sistema operacional, linguagem de programação e bibliotecas de software que estão sujeitos a manutenção e atualizações de segurança. Quando um componente de tempo de runtime não é mais compatível com as atualizações de segurança, o runtime defasa o componente. Mesmo que você não possa criar funções que usem o componente de runtime obsoleto, a função ainda continuará disponível para processar eventos de invocação. Recomendamos garantir que as funções do Lambda estejam atualizadas e não usem ambientes de runtime obsoletos. Para obter uma lista dos runtimes compatíveis, consulte [Runtimes do Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html) no *Guia do desenvolvedor do AWS Lambda *.
### Correção
Para obter mais informações sobre runtimes compatíveis e programações de suspensão de uso, consulte [Política de suspensão de runtime](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html) no *Guia do desenvolvedor do AWS Lambda *. Ao migrar os tempos de execução para a versão mais recente, siga a sintaxe e as orientações dos editores de idioma. Também recomendamos aplicar [atualizações de runtime](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls) para ajudar a reduzir o risco de impacto para as workloads no caso raro de uma incompatibilidade de versão de runtime.
## [Lambda.3] As funções do Lambda devem estar em uma VPC
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** baixa
**Tipo de recurso: ** `AWS::Lambda::Function`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)**
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma função do Lambda está em uma nuvem privada virtual (VPC). O controle falhará se a função do Lambda não estiver implantada em uma VPC. O CSPM do Security Hub não avalia a configuração de roteamento de sub-rede da VPC para determinar a acessibilidade pública. É possível ver falhas nas descobertas dos recursos do Lambda @Edge.
A implantação de recursos em uma VPC aumenta a segurança e o controle sobre as configurações de rede. Essas implantações também oferecem escalabilidade e alta tolerância a falhas em várias zonas de disponibilidade. É possível personalizar as implantações de VPC para atender aos diversos requisitos das aplicações.
### Correção
Para configurar uma função existente para se conectar a sub-redes privadas em sua VPC, consulte [Configurar o acesso à VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) no *Guia do desenvolvedor do AWS Lambda *. Recomendamos escolher pelo menos duas sub-redes privadas para alta disponibilidade e pelo menos um grupo de segurança que atenda aos requisitos de conectividade da função.
## [Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::Lambda::Function`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `availabilityZones` | Número mínimo de zonas de disponibilidade | Enum | `2, 3, 4, 5, 6` | `2` |
Esse controle verifica se uma AWS Lambda função que se conecta a uma nuvem privada virtual (VPC) opera em pelo menos o número especificado de Zona de Disponibilidade (AZs). O controle falhará se a função não operar em pelo menos o número especificado de AZs. A menos que você forneça um valor de parâmetro personalizado para o número mínimo de AZs, o Security Hub CSPM usa um valor padrão de dois. AZs
A implantação de recursos em vários AZs é uma prática AWS recomendada para garantir a alta disponibilidade em sua arquitetura. A disponibilidade é um pilar fundamental no modelo de segurança da tríade confidencialidade, integridade e disponibilidade. Todas as funções do Lambda que se conectem a uma VPC devem ter uma implantação Multi-AZ para garantir que uma única zona de falha não cause uma interrupção total das operações.
### Correção
Se você configurar sua função para se conectar a uma VPC em sua conta, especifique sub-redes em várias AZs para garantir alta disponibilidade. Para obter instruções, consulte [Configurar acesso à VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) no *Guia do desenvolvedor do AWS Lambda *.
O Lambda executa automaticamente outras funções em várias AZs para garantir que esteja disponível para processar eventos em caso de interrupção do serviço em uma única zona.
## [Lambda.6] As funções do Lambda devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Lambda::Function`
**AWS Config regra:** `tagged-lambda-function` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se uma AWS Lambda função tem tags com as teclas específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a função não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a função não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a uma função do Lambda, consulte [Utilizar etiquetas em funções do Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html) no *Guia do desenvolvedor do AWS Lambda *.
## [Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray
**Requisitos relacionados:** NIST.800-53.r5 CA-7
**Categoria:** Identificar > Registro em log
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Lambda::Function`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o rastreamento ativo com AWS X-Ray está habilitado para uma AWS Lambda função. O controle falhará se o rastreamento ativo com o X-Ray estiver desabilitado para a função do Lambda.
AWS X-Ray pode fornecer recursos de rastreamento e monitoramento para AWS Lambda funções, o que pode economizar tempo e esforço na depuração e operação de funções Lambda. Ele pode ajudá-lo a diagnosticar erros e identificar gargalos de performance, lentidão e tempos limite ao detalhar a latência das funções do Lambda. Ele também pode ajudar com os requisitos de privacidade e conformidade de dados. Se você habilitar o rastreamento ativo para uma função do Lambda, o X-Ray fornecerá uma visão holística do fluxo e processamento de dados na função do Lambda, o que pode ajudá-lo a identificar possíveis vulnerabilidades de segurança ou práticas de tratamento de dados não conformes. Essa visibilidade pode ajudar você a manter a integridade, a confidencialidade e a conformidade dos dados com os regulamentos relevantes.
**nota**
AWS X-Ray Atualmente, o rastreamento não é suportado para funções Lambda com Amazon Managed Streaming para Apache Kafka (Amazon MSK), Apache Kafka autogerenciado, Amazon MQ com ActiveMQ e RabbitMQ ou mapeamentos de origem de eventos do Amazon DocumentDB.
### Correção
*Para obter informações sobre como habilitar o rastreamento ativo para uma AWS Lambda função, consulte [Visualize invocações de funções Lambda](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html) usando no Guia do desenvolvedor. AWS X-RayAWS Lambda *
# Controles CSPM do Security Hub para Macie
Esses AWS Security Hub CSPM controles avaliam o serviço Amazon Macie.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Macie.1] O Amazon Macie deve estar habilitado
**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1),, NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.r5 SI-4
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)
**Tipo de programação:** Periódico
Esse controle verifica se o Amazon Macie está habilitado para uma conta. O controle falhará se o Macie não estiver habilitado para a conta.
O Amazon Macie descobre dados sigilosos usando machine learning e correspondência de padrões, fornece visibilidade dos riscos de segurança de dados e permite proteção automatizada contra esses riscos. O Macie avalia automática e continuamente seus buckets do Amazon Simple Storage Service (Amazon S3) quanto à segurança e ao controle de acesso, e gera descobertas para notificá-lo sobre possíveis problemas com a segurança ou a privacidade de seus dados do Amazon S3. O Macie também automatiza a descoberta e a reportagem de dados sigilosos, como as informações de identificação pessoal (PII), para você compreender melhor os dados armazenados por você no Amazon S3. Para saber mais, consulte o [https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html).
### Correção
Para habilitar o Macie, consulte [Habilitar o Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie) no *Guia do usuário do Amazon Macie*.
## [Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada
**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1),, NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.r5 SI-4
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)
**Tipo de programação:** Periódico
Esse controle verifica se a descoberta automatizada de dados confidenciais está habilitada em uma conta de administrador do Amazon Macie. Esse controle falhará se a descoberta automatizada de dados confidenciais não estiver habilitada em uma conta de administrador do Macie. Esse controle se aplica somente a contas de administrador.
O Macie automatiza a descoberta e a geração de relatórios de dados confidenciais, como informações de identificação pessoal (PII), em buckets do Amazon Simple Storage Service (Amazon S3). Com a descoberta automatizada de dados confidenciais, o Macie avalia continuamente seu inventário de buckets e usa técnicas de amostragem para identificar e selecionar objetos do S3 representativos em seus buckets. O Macie então recupera e analisa os objetos selecionados, inspecionando-os para detectar dados confidenciais. Conforme a análise progride, o Macie também atualiza estatísticas, dados de inventário e outras informações que ele fornece sobre os dados do S3. O Macie também gera descobertas para relatar os dados confidenciais que encontra.
### Correção
Para criar e configurar trabalhos automatizados de descoberta de dados confidenciais para analisar objetos em buckets do S3, consulte [Configuring automated sensitive data discovery for your account](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html) no *Amazon Macie User Guide*.
# Controles CSPM do Security Hub para Amazon MSK
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Managed Streaming for Apache Kafka (Amazon MSK). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::MSK::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon MSK é criptografado em trânsito com HTTPS (TLS) entre os nós de agente do cluster. O controle falhará se a comunicação de texto simples estiver habilitada para uma conexão de nó do agente do cluster.
O HTTPS oferece uma camada extra de segurança, pois usa TLS para mover dados e pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Por padrão, o Amazon MSK criptografa dados em trânsito com TLS. Entretanto, é possível substituir esse padrão no momento de criação do cluster. Recomendamos o uso de conexões criptografadas via HTTPS (TLS) para conexões de nós do agente.
### Correção
Para obter informações sobre a atualização das configurações de criptografia para um cluster do Amazon MSK, consulte [Atualização de configurações de segurança de um cluster](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) no *Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka*.
## [MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado
**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::MSK::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon MSK tem um monitoramento aprimorado configurado, especificado por um nível de monitoramento de pelo menos `PER_TOPIC_PER_BROKER`. O controle falhará se o nível de monitoramento do cluster estiver definido como `DEFAULT` ou `PER_BROKER`.
O nível de monitoramento `PER_TOPIC_PER_BROKER` fornece insights mais granulares sobre a performance do seu cluster do MSK e também fornece métricas relacionadas à utilização de recursos, como uso de CPU e memória. Isso ajuda você a identificar gargalos de performance e padrões de utilização de recursos para tópicos e agentes individuais. Essa visibilidade, por sua vez, pode otimizar a performance dos seus agentes do Kafka.
### Correção
Para configurar o monitoramento aprimorado para um cluster do MSK, conclua as etapas a seguir:
1. Abra o console Amazon MSK em [https://console.aws.amazon.com/msk/casa? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).
1. No painel de navegação, escolha **Clusters**. Em seguida, escolha um cluster.
1. Em **Ação**, selecione **Editar monitoramento**.
1. Selecione a opção para **Monitoramento aprimorado em nível de tópico**.
1. Escolha **Salvar alterações**.
Para obter mais informações sobre os níveis de monitoramento, consulte [as métricas do Amazon MSK para monitorar corretores padrão CloudWatch no Guia do desenvolvedor](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html) do *Amazon Managed Streaming for Apache Kafka*.
## [MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito
**Requisitos relacionados:** PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::KafkaConnect::Connector`
**AWS Config regra:** `msk-connect-connector-encrypted` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um conector do Amazon MSK Connect é criptografado em trânsito. Esse controle falhará se o conector não for criptografado em trânsito.
Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.
### Correção
É possível habilitar a criptografia em trânsito ao criar um conector do MSK Connect. Não é possível alterar as configurações de criptografia após a criação de um conector. Para obter mais informações, consulte [IAM access control](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html) (Controle de acesso do IAM) no Create a connector no *Amazon Managed Streaming for Apache Kafka Developer Guide*.
## [MSK.4] Os clusters do MSK devem ter acesso público desabilitado
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::MSK::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o acesso público está desabilitado para um cluster do Amazon MSK. O controle falhará se o acesso público estiver habilitado para o cluster do MSK.
Por padrão, os clientes só podem acessar um cluster do Amazon MSK se estiverem na mesma VPC do cluster. Toda comunicação entre os clientes Kafka e um cluster do MSK é privada por padrão e os dados de streaming nunca cruzam a Internet. No entanto, se um cluster do MSK estiver configurado para permitir acesso público, qualquer pessoa na Internet poderá estabelecer uma conexão com os agentes do Apache Kafka que estão sendo executados no cluster. Isso pode levar a problemas como acesso não autorizado, violações de dados ou exploração de vulnerabilidades. Se você restringir o acesso a um cluster exigindo medidas de autenticação e autorização, poderá ajudar a proteger as informações sensíveis e a manter a integridade dos recursos.
### Correção
Para obter informações sobre o gerenciamento do acesso público a um cluster do Amazon MSK, consulte [Habilitação do acesso público a um cluster provisionado pelo MSK](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html) no *Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka*.
## [MSK.5] Os conectores do MSK devem ter o registro em log habilitado
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::KafkaConnect::Connector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o registro em log está habilitado para um conector do Amazon MSK. O controle falhará se o registro em log não estiver habilitado para o conector do MSK.
Os conectores do Amazon MSK integram sistemas externos e serviços da Amazon ao Apache Kafka, copiando continuamente dados de streaming de uma fonte de dados para o cluster do Apache Kafka ou copiando continuamente os dados do cluster para um coletor de dados. O MSK Connect pode gravar eventos de log que podem ajudar a depurar um conector. Ao criar um conector, você pode especificar zero ou mais dos seguintes destinos de log: Amazon CloudWatch Logs, Amazon S3 e Amazon Data Firehose.
**nota**
Valores confidenciais de configuração podem aparecer nos registros do conector se um plug-in não definir esses valores como secretos. O Kafka Connect trata valores de configuração indefinidos da mesma forma que qualquer outro valor de texto simples.
### Correção
Para habilitar o registro em log para um conector do Amazon MSK existente, você precisa recriar o conector com a configuração de registro apropriada. Para obter informações sobre as opções de configuração, consulte [Regisro em log do Amazon Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) no *Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka*.
## [MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado
**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
**Gravidade:** média
**Tipo de recurso:** `AWS::MSK::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o acesso não autenticado está habilitado para um cluster do Amazon MSK. O controle falhará se o acesso não autenticado estiver habilitado para o cluster do MSK.
O Amazon MSK oferece suporte a mecanismos de autenticação e autorização de clientes para controlar o acesso a um cluster. Esses mecanismos verificam a identidade dos clientes que se conectam ao cluster e determinam quais ações os clientes podem realizar. Um cluster do MSK pode ser configurado para permitir acesso não autenticado, o que permite que qualquer cliente com conectividade de rede publique e assine tópicos do Kafka sem fornecer credenciais. Executar um cluster do MSK sem exigir autenticação viola o princípio do privilégio mínimo e pode expor o cluster a acesso não autorizado. Isso pode permitir que qualquer cliente acesse, modifique ou exclua dados nos tópicos do Kafka, o que pode resultar em violações de dados, modificações de dados não autorizadas ou interrupções no serviço. Recomendamos habilitar os mecanismos de autenticação, como a autenticação do IAM, SASL/SCRAM ou TLS mútuo, para garantir o controle de acesso adequado e manter a conformidade de segurança.
### Correção
Para obter informações sobre como alterar as configurações de autenticação de um cluster Amazon MSK, consulte as seguintes seções do [Guia do desenvolvedor do *Amazon Managed Streaming for Apache Kafka*: Atualizar as configurações de segurança de um [cluster](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html) Amazon MSK e Autenticação](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) e autorização para o Apache Kafka. APIs
# Controles CSPM do Security Hub para Amazon MQ
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon MQ. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
**Requisitos relacionados:** NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-12, NIST.800-53.r5 SI-4, PCI DSS v4.0.1/10.3.3
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::AmazonMQ::Broker`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um agente do Amazon MQ ActiveMQ transmite logs de auditoria para o Amazon Logs. CloudWatch O controle falhará se o agente não transmitir os registros de auditoria para o CloudWatch Logs.
Ao publicar os registros do agente ActiveMQ no Logs CloudWatch , você pode CloudWatch criar alarmes e métricas que aumentam a visibilidade das informações relacionadas à segurança.
### Correção
*Para transmitir os logs do agente ActiveMQ para o Logs, consulte [Configurando o Amazon MQ CloudWatch para registros do ActiveMQ no Guia do Desenvolvedor do Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html).*
## [MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada
**Importante**
O Security Hub CSPM retirou esse controle em janeiro de 2026. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).
**Requisitos relacionados:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/6.3.3
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** média
**Tipo de recurso:** `AWS::AmazonMQ::Broker`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um agente do Amazon MQ têm a atualização automática de versões secundárias habilitada. O controle falhará se o corretor não tiver a atualização automática de versões secundárias habilitada.
À medida que o Amazon MQ lança e torna-se compatível com novas versões do mecanismo de agente, as alterações são compatíveis com as versões anteriores de uma aplicação existente e não tornam a funcionalidade existente obsoleta. As atualizações automáticas da versão do mecanismo de agente protegem você contra riscos de segurança, ajudam a corrigir erros e aprimoram a funcionalidade.
**nota**
Quando o agente associado à atualização automática de versões secundárias está em sua correção mais recente e torna-se incompatível, é necessário fazer a atualização manualmente.
### Correção
Para habilitar a atualização automática de versões secundárias para um agente MQ, consulte [ Automatically upgrading the minor engine version](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html) no *Amazon MQ Developer Guide*.
## [MQ.4] Os agentes do Amazon MQ devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AmazonMQ::Broker`
**AWS Config regra:** `tagged-amazonmq-broker` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um agente do Amazon MQ tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o agente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o agente não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um agente do Amazon MQ, consulte [Tagging resources](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html) no *Amazon MQ Developer Guide*.
## [MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AmazonMQ::Broker`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o modo de implantação de um agente Amazon MQ ActiveMQ está definido como ativo/em espera. O controle falhará se um agente de instância única (ativado por padrão) for definido como o modo de implantação.
A implantação ativa/em espera fornece alta disponibilidade para seus agentes do Amazon MQ ActiveMQ em uma Região da AWS. O modo de implantação ativo/em espera inclui duas instâncias de agente em duas zonas de disponibilidade diferentes, configuradas em um par redundante. Esses agentes se comunicam de forma síncrona com seu aplicativo, o que pode reduzir o tempo de inatividade e a perda de dados em caso de falha.
### Correção
*Para criar um novo agente ActiveMQ active/standby com modo de implantação, [consulte Criação e configuração de um agente ActiveMQ no Guia do desenvolvedor do Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html).* Em **Modo de implantação**, escolha **Agente ativo/em espera**. Não é possível alterar o modo de implantação de um agente existente. Em vez disso, é necessário criar um novo agente e copiar as configurações do agente antigo.
## [MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** baixa
**Tipo de recurso:** `AWS::AmazonMQ::Broker`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o modo de implantação de um agente Amazon MQ RabbitMQ está definido como implantação em cluster. O controle falhará se um agente de instância única (ativado por padrão) for definido como o modo de implantação.
A implantação ativa/em espera fornece alta disponibilidade para seus agentes do Amazon MQ ActiveMQ em uma Região da AWS. A implantação do cluster é um agrupamento lógico de três nós de agente do RabbitMQ, cada um com seu próprio volume do Amazon Elastic Block Store (Amazon EBS) e um estado compartilhado. A implantação do cluster garante que os dados sejam replicados para todos os nós do cluster, o que pode reduzir o tempo de inatividade e a perda de dados em caso de falha.
### Correção
Para criar um novo agente RabbitMQ com modo de implantação em cluster, consulte [Criar e conectar um agente RabbitMQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html) no *Guia do desenvolvedor do Amazon MQ*. Em **Modo de implantação**, escolha **Implantação em cluster**. Não é possível alterar o modo de implantação de um agente existente. Em vez disso, é necessário criar um novo agente e copiar as configurações do agente antigo.
# Controles CSPM do Security Hub para Neptune
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Neptune.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados do Neptune é criptografado em repouso. O controle falhará se um cluster de banco de dados Neptune não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Criptografar seus clusters de banco de dados Neptune protege seus dados e metadados contra acesso não autorizado. Ele também atende aos requisitos de conformidade para data-at-rest criptografia de sistemas de arquivos de produção.
### Correção
É possível ativar a criptografia em repouso ao criar um cluster de banco de dados do Neptune. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte [Criptografar recursos do Neptune em repouso](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html) no *Guia do usuário do Neptune*.
## [Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (5), NIST.800-53.r5 SI-7 (8), PCI DI SS v4.0.1/10.3.3
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados Neptune publica registros de auditoria no Amazon Logs. CloudWatch O controle falhará se um cluster de banco de dados Neptune não publicar registros de auditoria no Logs. CloudWatch `EnableCloudWatchLogsExport`deve ser definido como`Audit`.
O Amazon Neptune e o CloudWatch Amazon são integrados para que você possa coletar e analisar métricas de desempenho. O Neptune envia métricas automaticamente e também oferece suporte CloudWatch a alarmes. CloudWatch Os registros em log de auditoria são altamente personalizáveis. Quando você audita um banco de dados, cada operação nos dados pode ser monitorada e registrada em log em uma trilha de auditoria, incluindo informações sobre qual cluster de banco de dados é acessado e como. Recomendamos enviar esses registros para ajudá-lo CloudWatch a monitorar seus clusters de banco de dados Neptune.
### Correção
*Para publicar registros de auditoria do Neptune no Logs, consulte CloudWatch [Publicar registros do Neptune no CloudWatch Amazon Logs no Guia do usuário do Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html).* Na seção **Exportações de logs**, escolha **Auditoria**.
## [Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um snapshot manual de cluster de banco de dados do Neptune é público. O controle falhará se o snapshot manual do cluster de banco de dados do Neptune for público.
Um snapshot manual do cluster de banco de dados Neptune não deve ser público, a menos que pretendido. Se você compartilhar um snapshot manual não criptografado como público, isso o disponibilizará para todas as Contas da AWS. Snapshots públicos podem resultar em exposição não intencional de dados.
### Correção
Para remover o acesso público aos snapshots manuais do cluster de banco de dados do Neptune, consulte [Compartilhar um snapshot do cluster do banco de dados](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) no *Guia do usuário do Neptune*.
## [Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados do Neptune tem a proteção contra exclusão habilitada. O controle falhará se o cluster de banco de dados do Neptune não tiver a proteção contra exclusão habilitada.
A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por um usuário não autorizado. O cluster de banco de dados do Neptune não pode ser excluído quando a proteção contra exclusão está habilitada. Primeiro, é necessário desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida.
### Correção
Para ativar a proteção contra exclusão de um cluster de banco de dados Neptune existente, consulte [Modificar o cluster de banco de dados usando o console, a CLI e a API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) no *Guia do usuário do Amazon Aurora*.
## [Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
**Requisitos relacionados:** NIST.800-53.r5 SI-12
**Categoria:** Recuperação > Resiliência > Backups ativados
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Período mínimo de retenção de backups em dias | Inteiro | `7` para `35` | `7` |
Esse controle verifica se um cluster de banco de dados do Neptune tem backups automáticos habilitados e um período de retenção de backups maior ou igual ao período de tempo especificado. O controle falhará se os backups não estiverem habilitados para o cluster de banco de dados do Neptune ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção de backup, o Security Hub CSPM usa um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. Ao automatizar backups para seus clusters de banco de dados do Neptune você poderá restaurar seus sistemas em um determinado momento e minimizar o tempo de inatividade e a perda de dados.
### Correção
Para habilitar backups automatizados e definir um período de retenção de backups para seus clusters de banco de dados do Neptune, consulte [Habilitação de backups automatizados](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) no *Guia do usuário do Amazon RDS*. Em **Período de reteção de backup**, escolha um valor maior ou igual a 7.
## [Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um snapshot do cluster de banco de dados Neptune está criptografado em repouso. O controle falhará se um cluster de banco de dados Neptune não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Os dados nos snapshots de clusters de banco de dados do Neptune devem ser criptografados em repouso para uma camada adicional de segurança.
### Correção
Você não pode criptografar um snapshot existente do cluster de banco de dados Neptune. Em vez disso, é necessário restaurar o snapshot em um novo cluster de banco de dados e habilitar a criptografia no cluster. Assim, é possível restaurar um cluster de banco de dados criptografado do snapshot criptografado. Para obter instruções, consulte [Restaurar a partir de um snapshot de cluster de banco de dados](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) e [Criar um snapshot de cluster de banco de dados no Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html) no *Guia do usuário do Neptune*.
## [Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados Neptune tem a autenticação de banco de dados IAM habilitada. O controle falhará se a autenticação do banco de dados do IAM não estiver habilitada para um cluster de banco de dados Neptune.
A autenticação do banco de dados do IAM para clusters de banco de dados do Amazon Neptune elimina a necessidade de armazenar as credenciais de usuário na configuração do banco de dados, pois a autenticação é gerenciada externamente usando o IAM. Quando a autenticação do banco de dados do IAM está ativada, cada solicitação precisa ser assinada usando o AWS Signature Version 4.
### Correção
Por padrão, a autenticação de banco de dados do IAM está desabilitada quando você cria um cluster de banco de dados do Neptune. Para habilitá-lo, consulte [Habilitar a autenticação do banco de dados do IAM no Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html) no *Guia do usuário do Neptune*.
## [Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados Neptune está configurado para copiar todas as tags para snapshots quando os snapshots são criados. O controle falhará se um cluster de banco de dados Neptune não estiver configurado para copiar tags para snapshots.
A identificação e o inventário de seus ativos de TI é um aspecto essencial de governança e segurança. É necessário marcar snapshots da mesma forma que os clusters de banco de dados do Amazon RDS primário. A cópia de tags garante que os metadados dos DB snapshots correspondam aos da instância de banco de dados de origem e que quaisquer políticas de acesso do DB snapshot também correspondam às da instância de banco de dados de origem.
### Correção
Para copiar tags em snapshots para clusters de banco de dados Neptune, consulte [Copiar tags no Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview) no *Guia do usuário do Neptune*.
## [Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados Amazon Neptune tem instâncias de réplica de leitura em várias zonas de disponibilidade (). AZs O controle falhará se o cluster for implantado em apenas uma AZ.
Se uma AZ não estiver disponível e durante eventos de manutenção regulares, as réplicas de leitura servirão como destinos de failover para a instância primária. Ou seja, se a instância principal falhar, o Neptune promoverá uma instância de réplica de leitura para se tornar a instância principal. Por outro lado, se o cluster de banco de dados não incluir nenhuma instância de réplica de leitura, o cluster de banco de dados permanecerá indisponível quando a instância primária falhar até que seja recriada. Recriar a instância primária leva muito mais tempo do que promover uma réplica de leitura. Para garantir a alta disponibilidade, recomendamos que você crie uma ou mais instâncias de réplica de leitura que tenham a mesma classe de instância de banco de dados da instância primária e estejam localizadas em uma instância AZs diferente da primária.
### Correção
*Para implantar um cluster de banco de dados Neptune em AZs vários, [consulte Instâncias de banco de dados de leitura de réplicas em um cluster de banco de dados Neptune no Guia do usuário do Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*
# Controles CSPM do Security Hub para AWS Network Firewall
Esses AWS Security Hub CSPM controles avaliam o AWS Network Firewall serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle avalia se um firewall gerenciado AWS Network Firewall está implantado em várias zonas de disponibilidade ()AZs. O controle falhará se um firewall for implantado em apenas uma AZ.
AWS a infraestrutura global inclui vários Regiões da AWS. AZs são locais fisicamente separados e isolados em cada região, conectados por redes de baixa latência, alta taxa de transferência e alta redundância. Ao implantar um firewall de Firewall de Rede em vários AZs, você pode equilibrar e transferir o tráfego entre eles AZs, o que ajuda a projetar soluções altamente disponíveis.
### Correção
**Implantação de um firewall de Network Firewall em vários AZs**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, em **Network Firewall**, escolha **Firewalls**.
1. Na página **Firewalls**, selecione o firewall que você deseja editar.
1. Na página de detalhes do firewall, escolha a guia **Detalhes do firewall**.
1. Na seção **Política associada e VPC**, escolha **Editar**
1. Para adicionar uma nova AZ, escolha **Adicionar nova sub-rede**. Selecione a AZ e a sub-rede que você gostaria de usar. Certifique-se de selecionar pelo menos dois AZs.
1. Escolha **Salvar**.
## [NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.20, IST.800-171.r2 3.13.1
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::NetworkFirewall::LoggingConfiguration`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o registro está habilitado para um AWS Network Firewall firewall. O controle falhará se o registro em log não estiver habilitado para pelo menos um tipo de log, ou se o destino dos logs não existir.
O registro em log ajuda a manter a confiabilidade, a disponibilidade e a performance dos seus firewalls. No Network Firewall, os logs apresentam informações detalhadas sobre o tráfego de rede, incluindo a hora em que o mecanismo com estados recebeu um fluxo de pacotes, informações detalhadas sobre o fluxo de pacotes e qualquer ação de regra com estados realizada no fluxo de pacotes.
### Correção
Para habilitar o registro em log em um firewall, consulte [Atualização da configuração de registro em log de um firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html) no *Guia do desenvolvedor do AWS Network Firewall *.
## [NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma política de Firewall de rede tem algum grupo de regras com ou sem estado associado. O controle falhará se grupos de regras sem estado ou com estado não forem atribuídos.
Uma política de firewall define como seu firewall monitora e gerencia o tráfego na Amazon Virtual Private Cloud (Amazon VPC). A configuração de grupos de regras sem estado e com estado ajuda a filtrar pacotes e fluxos de tráfego e define o tratamento padrão do tráfego.
### Correção
Para adicionar um grupo de regras a uma política de Firewall de rede, consulte [Atualizar uma política de firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) no *Guia do desenvolvedor do AWS Network Firewall *. Para obter informações sobre a criação e o gerenciamento de usuários de regras, consulte [Grupos de regras no AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).
## [NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe` (não personalizável)
Esse controle verifica se a ação sem estado padrão para pacotes completos de uma política de Firewall de rede é descartar ou encaminhar. O controle é aprovado se `Drop` ou `Forward` for selecionado e falha se `Pass` for selecionado.
Uma política de firewall define como seu firewall monitora e gerencia o tráfego na Amazon VPC. Você configura grupos de regras sem estado e com estado para filtrar pacotes e fluxos de tráfego. O padrão `Pass` pode permitir tráfego não intencional.
### Correção
Para alterar sua política de firewall, consulte [Atualizar uma política de firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) no *Guia do desenvolvedor do AWS Network Firewall *. Em **Ações padrão sem estado**, escolha **Editar**. Em seguida, escolha **Remover** ou **Encaminhar para grupos de regras com estado** como a **Ação**.
## [NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.1.14, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.13.6
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe` (não personalizável)
Esse controle verifica se a ação sem estado padrão para pacotes fragmentados de uma política de firewall de rede é descartar ou encaminhar. O controle é aprovado se `Drop` ou `Forward` for selecionado e falha se `Pass` for selecionado.
Uma política de firewall define como seu firewall monitora e gerencia o tráfego na Amazon VPC. Você configura grupos de regras sem estado e com estado para filtrar pacotes e fluxos de tráfego. O padrão `Pass` pode permitir tráfego não intencional.
### Correção
Para alterar sua política de firewall, consulte [Atualizar uma política de firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) no *Guia do desenvolvedor do AWS Network Firewall *. Em **Ações padrão sem estado**, escolha **Editar**. Em seguida, escolha **Remover** ou **Encaminhar para grupos de regras com estado** como a **Ação**.
## [NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.14, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.13.6
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::NetworkFirewall::RuleGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo de regras sem estado AWS Network Firewall contém regras. O controle falhará se não houver regras no grupo de regras.
Um grupo de regras contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras sem estado vazio, quando presente em uma política de firewall, pode dar a impressão de que o grupo de regras processará o tráfego. No entanto, quando o grupo de regras sem estado está vazio, ele não processa o tráfego.
### Correção
Para adicionar regras ao seu grupo de regras do Firewall de rede, consulte [Atualizar um grupo de regras com estado](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html) no *Guia do desenvolvedor do AWS Network Firewall *. Na página de detalhes do firewall, em **Grupo de regras sem estado**, escolha **Editar** para adicionar regras.
## [NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`
**AWS Config regra:** `tagged-networkfirewall-firewall` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um AWS Network Firewall firewall tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o firewall não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o firewall não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um firewall do Network Firewall, consulte [AWS Network Firewall Recursos de marcação](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) no *Guia do AWS Network Firewall desenvolvedor*.
## [NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`
**AWS Config regra:** `tagged-networkfirewall-firewallpolicy` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se uma política de AWS Network Firewall firewall tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a política de firewall não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a política de firewall não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma política de Firewall de Rede, consulte [AWS Network Firewall Recursos de marcação](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) no *Guia do AWS Network Firewall Desenvolvedor*.
## [NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Categoria:** Proteger > Segurança de rede
**Gravidade:** média
**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um AWS Network Firewall firewall tem a proteção contra exclusão ativada. O controle falhará se a proteção contra exclusão não estiver habilitada para um firewall.
AWS Network Firewall é um firewall de rede gerenciado e com estado e serviço de detecção de intrusões que permite inspecionar e filtrar o tráfego de, para ou entre suas nuvens privadas virtuais (). VPCs A configuração de proteção contra exclusão protege contra a exclusão acidental do firewall.
### Correção
Para ativar a proteção contra exclusão em um firewall existente do Firewall de rede, consulte [Atualizar um firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) no *Guia do desenvolvedor do AWS Network Firewall *. Em **Alterar proteções**, selecione **Ativar**. Você também pode ativar a proteção contra exclusão invocando a [ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API e definindo o `DeleteProtection` campo como. `true`
## [NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Categoria:** Proteger > Segurança de rede
**Gravidade:** média
**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a proteção contra alteração de sub-rede está habilitada para um firewall AWS Network Firewall . O controle falhará se a proteção contra alteração de sub-rede não estiver habilitada para o firewall.
AWS Network Firewall é um firewall de rede gerenciado e com estado e um serviço de detecção de intrusões que você pode usar para inspecionar e filtrar o tráfego de, para ou entre suas nuvens privadas virtuais (). VPCs Se você habilitar a proteção contra alterações de sub-rede para um firewall do Network Firewall, poderá protegê-lo contra alterações acidentais nas associações de sub-rede do firewall.
### Correção
Para obter informações sobre como habilitar a proteção contra alterações de sub-rede em um firewall existente do Network Firewall, consulte [Atualização de um firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) no *Guia do desenvolvedor do AWS Network Firewall *.
# Controles CSPM do Security Hub para Amazon Service OpenSearch
Esses AWS Security Hub CSPM controles avaliam o OpenSearch serviço e os recursos do Amazon OpenSearch Service (Service). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), Nist.800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os OpenSearch domínios têm a encryption-at-rest configuração ativada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada.
Para uma camada adicional de segurança para dados confidenciais, você deve configurar seu domínio de OpenSearch serviço para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, AWS KMS armazena e gerencia suas chaves de criptografia. Para realizar a criptografia, AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).
Para saber mais sobre a criptografia OpenSearch de serviços em repouso, consulte [Criptografia de dados em repouso para o Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) no *Amazon OpenSearch Service* *Developer Guide*.
### Correção
Para habilitar a criptografia em repouso para OpenSearch domínios novos e existentes, consulte [Habilitar a criptografia de dados em repouso no](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) *Amazon OpenSearch Service Developer Guide*.
## Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, (7),, (21),, (11), (16), (20), (21), (3), (4 NIST.800-53.r5 AC-3) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura > Recursos na VPC
**Gravidade:** crítica
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os OpenSearch domínios estão em uma VPC. Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública.
Você deve garantir que os OpenSearch domínios não estejam vinculados a sub-redes públicas. Consulte as [políticas baseadas em recursos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) no Amazon OpenSearch Service Developer Guide. Você também deve garantir que a VPC esteja configurada de acordo com as melhores práticas recomendadas. Para saber mais, consulte [Grupos de segurança para a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) no Guia do usuário do Amazon VPC.
OpenSearch os domínios implantados em uma VPC podem se comunicar com os recursos da VPC pela AWS rede privada, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. VPCs forneça vários controles de rede para proteger o acesso aos OpenSearch domínios, incluindo ACL de rede e grupos de segurança. O Security Hub recomenda que você migre OpenSearch domínios públicos VPCs para aproveitar esses controles.
### Correção
Se você criar um domínio com um endpoint público, não será possível colocá-lo em uma VPC posteriormente. Em vez disso, é necessário criar um novo domínio e migrar seus dados. O inverso também é verdadeiro. Se você criar um domínio com uma VPC, ele não poderá ter um endpoint público. Em vez disso, é necessário [criar outro domínio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains) ou desabilitar esse controle.
Para obter instruções, consulte [Lançamento de seus domínios do Amazon OpenSearch Service em uma VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) no * OpenSearch Amazon Service* Developer Guide.
## Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os OpenSearch domínios têm a node-to-node criptografia ativada. Esse controle falhará se a node-to-node criptografia estiver desativada no domínio.
O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores espionem ou manipulem o tráfego da rede usando ataques similares. person-in-the-middle Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A ativação da node-to-node criptografia para OpenSearch domínios garante que as comunicações dentro do cluster sejam criptografadas em trânsito.
Pode haver uma penalidade de performance associada a essa configuração. É necessário estar ciente e testar a compensação de performance antes de habilitar essa opção.
### Correção
Para habilitar a node-to-node criptografia em um OpenSearch domínio, consulte Como [ativar a node-to-node criptografia](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) no *Amazon OpenSearch Service Developer Guide*.
## O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `logtype = 'error'` (não personalizável)
Esse controle verifica se os OpenSearch domínios estão configurados para enviar registros de erros para o CloudWatch Logs. Esse controle falhará se o registro de erros não CloudWatch estiver habilitado para um domínio.
Você deve ativar os registros de erros para OpenSearch domínios e enviá-los aos CloudWatch Registros para retenção e resposta. Os logs de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
### Correção
Para habilitar a publicação de registros, consulte [Ativação da publicação de registros (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) no *Amazon OpenSearch Service Developer Guide*.
## Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `cloudWatchLogsLogGroupArnList`(não personalizável) — O CSPM do Security Hub não preenche esse parâmetro. Lista separada por vírgulas de grupos de CloudWatch registros de registros que devem ser configurados para registros de auditoria.
Esse controle verifica se os OpenSearch domínios têm o registro de auditoria ativado. Esse controle falhará se um OpenSearch domínio não tiver o registro de auditoria ativado.
Os registros em log de auditoria são altamente personalizáveis. Eles permitem que você acompanhe a atividade do usuário em seus OpenSearch clusters, incluindo sucessos e falhas de autenticação, solicitações, alterações de indexação e consultas de pesquisa recebidas. OpenSearch
### Correção
Para obter instruções sobre como habilitar registros de auditoria, consulte [Habilitar registros de auditoria](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) no *Amazon OpenSearch Service Developer Guide*.
## Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os OpenSearch domínios estão configurados com pelo menos três nós de dados e `zoneAwarenessEnabled` está`true`. Esse controle falhará para um OpenSearch domínio se `instanceCount` for menor que 3 ou `zoneAwarenessEnabled` for`false`.
Para obter alta disponibilidade e tolerância a falhas em nível de cluster, um OpenSearch domínio deve ter pelo menos três nós de dados. A implantação de um OpenSearch domínio com pelo menos três nós de dados garante as operações do cluster se um nó falhar.
### Correção
**Para modificar o número de nós de dados em um OpenSearch domínio**
1. Faça login no AWS console e abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Em **Meus domínios**, escolha o nome do domínio a ser editado e escolha **Editar**.
1. Em **Nós de dados**, defina **Número de nós** como um número maior que `3`. Se estiver fazendo implantações em três zonas de disponibilidade, defina um múltiplo de três para garantir uma distribuição igual entre as zonas de disponibilidade.
1. Selecione **Enviar**.
## Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Categoria:** Proteger > Gerenciamento de acesso seguro > Ações confidenciais de API restritas
**Gravidade:** alta
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os OpenSearch domínios têm um controle de acesso refinado ativado. O controle falhará se o controle de acesso refinado não estiver habilitado. O controle de acesso refinado exige que `advanced-security-options` o OpenSearch parâmetro `update-domain-config` seja ativado.
O controle de acesso refinado oferece formas adicionais de controlar o acesso aos seus dados no Amazon Service. OpenSearch
### Correção
*Para habilitar o controle de acesso refinado, consulte Controle de [acesso refinado no Amazon Service no Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html) Developer Guide. OpenSearch *
## [Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10` (não personalizável)
Isso controla se um endpoint de domínio do Amazon OpenSearch Service está configurado para usar a política de segurança TLS mais recente. O controle falhará se o endpoint do OpenSearch domínio não estiver configurado para usar a política mais recente suportada ou se HTTPs não estiver habilitado.
O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS. O TLS 1.2 fornece vários aprimoramentos de segurança em relação às versões anteriores do TLS.
### Correção
Para ativar a criptografia TLS, use a operação da [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API. Configure o [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)campo para especificar o valor para`TLSSecurityPolicy`. Para obter mais informações, consulte [Node-to-node criptografia](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html) no *Amazon OpenSearch Service Developer Guide*.
## Os OpenSearch domínios [Opensearch.9] devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**AWS Config regra:** `tagged-opensearch-domain` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um domínio do Amazon OpenSearch Service tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o domínio não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o domínio não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um domínio OpenSearch de serviço, consulte Como [trabalhar com tags](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) no *Amazon OpenSearch Service Developer Guide*.
## Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** média
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um domínio do Amazon OpenSearch Service tem a atualização de software mais recente instalada. O controle falhará se uma atualização de software estiver disponível, mas não instalada para o domínio.
OpenSearch As atualizações do software de serviço fornecem as correções, atualizações e recursos mais recentes da plataforma disponíveis para o ambiente. Manter up-to-date a instalação do patch ajuda a manter a segurança e a disponibilidade do domínio. Se você não tomar nenhuma ação sobre as atualizações necessárias, o software do serviço será atualizado automaticamente (normalmente após duas semanas). Recomendamos programar atualizações durante um período de pouco tráfego para o domínio para minimizar a interrupção do serviço.
### Correção
Para instalar atualizações de software para um OpenSearch domínio, consulte [Iniciando uma atualização](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting) no *Amazon OpenSearch Service Developer Guide*.
## Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, Nist.800-53.r5 SI-13
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** baixa
**Tipo de recurso:** `AWS::OpenSearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um domínio do Amazon OpenSearch Service está configurado com pelo menos três nós primários dedicados. O controle falhará se o domínio tiver menos de três nós primários dedicados.
OpenSearch O serviço usa nós primários dedicados para aumentar a estabilidade do cluster. Um nó primário dedicado realiza tarefas de gerenciamento de cluster, mas não retem dados nem responde a solicitações de upload de dados. Recomendamos que você use o Multi-AZ com standby, o que adiciona três nós primários dedicados a cada domínio de produção OpenSearch .
### Correção
Para alterar o número de nós primários de um OpenSearch domínio, consulte [Criação e gerenciamento de domínios do Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) no *Amazon OpenSearch Service Developer Guide*.
# Controles CSPM do Security Hub para CA Privada da AWS
Esses AWS Security Hub CSPM controles avaliam o Autoridade de Certificação Privada da AWS (CA Privada da AWS) serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** baixa
**Tipo de recurso:** `AWS::ACMPCA::CertificateAuthority`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se CA Privada da AWS tem uma autoridade de certificação raiz (CA) que está desativada. O controle falhará se a CA raiz estiver habilitada.
Com CA Privada da AWS, você pode criar uma hierarquia de CA que inclua uma CA raiz e uma subordinada CAs. É necessário minimizar o uso da CA raiz para tarefas diárias, especialmente em ambientes de produção. A CA raiz só deve ser usada para emitir certificados intermediários CAs. Isso permite que a CA raiz seja armazenada fora de perigo, enquanto o intermediário CAs executa a tarefa diária de emitir certificados de entidade final.
### Correção
Para desabilitar a CA raiz, consulte [Atualizar o status da CA](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps) no *Guia do usuário do Autoridade de Certificação Privada da AWS *.
## [PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::ACMPCA::CertificateAuthority`
**Regra do AWS Config :** `acmpca-certificate-authority-tagged`
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma autoridade de certificação de CA AWS privada tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se a autoridade de certificado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a autoridade de certificado não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.
### Correção
Para adicionar tags a uma autoridade de CA AWS privada, consulte [Adicionar tags para sua CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) no *Guia do Autoridade de Certificação Privada da AWS usuário*.
# Controles CSPM do Security Hub para Amazon RDS
Esses AWS Security Hub CSPM controles avaliam os recursos do Amazon Relational Database Service (Amazon RDS) e do Amazon RDS. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [RDS.1] Os snapshots do RDS devem ser privados
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, (7),, (21),, (11), (16), (20), (21), (3), (4 NIST.800-53.r5 AC-3) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** crítica
**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`,`AWS::RDS::DBSnapshot`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os snapshots do Amazon RDS são públicos. O controle falhará se os snapshots do RDS forem públicos. Esse controle avalia as instâncias do RDS, as instâncias de banco de dados do Aurora, as instâncias do banco de dados do Neptune e os clusters do Amazon DocumentDB.
Os snapshots do RDS são usados para fazer backup dos dados nas instâncias do RDS em determinado momento. Eles podem ser usados para restaurar estados anteriores das instâncias do RDS.
Um snapshot do RDS não deve ser público, a menos que isso seja o previsto. Se você compartilhar um snapshot manual não criptografado como público, isso o disponibilizará para todas as Contas da AWS. Isso pode resultar em exposição não intencional de dados da instância do RDS.
Observe que, se a configuração for alterada para permitir o acesso público, talvez a AWS Config regra não consiga detectar a alteração por até 12 horas. Até que a AWS Config regra detecte a alteração, a verificação é aprovada mesmo que a configuração viole a regra.
Para saber mais sobre como compartilhar um snapshot de banco de dados, consulte [Compartilhar um snapshot de banco de dados](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) no *Guia do usuário do Amazon RDS*.
### Correção
Para remover o acesso público dos snapshots do RDS, consulte [Compartilhamento de um snapshot](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing) no *Guia do usuário do Amazon RDS*. Em **DB snapshot visibility (Visibilidade do snapshot de banco de dados)**, escolha **Private (Privado)**.
## [RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.3, CIS AWS Foundations Benchmark v3.0.0/2.3.3,, (21), (11), (16), NIST.800-53.r5 AC-4 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 AC-4, PCI DSS v3.2.1/1.2.1 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2 3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** crítica
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as instâncias do Amazon RDS são acessíveis publicamente avaliando o campo `PubliclyAccessible` no item de configuração da instância.
As instâncias de banco de dados Neptune e os clusters do Amazon DocumentDB não têm o sinalizador `PubliclyAccessible` e não podem ser avaliados. No entanto, esse controle ainda pode gerar descobertas para esses recursos. É possível suprimir essas descobertas.
O valor `PubliclyAccessible` na configuração da instância do RDS indica se a instância de banco de dados é acessível publicamente. Se a instância de banco de dados for configurada com `PubliclyAccessible`, ela será uma instância voltada para a Internet com um nome de DNS que pode ser resolvido publicamente, resultando em um endereço IP público. Se a instância de banco de dados não for acessível publicamente, ela será uma instância interna com um nome de DNS que é resolvido para um endereço IP privado.
A menos que queira que a instância de RDS seja acessível publicamente, a instância de RDS não deve ser configurada com o valor `PubliclyAccessible`. Isso pode permitir tráfego desnecessário para sua instância de banco de dados.
### Correção
Para remover o acesso público das instâncias de banco de dados do RDS, consulte [Modificar uma instância de banco de dados do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) no *Guia do usuário do Amazon RDS*. Em **Acesso público**, escolha **Não**.
## [RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.1, CIS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, (1), 3, 8, 8 (1), (10), NIST.800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6) AWS NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a criptografia de armazenamento está habilitada para suas instâncias de banco de dados do Amazon RDS.
Esse controle é destinado às instâncias de banco de dados do RDS. No entanto, ele também pode gerar descobertas para as instâncias de banco de dados do Aurora, as instâncias de banco de dados do Neptune e os clusters do Amazon DocumentDB. Se essas descobertas não forem úteis, você poderá suprimi-las.
Para obter uma camada de segurança adicional para os dados confidenciais nas instâncias de banco de dados do RDS, configure as instâncias de banco de dados do RDS para serem criptografadas em repouso. Para criptografar as instâncias de banco de dados do RDS e os snapshots em repouso, habilite a opção de criptografia para as instâncias de banco de dados do RDS. Os dados criptografados em repouso incluem o armazenamento subjacente para instâncias de banco de dados, seus backups automatizados, réplicas de leitura e snapshots.
As instâncias de banco de dados criptografadas do RDS usam o algoritmo de criptografia AES-256 de padrão aberto para criptografar os dados no servidor que hospeda as instâncias de banco de dados do RDS. Após a criptografia dos seus dados, o Amazon RDS lida com a autenticação do acesso e a decodificação dos seus dados de forma transparente com um mínimo impacto sobre a performance. Você não precisa modificar seus aplicativos cliente de banco de dados para usar a criptografia.
A criptografia do Amazon RDS está disponível para todos os mecanismos de banco de dados e tipos de armazenamento. A criptografia do Amazon RDS está disponível para a maioria das classes de instância de banco de dados. Para saber mais sobre as classes de instâncias de banco de dados que não são compatíveis com a criptografia do Amazon RDS, consulte [Criptografar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) no *Guia do usuário do Amazon RDS*.
### Correção
Para obter informações sobre criptografia de instâncias de banco de dados no Amazon RDS, consulte [Criptografar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) no *Guia do usuário do Amazon RDS*.
## [RDS.4] Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`,` AWS::RDS::DBSnapshot`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um snapshot do banco de dados RDS está criptografado. O controle falhará se um snapshot do banco de dados do RDS não estiver criptografado.
Esse controle é destinado às instâncias de banco de dados do RDS. No entanto, ele também pode gerar descobertas para os snapshots de banco de dados do Aurora, as instâncias de banco de dados do Neptune e os clusters do Amazon DocumentDB. Se essas descobertas não forem úteis, você poderá suprimi-las.
Criptografar dados em repouso reduz o risco de um usuário não autenticado ter acesso aos dados armazenados em disco. Os dados nos snapshots do RDS devem ser criptografados em repouso para uma camada adicional de segurança.
### Correção
Para criptografar um snapshot do RDS, consulte [Criptografar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) no *Guia do usuário do Amazon RDS*. Os dados criptografados em repouso incluem o armazenamento subjacente para instâncias de banco de dados, seus backups automatizados, réplicas de leitura e snapshots.
Você só pode criptografar uma instância de banco de dados do RDS ao criá-la, e não após a criação. Entretanto, como é possível criptografar uma cópia de um snapshot não criptografado, é possível efetivamente adicionar criptografia a uma instância de banco de dados não criptografada. Ou seja, é possível criar um snapshot da sua instância de banco de dados e depois criar uma cópia criptografada desse snapshot. Em seguida, é possível restaurar uma instância de banco de dados a partir do snapshot criptografado, logo, você terá uma cópia criptografada da sua instância de banco de dados original.
## [RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a alta disponibilidade está ativada para suas instâncias de banco de dados do RDS. O controle falhará se uma instância de banco de dados do RDS não estiver configurada com várias zonas de disponibilidade (AZs). Esse controle não se aplica a instâncias de banco de dados do RDS que façam parte de uma implantação de cluster de banco de dados multi-AZ.
A configuração de instâncias de banco de dados do Amazon RDS AZs ajuda a garantir a disponibilidade dos dados armazenados. As implantações Multi-AZ permitem o failover automático se houver um problema com a disponibilidade do AZ e durante a manutenção regular do RDS.
### Correção
Para implantar suas instâncias de banco de dados em várias AZs, [modifique uma instância de banco de dados para ser uma implantação de instância de banco de dados Multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) no Guia do usuário do *Amazon RDS.*
## [RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS
**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `monitoringInterval` | Número de segundos entre os intervalos de coleta de métricas de monitoramento | Enum | `1`, `5`, `10`, `15`, `30`, `60` | Nenhum valor padrão |
Esse controle verifica se o monitoramento aprimorado está habilitado para uma instância de banco de dados do Amazon Relational Database Service (Amazon RDS). O controle falhará se o monitoramento aprimorado não estiver habilitado para a instância. Se você fornecer um valor personalizado para o parâmetro `monitoringInterval`, o controle será aprovado somente se as métricas de monitoramento aprimorado forem coletadas para a instância no intervalo especificado.
No Amazon RDS, o monitoramento aprimorado permite uma resposta mais rápida às alterações de performance na infraestrutura subjacente. Essas mudanças na performance podem resultar na falta de disponibilidade dos dados. O monitoramento aprimorado fornece métricas em tempo real para o sistema operacional no qual a instância do banco de dados do RDS é executada. Um agente está instalado na instância. O agente pode obter métricas com mais precisão do que é possível na camada do hipervisor.
As métricas de Monitoramento avançado são úteis quando você deseja ver como os diferentes processos ou threads em uma instância de banco de dados usam a CPU. Para obter mais informações, consulte [Monitoramento avançado](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) no *Guia do usuário do Amazon RDS*.
### Correção
Para obter instruções detalhadas sobre como habilitar o monitoramento aprimorado para sua instância de banco de dados, consulte [Configurar e ativar o monitoramento aprimorado](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling) no *Guia do usuário do Amazon RDS*.
## [RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada
**Requisitos relacionados:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados do RDS tem a proteção contra exclusão habilitada. O controle falhará se o cluster de banco de dados do RDS não tiver a proteção contra exclusão habilitada.
Esse controle é destinado às instâncias de banco de dados do RDS. No entanto, ele também pode gerar descobertas para as instâncias de banco de dados do Aurora, as instâncias de banco de dados do Neptune e os clusters do Amazon DocumentDB. Se essas descobertas não forem úteis, você poderá suprimi-las.
A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por uma entidade não autorizada.
Quando a proteção contra exclusão estiver ativada, o cluster de banco de dados do RDS não poderá ser excluído. É necessário desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida.
### Correção
Para ativar a proteção contra exclusão de um cluster de banco de dados do RDS, consulte [Modificar o cluster de banco de dados usando o console, a CLI e a API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) no *Guia do usuário do Amazon RDS*. Em **Proteção contra exclusão**, escolha **Habilitar proteção contra exclusão**.
## [RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada
**Requisitos relacionados:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `databaseEngines`: `mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web` (não personalizável)
Esse controle verifica se suas instâncias de banco de dados do RDS que usam um dos mecanismos de banco de dados listados têm a proteção contra exclusão ativada. O controle falhará se a instância de banco de dados do RDS não tiver a proteção contra exclusão habilitada.
A ativação da proteção contra exclusão de instâncias oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por uma entidade não autorizada.
Embora a proteção contra exclusão esteja ativada, uma instância de banco de dados do RDS não pode ser excluída. É necessário desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida.
### Correção
Para ativar a proteção contra exclusão de uma instância de banco de dados do RDS, consulte [Modificar uma instância de banco de dados do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) no *Guia do usuário do Amazon RDS*. Em **Proteção contra exclusão**, escolha **Habilitar proteção contra exclusão**.
## [RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma instância de banco de dados Amazon RDS está configurada para publicar os seguintes registros no Amazon CloudWatch Logs. O controle falhará se a instância não estiver configurada para publicar os seguintes registros no CloudWatch Logs:
+ Oracle: Alert, Audit, Trace, Listener
+ PostgreSQL: Postgresql, Upgrade
+ MySQL: Auditoria, Erro, Geral, SlowQuery
+ MariaDB: Auditoria, Erro, Geral, SlowQuery
+ SQL Server: Error, Agent
+ Aurora: Auditoria, erro, geral, SlowQuery
+ Aurora-MySQL: auditoria, erro, geral, SlowQuery
+ Aurora-PostgreSQL: Postgresql
Os bancos de dados do RDS devem ter os registros relevantes habilitados. O registro em log do banco de dados fornece registros detalhados das solicitações feitas ao RDS. Os logs de bancos de dados podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
### Correção
Para obter informações sobre a publicação de registros do banco de dados do RDS no CloudWatch Logs, consulte [Especificação dos registros a serem publicados nos CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) no Guia do usuário do *Amazon RDS.*
## [RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma instância de banco de dados do RDS tem a autenticação de banco de dados do IAM ativada. O controle falhará se a autenticação do IAM não estiver configurada para instâncias de banco de dados do RDS. Esse controle avalia somente instâncias do RDS com os seguintes tipos de mecanismo: `mysql`, `postgres`, `aurora`, `aurora-mysql`, `aurora-postgresql` e `mariadb`. Uma instância do RDS também deve estar em um dos seguintes estados para que uma descoberta seja gerada: `available`, `backing-up`, `storage-optimization` ou `storage-full`.
A autenticação de banco de dados do IAM permite a autenticação em instâncias de banco de dados com um token de autenticação em vez de uma senha. O tráfego de rede de e para o banco de dados é criptografado usando SSL. Para obter mais informações, consulte [Autenticação de banco de dados do IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) no *Guia do usuário do Amazon Aurora.*
### Correção
Para ativar a autenticação do banco de dados do IAM em uma instância de banco de dados do RDS, consulte [Habilitar e desabilitar a autenticação do banco de dados do IAM](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) no *Guia do usuário do Amazon RDS*.
## [RDS.11] As instâncias do RDS devem ter backups automáticos habilitados
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Backups ativados
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `backupRetentionMinimum` | Período mínimo de retenção de backups em dias | Inteiro | `7` para `35` | `7` |
| `checkReadReplicas` | Verifica se as instâncias de banco de dados do RDS têm backups habilitados para réplicas de leitura | Booleano | Não personalizável | `false` |
Esse controle verifica se uma instância do Amazon Relational Database Service têm backups automatizados habilitados e se o período de retenção de backups é maior ou igual ao período de tempo especificado. As réplicas de leitura são excluídas da avaliação. O controle falhará se os backups não estiverem habilitados para a instância, ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção de backup, o Security Hub CSPM usa um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. O Amazon RDS permite que você configure snapshots diários do volume completo da instância. Para obter mais informações sobre backups automatizados do Amazon RDS, consulte [Trabalho com backups](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html) no *Guia do usuário do Amazon RDS*.
### Correção
Para habilitar backups automatizados para uma instância de banco de dados do RDS, consulte [Habilitar backups automatizados](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) no *Guia do usuário da Amazon RDS*.
## [RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados do Amazon RDS tem a autenticação de banco de dados do IAM ativada.
A autenticação de banco de dados do IAM permite a autenticação sem senha para instâncias de banco de dados. A autenticação usa um token de autenticação. O tráfego de rede de e para o banco de dados é criptografado usando SSL. Para obter mais informações, consulte [Autenticação de banco de dados do IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) no *Guia do usuário do Amazon Aurora.*
### Correção
Para ativar a autenticação do IAM em um cluster de banco de dados, consulte [Habilitar e desabilitar a autenticação de banco de dados do IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) no *Guia do usuário do Amazon Aurora*.
## [RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.2, CIS Foundations Benchmark v3.0.0/2.3.2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), AWS PCI DSS v4.0.1/6.3.3
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** alta
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as atualizações automáticas de versões secundárias estão habilitadas para a instância do banco de dados do RDS.
As atualizações automáticas de versões secundárias atualizam periodicamente o banco de dados para versões recentes do respectivo mecanismo. No entanto, a atualização nem sempre inclui a versão mais recente do mecanismo de banco de dados. Se precisar manter seus bancos de dados em determinadas versões em momentos específicos, recomendamos atualizar manualmente para as versões de banco de dados necessárias de acordo com o cronograma exigido. Em casos de problemas críticos de segurança ou quando uma versão atinge sua end-of-support data, o Amazon RDS pode aplicar uma atualização de versão secundária, mesmo que você não tenha habilitado a opção de **atualização automática de versão secundária**. Para ter mais informações, consulte a documentação de atualização do Amazon RDS para seu mecanismo de banco de dados específico:
+ [Atualizações automáticas de versões secundárias do RDS for MariaDB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [Atualizações automáticas de versões secundárias do RDS for MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [Atualizações automáticas de versões secundárias do RDS for PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [Db2 nas versões do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [Atualizações de versões secundárias do Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [Atualizações do mecanismo de banco de dados Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)
### Correção
Para habilitar atualizações automáticas de versões secundárias para uma instância de banco de dados existente, consulte [Modificar uma instância de banco de dados Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) no *Guia do usuário do Amazon RDS*. Em **Atualização automática da versão secundária**, selecione **Sim**.
## [RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SI-13(5)
**Categoria:** Recuperação > Resiliência > Backups ativados
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `BacktrackWindowInHours` | Número de horas para retroceder um cluster do Aurora MySQL | Duplo | `0.1` para `72` | Nenhum valor padrão |
Esse controle verifica se um cluster do Amazon Aurora têm o retrocesso habilitado. O controle falhará se o cluster não tiver o retrocesso habilitado. Se você fornecer um valor personalizado para o parâmetro `BacktrackWindowInHours`, o controle passará somente se o cluster for retrocedido pelo período de tempo especificado.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. O backtracking do Aurora reduz o tempo de recuperação de um banco de dados para um ponto no tempo. Não é necessária uma restauração do banco de dados para fazer isso.
### Correção
Para habilitar o retrocesso do Aurora, consulte [Configuração do retrocesso](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring) no *Guia do usuário do Amazon Aurora*.
Observe que você não pode ativar o backtracking em um cluster existente. Em vez disso, é possível criar um clone com o backtracking habilitado. Para obter mais informações sobre as limitações do backtracking do Aurora, consulte a lista de limitações em [Visão geral do backtracking](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html).
## [RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a alta disponibilidade está ativada para seus clusters de banco de dados do RDS. O controle falhará se um cluster de banco de dados do RDS não for implantado em várias zonas de disponibilidade ()AZs.
Os clusters de banco de dados do RDS devem ser configurados para vários AZs para garantir a disponibilidade dos dados armazenados. A implantação em vários AZs permite o failover automatizado no caso de um problema de disponibilidade do AZ e durante eventos regulares de manutenção do RDS.
### Correção
Para implantar seus clusters de banco de dados em vários AZs, [modifique uma instância de banco de dados para ser uma implantação de instância de banco de dados Multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) no Guia do usuário do *Amazon RDS.*
As etapas de correção são diferentes nos bancos de dados globais do Aurora. Para configurar várias zonas de disponibilidade para um banco de dados global do Aurora, selecione seu cluster de banco de dados. Em seguida, escolha **Ações** e **Adicionar leitor** e especifique várias AZs. Para mais informações, consulte [Adicionar réplicas do Aurora a um cluster de banco de dados](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html) no *Guia do usuário do Amazon Aurora*.
## [RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Identificar > Inventário
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBCluster`
**AWS Config regra:** `rds-cluster-copy-tags-to-snapshots-enabled` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados do Amazon Aurora está configurado para copiar automaticamente tags para snapshots do cluster de banco de dados quando os snapshots são criados. O controle falhará se o cluster de banco de dados Aurora não estiver configurado para copiar tags automaticamente para snapshots do cluster quando os snapshots são criados.
A identificação e o inventário de seus ativos de TI é um aspecto essencial de governança e segurança. Você precisa ter visibilidade de todos os seus clusters de banco de dados do Amazon Aurora para avaliar seus procedimentos de segurança e atuar em possíveis pontos fracos. Os snapshots de banco de dados do Aurora devem ter as mesmas tags dos clusters de banco de dados principais. No Amazon Aurora, é possível configurar um cluster de banco de dados para copiar automaticamente todas as tags do cluster para snapshots do cluster. A ativação dessa configuração garante que os snapshots de banco de dados herdem as mesmas tags de seus clusters de banco de dados principais.
### Correção
Para obter informações sobre como configurar um cluster de banco de dados do Amazon Aurora para copiar automaticamente tags para snapshots de banco de dados, consulte [Modificação de um cluster de banco de dados do Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html) no *Guia do usuário do Amazon Aurora*.
## [RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Identificar > Inventário
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBInstance`
**AWS Config regra:** `rds-instance-copy-tags-to-snapshots-enabled` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as instâncias de banco de dados RDS estão configuradas para copiar todas as tags para snapshots quando os snapshots são criados.
A identificação e o inventário de seus ativos de TI é um aspecto essencial de governança e segurança. Você precisa ter visibilidade de todos as instâncias de bancos de dados do RDS para avaliar seus procedimentos de segurança e atuar em possíveis pontos fracos. É necessário marcar snapshots da mesma forma que as instâncias de banco de dados do RDS primário. A ativação dessa configuração garante que os snapshots herdem as tags de suas instâncias de banco de dados principais.
### Correção
Para copiar automaticamente as tags para snapshots de uma instância de banco de dados do RDS, consulte [Modificar uma instância de banco de dados do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) no *Guia do usuário do Amazon RDS*. Selecione **Copiar tags para snapshots**.
## [RDS.18] As instâncias do RDS devem ser implantadas em uma VPC
**Categoria:** Proteger > Configuração de rede segura > Recursos na VPC
**Gravidade:** alta
**Tipo de recurso:** `AWS::RDS::DBInstance`
**AWS Config regra:** `rds-deployed-in-vpc` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma instância do Amazon RDS está implantada em uma EC2-VPC.
As VPCs fornecem vários controles de rede para proteger o acesso aos recursos do RDS. Esses controles incluem endpoints da VPC, ACLs de rede e grupos de segurança. Para aproveitar esses controles, recomendamos que você crie suas instâncias do RDS em uma EC2-VPC.
### Correção
Para obter instruções sobre como mover instâncias do RDS para uma VPC, consulte [Atualizar a VPC para uma instância de banco de dados](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html) no *Guia do usuário do Amazon RDS*.
## [RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster
**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
**Categoria:** Detectar > Serviços de detecção > Monitoramento de aplicativos
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::EventSubscription`
**AWS Config regra:** `rds-cluster-event-notifications-configured` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma assinatura de eventos existente do Amazon RDS para clusters de banco de dados tem notificações habilitadas para os seguintes pares de chave-valor de tipo de fonte e categoria de evento:
```
DBCluster: ["maintenance","failure"]
```
O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.
As notificações de eventos do RDS usam o Amazon SNS para informá-lo sobre alterações na disponibilidade ou na configuração dos seus recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, consulte [Usar a notificação de evento do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) no *Guia do usuário do Amazon RDS*.
### Correção
Para assinar notificações de eventos de cluster do RDS, consulte [Assinatura da notificação de eventos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) no *Guia do usuário do Amazon RDS*. Use os seguintes valores:
| Campo | Valor |
| --- | --- |
| Source type (Tipo de origem) | Clusters |
| Clusters a serem incluídos | Todos os clusters |
| Categorias de eventos a serem incluídas | Selecione categorias de eventos específicas ou Todas as categorias de eventos |
## [RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados
**Requisitos relacionados:** NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2
**Categoria:** Detectar > Serviços de detecção > Monitoramento de aplicativos
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::EventSubscription`
**AWS Config regra:** `rds-instance-event-notifications-configured` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma assinatura de eventos existente do Amazon RDS para instâncias de banco de dados tem notificações habilitadas para os seguintes pares de chave-valor de tipo de fonte e categoria de evento:
```
DBInstance: ["maintenance","configuration change","failure"]
```
O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.
As notificações de eventos do RDS usam o Amazon SNS para informá-lo sobre mudanças na disponibilidade ou na configuração dos seus recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, consulte [Usar a notificação de evento do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) no *Guia do usuário do Amazon RDS*.
### Correção
Para assinar notificações de eventos de instâncias do RDS, consulte [Assinatura da notificação de eventos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) no *Guia do usuário do Amazon RDS*. Use os seguintes valores:
| Campo | Valor |
| --- | --- |
| Source type (Tipo de origem) | Instâncias |
| Instâncias a serem incluídas | Todas as instâncias |
| Categorias de eventos a serem incluídas | Selecione categorias de eventos específicas ou Todas as categorias de eventos |
## [RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados
**Requisitos relacionados:** NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2
**Categoria:** Detectar > Serviços de detecção > Monitoramento de aplicativos
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::EventSubscription`
**AWS Config regra:** `rds-pg-event-notifications-configured` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma assinatura de eventos existente do Amazon RDS tem notificações habilitadas para os seguintes pares de chave-valor de tipo de fonte e categoria de evento. O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.
```
DBParameterGroup: ["configuration change"]
```
As notificações de eventos do RDS usam o Amazon SNS para informá-lo sobre mudanças na disponibilidade ou na configuração dos seus recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, consulte [Usar a notificação de evento do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) no *Guia do usuário do Amazon RDS*.
### Correção
Para assinar notificações de eventos de grupos de parâmetros de bancos de dados do RDS, consulte [Assinatura da notificação de eventos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) no *Guia do usuário do Amazon RDS*. Use os seguintes valores:
| Campo | Valor |
| --- | --- |
| Source type (Tipo de origem) | Grupos de parâmetros |
| Grupos de parâmetros a serem incluídos | Todos os grupos de parâmetros |
| Categorias de eventos a serem incluídas | Selecione categorias de eventos específicas ou Todas as categorias de eventos |
## [RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados
**Requisitos relacionados:** NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2
**Categoria:** Detectar > Serviços de detecção > Monitoramento de aplicativos
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::EventSubscription`
**AWS Config regra:** `rds-sg-event-notifications-configured` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma assinatura de eventos existente do Amazon RDS tem notificações habilitadas para os seguintes pares de chave-valor de tipo de fonte e categoria de evento. O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.
```
DBSecurityGroup: ["configuration change","failure"]
```
As notificações de eventos do RDS usam o Amazon SNS para informá-lo sobre mudanças na disponibilidade ou na configuração dos seus recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, consulte [Usar a notificação de evento do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) no *Guia do usuário do Amazon RDS*.
### Correção
Para assinar notificações de eventos de instâncias do RDS, consulte [Assinatura da notificação de eventos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) no *Guia do usuário do Amazon RDS*. Use os seguintes valores:
| Campo | Valor |
| --- | --- |
| Source type (Tipo de origem) | Grupos de segurança |
| Grupos de segurança a serem incluídos | Todos os grupos de segurança |
| Categorias de eventos a serem incluídas | Selecione categorias de eventos específicas ou Todas as categorias de eventos |
## [RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBInstance`
**AWS Config regra:** `rds-no-default-ports` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster ou instância do RDS usa uma porta diferente da porta padrão do mecanismo de banco de dados. O controle falhará se o cluster ou a instância do RDS usar a porta padrão. Esse controle não se aplica às instâncias do RDS que façam parte de um cluster.
Se você usar uma porta conhecida para implantar um cluster ou instância do RDS, um invasor poderá adivinhar informações sobre o cluster ou a instância. O invasor pode usar essas informações em conjunto com outras informações para se conectar a um cluster ou instância do RDS ou obter informações adicionais sobre seu aplicativo.
Ao alterar a porta, você também deve atualizar as cadeias de conexão existentes que foram usadas para se conectar à porta antiga. Você também deve verificar o grupo de segurança da instância de banco de dados para garantir que ele inclua uma regra de entrada que permita conectividade na nova porta.
### Correção
Para modificar a porta padrão de uma instância de banco de dados RDS existente, consulte [Modificar uma instância de banco de dados Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) no *Guia do usuário do Amazon RDS*. Para modificar a porta padrão de um cluster de banco de dados Neptune existente, consulte [Modificar o cluster de banco de dados usando o console, a CLI e a API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) no *Guia do usuário do Amazon Aurora*. Em **Porta do banco de dados**, altere o valor da porta para um valor não padrão.
## [RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2
**Categoria:** Identificar > Configuração de recursos
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** `[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados do Amazon RDS alterou o nome de usuário do administrador de seu valor padrão. O controle não se aplica a mecanismos do tipo neptune (Neptune DB) ou docdb (DocumentDB). Essa regra falhará se o nome de usuário do administrador estiver definido com o valor padrão.
Ao criar um banco de dados do Amazon RDS, é necessário alterar o nome de usuário do administrador padrão para um valor exclusivo. Os nomes de usuário padrão são de conhecimento público e devem ser alterados durante a criação do banco de dados RDS. Alterar os nomes de usuário padrão reduz o risco de acesso não intencional.
### Correção
Para alterar o nome de usuário do administrador associado ao cluster de banco de dados do Amazon RDS, [crie um novo cluster de banco de dados do RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html) e altere o nome de usuário do administrador padrão ao criar o banco de dados.
## [RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2
**Categoria:** Identificar > Configuração de recursos
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** `[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se você alterou o nome de usuário administrativo para as instâncias de banco de dados do Amazon Relational Database Service (Amazon RDS) do valor padrão do nome de usuário administrativo para as instâncias de banco de dados do Amazon Relational Database Service (Amazon RDS). Esse controle falha se o nome de usuário do administrador estiver definido com o valor padrão. O controle não se aplica a mecanismos do tipo neptune (Neptune DB) ou docdb (DocumentDB) e a instâncias do RDS que façam parte de um cluster.
Os nomes de usuário administrativos padrão nos bancos de dados do Amazon RDS são de conhecimento público. Ao criar um banco de dados do Amazon RDS, é necessário alterar o nome de usuário do administrador padrão para um valor exclusivo de modo a reduzir o risco de acesso acidental.
### Correção
Para alterar o nome de usuário administrativo associado a uma instância do banco de dados do RDS, primeiro [crie uma nova instância do banco de dados do RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html). Altere o nome de usuário administrativo padrão ao criar o banco de dados.
## [RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup
**Categoria:** Recuperação > Resiliência > Backups ativados
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html)**``
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `backupVaultLockCheck` | O controle produz uma `PASSED` descoberta se o parâmetro estiver definido como verdadeiro e o recurso usar o AWS Backup Vault Lock. | Booleano | `true` ou `false` | Nenhum valor padrão |
Esse controle avalia se as instâncias de banco de dados do Amazon RDS estão cobertas por um plano de backup. Esse controle falhará se a instância de banco de dados do RDS não estiver coberta por um plano de backup. Se você definir o `backupVaultLockCheck` parâmetro igual a`true`, o controle passará somente se o backup da instância for feito em um cofre AWS Backup bloqueado.
**nota**
Esse controle não avalia as instâncias do Neptune e do DocumentDB. Ele também não avalia instâncias de banco de dados do RDS que sejam membros de um cluster.
AWS Backup é um serviço de backup totalmente gerenciado que centraliza e automatiza o backup dos dados. Serviços da AWS Com AWS Backup, você pode criar políticas de backup chamadas planos de backup. É possível usar esses planos para definir seus requisitos de backup, como a frequência com a qual fazer o backup de seus dados e por quanto tempo manter esses backups. Incluir instâncias de bancos de dados do RDS em seus planos de backup ajuda a proteger seus dados contra perda ou exclusão não intencionais.
### Correção
Para adicionar uma instância de banco de dados do RDS a um plano de AWS Backup backup, consulte [Atribuição de recursos a um plano de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) no Guia do *AWS Backup desenvolvedor*.
## [RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html)**``
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados RDS é criptografado em repouso. O controle falhará se um cluster de banco de dados do RDS não estiver criptografado em repouso.
Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Criptografar seus clusters de banco de dados RDS protege seus dados e metadados contra acesso não autorizado. Ele também atende aos requisitos de conformidade para data-at-rest criptografia de sistemas de arquivos de produção.
### Correção
É possível ativar a criptografia em repouso ao criar um cluster de banco de dados do RDS. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte [Criptografar um cluster de banco de dados do Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling) no *Guia do usuário do Amazon Aurora*.
## [RDS.28] Os clusters de bancos de dados do RDS devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBCluster`
**AWS Config regra:** `tagged-rds-dbcluster` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um cluster de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o cluster de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o cluster de banco de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um cluster de banco de dados do RDS, consulte [Marcar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon RDS*.
## [RDS.29] Os snapshots de cluster de bancos de dados do RDS devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`
**AWS Config regra:** `tagged-rds-dbclustersnapshot` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um snapshot de cluster de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o snapshot de cluster de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de cluster de banco de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um snapshot de cluster de banco de dados do RDS, consulte [Marcar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon RDS*.
## [RDS.30] As instâncias de bancos de dados do RDS devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBInstance`
**AWS Config regra:** `tagged-rds-dbinstance` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma instância de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a instância de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a instância de banco de dados não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma instância de banco de dados do RDS, consulte [Marcar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon RDS*.
## [RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBSecurityGroup`
**AWS Config regra:** `tagged-rds-dbsecuritygroup` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um grupo de segurança de banco de dados do Amazon RDS tem tags com chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o grupo de segurança de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de segurança de banco de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um grupo de segurança de banco de dados do RDS, consulte [Marcar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon RDS*.
## [RDS.32] Os snapshots de banco de dados do RDS devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBSnapshot`
**AWS Config regra:** `tagged-rds-dbsnapshot` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um snapshot de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o snapshot de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de banco de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um snapshot do RDS, consulte [Marcar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon RDS*.
## [RDS.33] Os grupos de sub-redes de banco de dados do RDS devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBSubnetGroup`
**AWS Config regra:** `tagged-rds-dbsubnetgroups` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um grupo de sub-redes de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o grupo de sub-redes de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de sub-redes de banco de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um grupo de sub-redes de banco de dados do RDS, consulte [Marcar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon RDS*.
## [RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html)**``
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados Amazon Aurora MySQL está configurado para publicar logs de auditoria no Amazon Logs. CloudWatch O controle falhará se o cluster não estiver configurado para publicar registros de auditoria no CloudWatch Logs. O controle não gera descobertas para clusters de banco de dados do Aurora Serverless v1.
Os logs de auditoria capturam um registro da atividade do banco de dados, incluindo tentativas de login, modificações de dados, alterações de esquema e outros eventos que podem ser auditados para fins de segurança e conformidade. Ao configurar um cluster de banco de dados Aurora MySQL para publicar registros de auditoria em um grupo de logs no Amazon CloudWatch Logs, você pode realizar análises em tempo real dos dados de log. CloudWatch O Logs retém os registros em um armazenamento altamente durável. Você também pode criar alarmes e visualizar métricas no CloudWatch.
**nota**
Uma forma alternativa de publicar registros de auditoria no Logs é habilitar a auditoria avançada e definir o parâmetro de banco de CloudWatch dados em nível de cluster como. `server_audit_logs_upload` `1` O padrão para `server_audit_logs_upload parameter` é `0`. No entanto, recomendamos que você use as seguintes instruções de correção para passar esse controle.
### Correção
*Para publicar registros de auditoria do cluster de banco de dados Aurora MySQL no Logs, consulte Publicação de CloudWatch registros do Amazon [Aurora MySQL no Amazon Logs CloudWatch no Guia do usuário do Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) Aurora.*
## [RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada
**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html)**``
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a atualização automática de versões secundárias está habilitada para um cluster de banco de dados Multi-AZ do Amazon RDS. O controle falhará se a atualização automática de versões secundárias não estiver habilitada para um cluster de bancos de dados Multi-AZ.
O RDS fornece a atualização automática de versões secundárias para que você possa manter o cluster de bancos de dados Multi-AZ atualizado. Versões secundárias podem introduzir novos atributos de software, correções de bugs, patches de segurança e melhorias de performance. Ao habilitar a atualização automática de versões secundárias em clusters de banco de dados do RDS, o cluster, junto com as instâncias no cluster, receberá atualizações automáticas para a versão secundária quando novas versões estiverem disponíveis. As atualizações são aplicadas automaticamente durante o período de manutenção.
### Correção
Para habilitar a atualização automática de versões secundárias em clusters de banco de dados Multi-AZ, consulte [Modificar um cluster de banco de dados Multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html) no *Guia do usuário do Amazon RDS*.
## [RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch
**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `logTypes` | Lista separada por vírgula dos tipos de registro a serem publicados no Logs CloudWatch | StringList | Não personalizável | `postgresql` |
Esse controle verifica se uma instância de banco de dados Amazon RDS for PostgreSQL está configurada para publicar registros no Amazon Logs. CloudWatch O controle falhará se a instância de banco de dados PostgreSQL não estiver configurada para publicar os tipos de log mencionados `logTypes` no parâmetro em Logs. CloudWatch
O registro em log de banco de dados fornece registros detalhados das solicitações feitas a uma instância do RDS. O PostgreSQL gera arquivos de log de eventos que contêm informações úteis para os administradores. A publicação desses registros no CloudWatch Logs centraliza o gerenciamento de registros e ajuda você a realizar análises em tempo real dos dados de registro. CloudWatch O Logs retém os registros em um armazenamento altamente durável. Você também pode criar alarmes e visualizar métricas noCloudWatch.
### Correção
*Para publicar registros CloudWatch da instância de banco de dados PostgreSQL no Logs, consulte [Publicação de logs do PostgreSQL no Amazon Logs no Guia do usuário do CloudWatch Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs) RDS.*
## [RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch
**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados Amazon Aurora PostgreSQL está configurado para publicar logs no Amazon Logs. CloudWatch O controle falhará se o cluster de banco de dados Aurora PostgreSQL não estiver configurado para publicar registros do PostgreSQL no Logs. CloudWatch
O registro em log de banco de dados fornece registros detalhados das solicitações feitas a um cluster do RDS. O PostgreSQL do Aurora gera arquivos de log de eventos que contêm informações úteis para os administradores. A publicação desses registros no CloudWatch Logs centraliza o gerenciamento de registros e ajuda você a realizar análises em tempo real dos dados de registro. CloudWatch O Logs retém os registros em um armazenamento altamente durável. Você também pode criar alarmes e visualizar métricas no CloudWatch.
### Correção
*Para publicar registros do cluster de banco de dados Aurora PostgreSQL no Logs, CloudWatch consulte Publicação de logs do Aurora [PostgreSQL no Amazon Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html) no Guia do usuário do Amazon RDS. CloudWatch *
## [RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se uma conexão com uma instância Amazon RDS for PostgreSQL de banco de dados (DB) está criptografada em trânsito. O controle falhará se o parâmetro `rds.force_ssl` do grupo de parâmetros associado à instância estiver definido como `0` (desativado). Esse controle não avalia instâncias de banco de dados do RDS que façam parte de um cluster.
Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.
### Correção
Para exigir que todas as conexões com sua instância de banco de dados do RDS para PostgreSQL usem SSL, consulte [USo de SSL com uma instância de banco de dados do PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html) no *Guia do usuário do Amazon RDS*.
## [RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se uma conexão com uma instância Amazon RDS for MySQL de banco de dados (DB) está criptografada em trânsito. O controle falhará se o parâmetro `rds.require_secure_transport` do grupo de parâmetros associado à instância estiver definido como `0` (desativado). Esse controle não avalia instâncias de banco de dados do RDS que façam parte de um cluster.
Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.
### Correção
Para exigir que todas as conexões com sua instância de banco de dados do RDS para MySQL usem SSL, consulte [Suporte de SSL/TLS para instâncias de banco de dados do MySQL no Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html) no *Guia do usuário do Amazon RDS*.
## [RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (10), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `logTypes` | Uma lista dos tipos de registros que uma instância de banco de dados do RDS para SQL Server deve ser configurada para publicar no CloudWatch Logs. Esse controle falhará se uma instância de banco de dados não estiver configurada para publicar um tipo de log especificado na lista. | EnumList (máximo de 2 itens) | `agent`, `error` | `agent`, `error` |
Esse controle verifica se uma instância de banco de dados Amazon RDS for Microsoft SQL Server está configurada para publicar logs no CloudWatch Amazon Logs. O controle falhará se a instância de banco de dados do RDS for SQL Server não estiver configurada para publicar registros no CloudWatch Logs. Opcionalmente, é possível especificar os tipos de logs que uma instância de banco de dados deve ser configurada para publicar.
O registro em log de banco de dados fornece registros detalhados das solicitações feitas a uma instância de banco de dados do Amazon RDS. A publicação de registros no CloudWatch Logs centraliza o gerenciamento de registros e ajuda você a realizar análises em tempo real dos dados de log. CloudWatch O Logs retém os registros em um armazenamento altamente durável. Além disso, é possível usá-lo para criar alarmes para erros específicos que podem ocorrer, como reinicializações frequentes registradas em um log de erros. Da mesma forma, é possível criar alarmes para erros ou avisos registrados nos logs do agente do SQL Server relacionados aos trabalhos do agente do SQL.
### Correção
Para obter informações sobre a publicação de registros em CloudWatch Logs para uma instância de banco de dados RDS for SQL Server, consulte os arquivos de [log do banco de dados do Amazon RDS for Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html) no Guia do Usuário *do Amazon Relational* Database Service.
## [RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se uma conexão com uma instância do banco de dados do Amazon RDS para Microsoft SQL Server é criptografada em trânsito. O controle falhará se o parâmetro `rds.force_ssl` do grupo de parâmetros associado à instância de banco de dados estiver definido como `0 (off)`.
Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós de um cluster de banco de dados ou entre um cluster de banco de dados e uma aplicação do cliente. Os dados podem se mover ao longo da Internet ou dentro de uma rede privada. Criptografar dados em trânsito reduz o risco de usuários não autorizados espionarem o tráfego da rede.
### Correção
Para obter informações sobre como habilitar SSL/TLS conexões com instâncias de banco de dados do Amazon RDS executando o Microsoft SQL Server, consulte Como [usar SSL com uma instância de banco de dados Microsoft SQL Server no Guia](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html) do usuário do *Amazon Relational Database Service*.
## [RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), (10) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `logTypes` | Uma lista dos tipos de registros que uma instância de banco de dados MariaDB deve ser configurada para publicar no Logs. CloudWatch O controle gerará uma descoberta `FAILED` se uma instância de banco de dados não estiver configurada para publicar um tipo de log especificado na lista. | EnumList (máximo de 4 itens) | `audit`, `error`, `general`, `slowquery` | `audit, error` |
Esse controle verifica se uma instância de banco de dados Amazon RDS for MariaDB está configurada para publicar determinados tipos de registros no Amazon Logs. CloudWatch O controle falhará se a instância de banco de dados MariaDB não estiver configurada para publicar os registros no Logs. CloudWatch Opcionalmente, é possível especificar que tipos de logs uma instância de banco de dados do MariaDB deve ser configurada para publicar.
O registro em log de banco de dados fornece registros detalhados das solicitações feitas a uma instância de banco de dados do Amazon RDS para MariaDB. A publicação de registros no Amazon CloudWatch Logs centraliza o gerenciamento de registros e ajuda você a realizar análises em tempo real dos dados de log. Além disso, o CloudWatch Logs retém os registros em um armazenamento durável, que pode oferecer suporte a análises e auditorias de segurança, acesso e disponibilidade. Com o CloudWatch Logs, você também pode criar alarmes e analisar métricas.
### Correção
*Para obter informações sobre como configurar uma instância de banco de dados Amazon RDS for MariaDB para publicar registros no Amazon Logs, consulte [Publicação de registros do MariaDB no CloudWatch Amazon Logs no Guia do usuário CloudWatch do Amazon Relational Database](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html) Service.*
## [RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBProxy`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um proxy de banco de dados do Amazon RDS exige TLS para todas as conexões entre o proxy e a instância de banco de dados subjacente do RDS. O controle falhará se o proxy não exigir TLS para todas as conexões entre o proxy e a instância de banco de dados do RDS.
O Amazon RDS Proxy pode atuar como uma camada adicional de segurança entre aplicações do cliente e as instâncias de banco de dados do RDS subjacentes. Por exemplo, é possível se conectar ao proxy do RDS usando o TLS 1.3, mesmo que a instância de banco de dados subjacente ofereça suporte a uma versão mais antiga do TLS. Usando o RDS Proxy, é possível aplicar requisitos de autenticação fortes para aplicações de banco de dados.
### Correção
Para obter informações sobre como alterar as configurações de um Amazon RDS Proxy para exigir TLS, consulte [Modificação de um proxy do RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html) no *Guia do usuário do Amazon Relational Database Service*.
## [RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se as conexões a uma instância do banco de dados do Amazon RDS para MariaDB são criptografadas em trânsito. O controle falhará se o grupo de parâmetros de banco de dados associado à instância de banco de dados não estiver em sincronia, ou se o parâmetro `require_secure_transport` do grupo de parâmetros não estiver definido como `ON`.
**nota**
Esse controle não avalia instâncias de banco de dados do Amazon RDS que usem versões do MariaDB anteriores à versão 10.5. Há suporte para o parâmetro `require_secure_transport` somente no MariaDB versão 10.5 e posteriores.
Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós de um cluster de banco de dados ou entre um cluster de banco de dados e uma aplicação do cliente. Os dados podem se mover ao longo da Internet ou dentro de uma rede privada. Criptografar dados em trânsito reduz o risco de usuários não autorizados espionarem o tráfego da rede.
### Correção
*Para obter informações sobre como habilitar SSL/TLS conexões com uma instância de banco de dados Amazon RDS for MariaDB[, SSL/TLS consulte Exigindo todas as conexões com uma instância de banco de dados MariaDB no Guia do usuário do Amazon Relational](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html) Database Service.*
## [RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados Amazon Aurora MySQL tem o log de auditoria habilitado. O controle falhará se o grupo de parâmetros de banco de dados associado ao cluster de banco de dados não estiver em sincronia, se o parâmetro `server_audit_logging` não estiver definido como `1` ou se o parâmetro `server_audit_events` estiver definido como um valor vazio.
Os logs de bancos de dados podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. Os logs de auditoria capturam um registro da atividade do banco de dados, incluindo tentativas de login, modificações de dados, alterações de esquema e outros eventos que podem ser auditados para fins de segurança e conformidade.
### Correção
*Para obter informações sobre como habilitar o registro em log para um cluster de banco de dados Amazon Aurora MySQL, consulte Publicação de registros do [Amazon Aurora MySQL no Amazon Logs CloudWatch no Guia do usuário do Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) Aurora.*
## [RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:** `AWS::RDS::DBInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se uma instância de banco de dados do Amazon RDS é implantada em uma sub-rede pública que tenha uma rota para um gateway da Internet. O controle falhará se a instância de banco de dados do RDS for implantada em uma sub-rede que tenha uma rota para um gateway da Internet e o destino for definido como `0.0.0.0/0` ou `::/0`.
Ao provisionar seus recursos do Amazon RDS em sub-redes privadas, é possível impedir que seus recursos do RDS recebam tráfego de entrada da Internet pública, o que pode impedir o acesso não intencional às suas instâncias de banco de dados do RDS. Se os recursos do RDS forem provisionados em uma sub-rede pública aberta à Internet, eles poderão estar vulneráveis a riscos como a exfiltração de dados.
### Correção
Para obter informações sobre o provisionamento de uma sub-rede privada para uma instância de banco de dados do Amazon RDS, consulte [Trabalho com uma instância de banco de dados em uma VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html) no *Guia do usuário do Amazon Relational Database Service*.
## [RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados do Amazon RDS para PostgreSQL está configurado para copiar automaticamente tags para snapshots do cluster de banco de dados quando os snapshots são criados. O controle falhará se o parâmetro `CopyTagsToSnapshot` for definido como `false` para o cluster de banco de dados do RDS para PostgreSQL.
A cópia de tags para snapshots de banco de dados ajuda a manter o controle adequado de recursos, a governança e a alocação de custos entre os recursos de backup. Isso permite a identificação consistente de recursos, controle de acesso e monitoramento de conformidade em bancos de dados ativos e seus snapshots. Os snapshots devidamente marcados com tags melhoram as operações de segurança ao garantir que os recursos de backup herdem os mesmos metadados dos bancos de dados de origem.
### Correção
Para obter informações sobre como configurar um cluster de banco de dados do Amazon RDS para PostgreSQL para copiar automaticamente tags para snapshots de banco de dados, consulte [Aplicação de tags em recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon Relational Database Service*.
## [RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster de banco de dados do Amazon RDS para MySQL está configurado para copiar automaticamente tags para snapshots do cluster de banco de dados quando os snapshots são criados. O controle falhará se o parâmetro `CopyTagsToSnapshot` for definido como `false` para o cluster de banco de dados do RDS para MySQL.
A cópia de tags para snapshots de banco de dados ajuda a manter o controle adequado de recursos, a governança e a alocação de custos entre os recursos de backup. Isso permite a identificação consistente de recursos, controle de acesso e monitoramento de conformidade em bancos de dados ativos e seus snapshots. Os snapshots devidamente marcados com tags melhoram as operações de segurança ao garantir que os recursos de backup herdem os mesmos metadados dos bancos de dados de origem.
### Correção
Para obter informações sobre como configurar um cluster de banco de dados do Amazon RDS para MySQL para copiar automaticamente tags para snapshots de banco de dados, consulte [Aplicação de tags em recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon Relational Database Service*.
## [RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido
**Categoria:** Recuperação > Resiliência > Backups ativados
**Gravidade:** média
**Tipo de recurso:** `AWS::RDS::DBCluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | O período mínimo de retenção de backup em dias para verificação do controle | Inteiro | `7` para `35` | `7` |
Esse controle verifica se um cluster de banco de dados do RDS tem um período mínimo de retenção de backup. O controle falhará se o período de retenção do backup for menor que o valor do parâmetro especificado. A menos que você forneça um valor de parâmetro personalizado, o Security Hub usa um valor padrão de 7 dias.
Esse controle verifica se um cluster de banco de dados do RDS tem um período mínimo de retenção de backup. O controle falhará se o período de retenção do backup for menor que o valor do parâmetro especificado. A menos que você forneça um valor de parâmetro do cliente, o Security Hub usa um valor padrão de 7 dias. Esse controle se aplica a todos os tipos de clusters de banco de dados do RDS, incluindo cluster de banco de dados Aurora, clusters DocumentDB, clusters NeptuneDB etc.
### Correção
Para configurar o período de retenção de backup para um cluster de banco de dados do RDS, modifique as configurações do cluster e defina o período de retenção de backup para pelo menos 7 dias (ou o valor especificado no parâmetro de controle). Para obter instruções detalhadas, consulte [Período de retenção de backup](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html) no Guia do *usuário do Amazon Relational Database Service*. Para clusters de banco de dados Aurora, consulte [Visão geral do backup e restauração de um cluster de banco de dados Aurora no Guia do usuário do Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html) para *Aurora*. Para outros tipos de clusters de banco de dados (por exemplo, clusters DocumentDB), consulte o guia do usuário do serviço correspondente para saber como atualizar o período de retenção de backup do cluster.
# Controles de CSPM do Security Hub para Amazon Redshift
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Redshift. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os clusters Amazon Redshift estão acessíveis publicamente. Ele avalia o campo `PubliclyAccessible` no item de configuração do cluster.
O atributo `PubliclyAccessible` da configuração do cluster do Amazon Redshift indica se o cluster está acessível publicamente. Quando um cluster é configurado com `PubliclyAccessible` em `true`, ele será uma instância voltada para a Internet com um nome de DNS que pode ser resolvido publicamente, resultando em um endereço IP público.
Se um cluster não for acessível publicamente, ele será uma instância interna com um nome de DNS que é resolvido para um endereço IP privado. A menos que você pretenda que seu cluster seja acessível publicamente, o cluster não deve ser configurado com `PubliclyAccessible` definido como `true`.
### Correção
Para atualizar um cluster do Amazon Redshift para desativar o acesso público, consulte [Modificar um cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) no *Guia de gerenciamento do Amazon Redshift*. Defina **Acessível ao público** como **Sim**.
## [Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as conexões com os clusters do Amazon Redshift são necessárias para usar criptografia em trânsito. A verificação falhará se o parâmetro de cluster do Amazon Redshift `require_SSL` não estiver definido como `True`.
O TLS pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas via TLS devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS.
### Correção
Para atualizar um grupo de parâmetros do Amazon Redshift para exigir criptografia, consulte [Modificar um grupo de parâmetros](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) no *Guia de gerenciamento do Amazon Redshift*. Defina `require_ssl` como **verdadeiro**.
## [Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Backups ativados
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `MinRetentionPeriod` | Período mínimo de retenção de snapshot em dias | Inteiro | `7` para `35` | `7` |
Esse controle verifica se um cluster do Amazon Redshift tem snapshots automatizados habilitados e um período de retenção maior ou igual ao período de tempo especificado. O controle falhará se os snapshots automatizados não estiverem habilitados para o cluster, ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do snapshot, o Security Hub CSPM usa um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. O Amazon Redshift faz snapshots periódicos por padrão. Esse controle verifica se os snapshots automáticos estão habilitados e retidos por pelo menos sete dias. Para obter mais detalhes sobre os snapshots automatizados do Amazon Redshift, consulte [snapshots automatizados](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) no *Guia de gerenciamento do Amazon Redshift*.
### Correção
Para atualizar o período de retenção de snapshots para um cluster do Amazon Redshift, consulte [Modificar um cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) no *Guia de gerenciamento do Amazon Redshift*. Em **Backup**, defina **Retenção de snapshots** para um valor de 7 ou mais.
## [Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**AWS Config regra:** `redshift-cluster-audit-logging-enabled` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon Redshift tem log de auditoria habilitado.
O registro em log de auditoria do Amazon Redshift fornece informações adicionais sobre conexões e atividades do usuário em seu cluster. Esses dados podem ser armazenados e protegidos no Amazon S3 e podem ser úteis em auditorias e investigações de segurança. Para obter mais informações, consulte [Registros em logo de auditoria de bancos de dados](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) no *Guia de gerenciamento do Amazon Redshift*.
### Correção
Para configurar o registro de auditoria para um cluster do Amazon Redshift, consulte [Configurar auditoria usando o console](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `allowVersionUpgrade = true` (não personalizável)
Esse controle verifica se as atualizações automáticas de versões principais estão habilitadas para o cluster do Amazon Redshift.
A ativação de atualizações automáticas de versões principais garante que as atualizações mais recentes da versão principal dos clusters do Amazon Redshift sejam instaladas durante a janela de manutenção. Essas atualizações podem incluir patches de segurança e correções de erros. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas.
### Correção
Para corrigir esse problema a partir do AWS CLI, use o comando Amazon `modify-cluster` Redshift e `--allow-version-upgrade` defina o atributo. `clustername`é o nome do seu cluster do Amazon Redshift.
```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```
## [Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Categoria:** Proteger > Configuração de rede segura > Acesso privado a API
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon Redshift foi `EnhancedVpcRouting` ativado.
O roteamento aprimorado de VPC força todo o tráfego `COPY` e `UNLOAD` entre o cluster e os repositórios de dados a passar pela sua VPC. Em seguida, você pode usar recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego da rede. Também é possível usar logs de fluxo da VPC para monitorar o tráfego de rede.
### Correção
Para obter instruções detalhadas de correção, consulte [Ativar roteamento aprimorado de VPC](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Identificar > Configuração de recursos
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon Redshift alterou o nome de usuário do administrador de seu valor padrão. Esse controle falhará se o nome de usuário do administrador de um cluster do Redshift estiver definido como `awsuser`
Ao criar um cluster do Redshift, é necessário alterar o nome de usuário do administrador padrão para um valor exclusivo. Os nomes de usuário padrão são de conhecimento público e devem ser alterados na configuração. Alterar os nomes de usuário padrão reduz o risco de acesso não intencional.
### Correção
Você não pode alterar o nome de usuário do administrador do cluster do Amazon Redshift depois que ele é criado. Para criar um novo cluster com um nome de usuário não padrão, consulte [Etapa 1: Criar uma amostra de cluster do Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) no *Guia de conceitos básicos do Amazon Redshift*.
## [Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os clusters do Amazon Redshift estão criptografados em repouso. O controle falhará se um cluster do Redshift não for criptografado em repouso ou se a chave de criptografia for diferente da chave fornecida no parâmetro da regra.
No Amazon Redshift, é possível ativar a criptografia de banco de dados para seus clusters para ajudar a proteger os dados em repouso. Quando você ativar a criptografia de um cluster, os blocos de dados e os metadados do sistema serão criptografados para o cluster e os respectivos snapshots. A criptografia de dados em repouso é uma prática recomendada, pois ela adiciona uma camada de gerenciamento de acesso aos seus dados. Criptografar clusters Redshift em repouso reduz o risco de um usuário não autenticado ter acesso aos dados armazenados em disco.
### Correção
Para modificar um cluster do Redshift para usar a criptografia KMS, consulte [Alterar criptografia do cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.11] Os clusters do Redshift devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Redshift::Cluster`
**AWS Config regra:** `tagged-redshift-cluster` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um cluster do Redshift, consulte [Marcar recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.12] As notificações de assinatura de notificações eventos do Redshift devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Redshift::EventSubscription`
**AWS Config regra:** `tagged-redshift-eventsubscription` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um snapshop de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o snapshot de cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
*Para adicionar tags a uma assinatura de notificação de eventos do Redshift, consulte [Marcar recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no Guia de gerenciamento do Amazon Redshift*.
## [Redshift.13] Os snapshots de cluster do Redshift devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Redshift::ClusterSnapshot`
**AWS Config regra:** `tagged-redshift-clustersnapshot` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um snapshop de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o snapshot de cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um snapshot de cluster do Redshift, consulte [Marcar recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.14] Os grupos de sub-redes de cluster do Redshift devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Redshift::ClusterSubnetGroup`
**AWS Config regra:** `tagged-redshift-clustersubnetgroup` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se o grupo de sub-redes de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o grupo de sub-redes de cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de sub-redes de cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um grupo de sub-redes de cluster do Redshift, consulte [Marcar recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas
**Requisitos relacionados:** PCI DSS v4.0.1/1.3.1
**Categoria:** Proteger > Configuração de rede segura > Configuração do grupo de segurança
**Gravidade:** alta
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um grupo de segurança associado a um cluster do Amazon Redshift tem regras de entrada que permitem acesso à porta do cluster pela Internet (0.0.0.0/0 ou :/0). O controle falhará se as regras de entrada do grupo de segurança permitirem o acesso à porta do cluster pela Internet.
Permitir acesso de entrada irrestrito à porta de cluster do Redshift (endereço IP com sufixo /0) pode resultar em acesso não autorizado ou incidentes de segurança. Recomendamos aplicar o princípio de acesso com privilégio mínimo ao criar grupos de segurança e configurar regras de entrada.
### Correção
Para restringir a entrada na porta do cluster Redshift a origens restritas, consulte [Trabalhar com regras de grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) no *Guia do usuário da Amazon VPC*. Atualize as regras nas quais o intervalo de portas corresponda à porta do cluster do Redshift e o intervalo de portas IP seja 0.0.0.0/0.
## [Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::ClusterSubnetGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
O controle verifica se um grupo de sub-redes de cluster do Amazon Redshift tem sub-redes de mais de uma zona de disponibilidade (AZ). O controle falhará se o grupo de sub-redes do cluster não tiver sub-redes de pelo menos duas diferentes. AZs
A configuração de sub-redes em várias AZs ajuda a garantir que seu data warehouse do Redshift possa continuar operando mesmo quando ocorrerem eventos de falha.
### Correção
*Para modificar um grupo de sub-redes de cluster do Redshift para abranger vários AZs, consulte [Modificação de um grupo de sub-redes de cluster no Guia de gerenciamento do](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html) Amazon Redshift.*
## [Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Redshift::ClusterParameterGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se o grupo de parâmetros de cluster do Amazon Redshift tem as chaves de tags especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se o grupo de parâmetros não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de parâmetros não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre a adição de tags a um grupo de parâmetros de cluster do Redshift, consulte [Aplicação de tags em recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as implantações de várias zonas de disponibilidade (multi-AZ) estão habilitadas para um cluster do Amazon Redshift. O controle falhará se as implantações multi-AZ não estiverem habilitadas para um cluster do Amazon Redshift.
O Amazon Redshift oferece suporte a implantações de várias zonas de disponibilidade (multi-AZ) para clusters provisionados. Se as implantações multi-AZ estiverem habilitadas, um data warehouse do Amazon Redshift pode continuar operando em cenários de falha nos quais um evento inesperado acontece em uma zona de disponibilidade (AZ). Uma implantação multi-AZ implanta recursos computacionais em mais de uma AZ, e esses recursos computacionais podem ser acessados por meio de um único endpoint. Em caso de falha de uma AZ inteira, os recursos computacionais restantes na outra AZ permanecem disponíveis para continuar processando workloads. É possível converter um data warehouse single-AZ existente em um data warehouse multi-AZ. Recursos computacionais adicionais são então provisionados em uma segunda AZ.
### Correção
Para obter informações sobre como configurar implantações multi-AZ para um cluster do Amazon Redshift, consulte [Conversão de um data warehouse single-AZ em um data warehouse multi-AZ](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html) no *Guia de gerenciamento do Amazon Redshift*.
# Controles CSPM do Security Hub para Amazon Redshift Serverless
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Redshift Serverless. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado
**Categoria:** Proteger > Configuração de rede segura > Recursos na VPC
**Gravidade:** alta
**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o roteamento de VPC aprimorado está habilitado para um grupo de trabalho do Amazon Redshift sem servidor. O controle falhará se o roteamento de VPC aprimorado for desabilitado para o grupo de trabalho.
Se o roteamento de VPC aprimorado for desativado para um grupo de trabalho sem servidor do Amazon Redshift, o Amazon Redshift roteará o tráfego pela Internet, incluindo tráfego para outros serviços dentro da rede. AWS Se você habilitar o roteamento de VPC aprimorado para um grupo de trabalho, o Amazon Redshift forçará todo o tráfego de `COPY` e `UNLOAD` entre seu cluster e seus repositórios de dados através da sua nuvem privada virtual (VPC) com base no serviço da Amazon VPC. Com o roteamento de VPC aprimorado, é possível usar recursos de VPC padrão para controlar o fluxo de dados entre seu cluster do Amazon Redshift e outros recursos. Isso inclui recursos como grupos de segurança de VPC e políticas de endpoint, listas de controle de acesso à rede (ACLs) e servidores DNS (Sistema de Nomes de Domínio). Também é possível usar os logs de fluxo da VPC para monitorar o tráfego de `COPY` e `UNLOAD`.
### Correção
Para obter mais informações sobre o roteamento de VPC aprimorado e como habilitá-lo para um grupo de trabalho, consulte [Controle do tráfego de rede com o roteamento de VPC aprimorado do Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) no *Guia de gerenciamento do Amazon Redshift*.
## [RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se as conexões com um grupo de trabalho do Amazon Redshift sem servidor são obrigadas a criptografar dados em trânsito. O controle falhará se o parâmetro `require_ssl` da configuração do grupo de trabalho estiver definido como `false`.
Um grupo de trabalho sem servidor do Amazon Redshift é uma coleção de recursos computacionais que agrupa recursos computacionais, como grupos de sub-redes RPUs VPC e grupos de segurança. As propriedades de um grupo de trabalho incluem configurações de rede e segurança. Essas configurações especificam se as conexões com um grupo de trabalho devem ser obrigadas a usar SSL para criptografar dados em trânsito.
### Correção
Para obter informações sobre como atualizar as configurações de um grupo de trabalho do Amazon Redshift sem servidor para exigir conexões de SSL, consulte [Conexão com o Amazon Redshift sem servidor](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html) no *Guia de gerenciamento do Amazon Redshift*.
## [RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o acesso público está desabilitado para um grupo de trabalho do Amazon Redshift sem servidor. Ele avalia a propriedade `publiclyAccessible` de um grupo de trabalho do Redshift sem servidor. O controle falhará se o acesso público estiver habilitado (`true`) para o grupo de trabalho.
A configuração de acesso público (`publiclyAccessible`) de um grupo de trabalho do Amazon Redshift sem servidor especifica se o grupo de trabalho pode ser acessado a partir de uma rede pública. Se o acesso público estiver habilitado (`true`) para um grupo de trabalho, o Amazon Redshift cria um endereço IP elástico que torna o grupo de trabalho acessível publicamente de fora da VPC. Se você não quiser que um grupo de trabalho seja acessível ao público, desabilite o acesso público a ele.
### Correção
Para obter informações sobre como alterar a configuração de acesso público para um grupo de trabalho do Amazon Redshift sem servidor, consulte [Visualização das propriedades de um grupo de trabalho](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html) no *Guia de gerenciamento do Amazon Redshift*.
## [RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys
**Requisitos relacionados:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Uma lista de nomes de recursos da Amazon (ARNs) AWS KMS keys a serem incluídos na avaliação. O controle gerará uma descoberta `FAILED` se um namespace do Redshift sem servidor não estiver criptografado com uma chave do KMS na lista. | StringList (máximo de 3 itens) | 1—3 ARNs das chaves KMS existentes. Por exemplo: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`. | Nenhum valor padrão |
Esse controle verifica se um namespace do Amazon Redshift sem servidor é criptografado em repouso com uma AWS KMS key gerenciada pelo cliente. O controle falhará se o namespace Redshift sem servidor não for criptografado com uma chave do KMS gerenciada pelo cliente. Opcionalmente, é possível especificar uma lista de chaves do KMS para o controle incluir na avaliação.
No Amazon Redshift Serverless, um namespace define um contêiner lógico para objetos de banco de dados. Esse controle verifica periodicamente se as configurações de criptografia de um namespace especificam uma chave KMS gerenciada pelo cliente AWS KMS key, em vez de uma chave AWS gerenciada do KMS, para criptografia de dados no namespace. Com uma chave do KMS gerenciada pelo cliente, você tem controle total sobre a chave. Isso inclui definir e manter a política de chaves, gerenciar concessões, alternar material criptográfico, atribuir tags, criar aliases e habilitar e desabilitar a chave.
### Correção
*Para obter informações sobre a atualização das configurações de criptografia de um namespace sem servidor do Amazon Redshift e a especificação de um cliente gerenciado AWS KMS key, consulte [Alteração de um AWS KMS key namespace no Guia de gerenciamento do](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) Amazon Redshift.*
## [RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão
**Categoria:** Identificar > Configuração de recursos
**Gravidade:** média
**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o nome de usuário do administrador de um namespace Amazon Redshift sem servidor é o nome de usuário padrão do administrador, `admin`. O controle falhará se o nome de usuário do administrador do namespace Redshift sem servidor for `admin`.
Ao criar um namespace do Amazon Redshift sem servidor, é necessário especificar um nome de usuário de administrador personalizado para o namespace. O nome de usuário padrão do administrador é de conhecimento público. Ao especificar um nome de usuário de administrador personalizado, é possível, por exemplo, ajudar a reduzir o risco ou a eficácia dos ataques de força bruta contra o namespace.
### Correção
É possível alterar o nome de usuário do administrador de um namespace do Amazon Redshift sem servidor usando o console ou a API do Amazon Redshift sem servidor. Para alterá-lo usando o console, escolha a configuração do namespace e escolha **Editar credenciais do administrador** no menu **Ações**. Para alterá-la programaticamente, use a [UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)operação ou, se estiver usando a AWS CLI, execute o comando [update-namespace](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html). Se você alterar o nome de usuário do administrador, também deverá alterar a senha do administrador ao mesmo tempo.
## [RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um namespace Amazon Redshift Serverless está configurado para exportar registros de conexão e usuário para o Amazon Logs. CloudWatch O controle falhará se o namespace Redshift Serverless não estiver configurado para exportar os registros para o Logs. CloudWatch
Se você configurar o Amazon Redshift Serverless para exportar dados de log de conexão (`connectionlog`) e log de usuário (`userlog`) para um grupo de log no Amazon CloudWatch Logs, poderá coletar e armazenar seus registros de log em armazenamento durável, que pode oferecer suporte a análises e auditorias de segurança, acesso e disponibilidade. Com o CloudWatch Logs, você também pode realizar análises em tempo real dos dados de registro e usá-los CloudWatch para criar alarmes e analisar métricas.
### Correção
Para exportar dados de log de um namespace Amazon Redshift Serverless para o Amazon CloudWatch Logs, os respectivos logs devem ser selecionados para exportação nas configurações de registro de auditoria do namespace. Para obter informações sobre a atualização dessas configurações, consulte [Edição de segurança e criptografia](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html) no *Guia de gerenciamento do Amazon Redshift*.
# Controles CSPM do Security Hub para o Route 53
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Route 53.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [Route53.1] As verificações de integridade do Route 53 devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Route53::HealthCheck`
**AWS Config regra:** `tagged-route53-healthcheck` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma verificação de integridade do Amazon Route 53 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a verificação de integridade não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a verificação de integridade não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma verificação de integridade do Route 53, consulte [Nomear e adicionar tags às verificações de integridade](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html) no *Guia do desenvolvedor do Amazon Route 53*.
## [Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::Route53::HostedZone`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o registro de consultas ao DNS está habilitado para uma zona hospedada pública do Amazon Route 53. Esse controle verifica se o registro de consultas ao DNS não estiver habilitado para uma zona hospedada pública do Route 53.
O registro em log de consultas ao DNS para uma zona hospedada do Route 53 atende aos requisitos de segurança e conformidade do DNS e concede visibilidade. Os logs incluem informações como o domínio ou o subdomínio que foi consultado, a data e hora da consulta, o tipo de registro DNS (por exemplo, A ou AAAA) e o código de resposta do DNS (por exemplo, `NoError` ou `ServFail`). Quando o registro de consultas DNS está ativado, o Route 53 publica os arquivos de log no Amazon CloudWatch Logs.
### Correção
Para registrar consultas ao DNS para zonas hospedadas públicas do Route 53, consulte [Configurar registros em log para consultas ao DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring) no *Guia do desenvolvedor do Amazon Route 53*.
# Controles CSPM do Security Hub para Amazon S3
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Simple Storage Service (Amazon S3). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20), (21), (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AC-3, PCI AWS DSS v3.2.1/1.2.1 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 PCI DSS v3.2.1/1.2.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html)
**Tipo de programação:** Periódico
**Parâmetros:**
+ `ignorePublicAcls`: `true` (não personalizável)
+ `blockPublicPolicy`: `true` (não personalizável)
+ `blockPublicAcls`: `true` (não personalizável)
+ `restrictPublicBuckets`: `true` (não personalizável)
Esse controle verifica se as configurações anteriores de bloqueio de acesso público do Amazon S3 estão configuradas ao nível da conta para o bucket de uso geral do S3. O controle falhará se uma ou mais configurações de bloqueio de acesso público estiverem definidas como `false`.
O controle falhará se alguma das configurações estiver definida como `false` ou se alguma das configurações não estiver definida.
O bloco de acesso público do Amazon S3 foi projetado para fornecer controles em um nível de bucket S3 inteiro Conta da AWS ou individual para garantir que os objetos nunca tenham acesso público. O acesso público é concedido a buckets e objetos por meio de listas de controle de acesso (ACLs), políticas de bucket ou ambas.
A menos que você queira que os buckets do S3 sejam acessíveis publicamente, configure o recurso Acesso público de bloco do Amazon S3 no nível da conta.
Para obter mais informações, consulte [Usar o bloqueio de acesso público do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) no *Guia do usuário do Amazon Simple Storage Service*.
### Correção
Para habilitar o Amazon S3 para bloquear o acesso público para você Conta da AWS, consulte [Definir configurações de bloqueio de acesso público para sua conta no Guia do usuário](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html) do *Amazon Simple Storage Service*.
## [S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16), (20), (21), (3), (4)) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** crítica
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)
**Tipo de programação:** periódico e acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um bucket de uso geral do Amazon S3 permite acesso público para leitura. Ele avalia as configurações de bloqueio de acesso público, a política do bucket e a lista de controle de acesso (ACL) do bucket. O controle falhará se o bucket permitir acesso público para leitura.
**nota**
Se um bucket do S3 tiver uma política de bucket, esse controle não avalia as condições da política que usam caracteres curinga ou variáveis. Para produzir uma descoberta `PASSED`, as condições na política de bucket devem usar somente valores fixos, que são valores que não contêm caracteres curinga ou variáveis de política. Para obter informações sobre as variáveis de política, consulte [Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do AWS Identity and Access Management *.
Alguns casos de uso exigem que todos na Internet possam ler a partir do bucket do S3. Entretanto, essas situações são raras. Para garantir a integridade e a segurança dos dados, o bucket do S3 não deve ser legível publicamente.
### Correção
Para bloqueio de acesso público para seu bucket S3 do Amazon S3, consulte [Configurar bloqueio do acesso público aos seus buckets S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) no *Guia do usuário do Amazon Simple Storage Service*.
## [S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, 1,, (7), (21),, (11), (16), (20)), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** crítica
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)
**Tipo de programação:** periódico e acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um bucket de uso geral do Amazon S3 permite acesso público para gravação. Ele avalia as configurações de bloqueio de acesso público, a política do bucket e a lista de controle de acesso (ACL) do bucket. O controle falhará se o bucket permitir acesso público para gravação.
**nota**
Se um bucket do S3 tiver uma política de bucket, esse controle não avalia as condições da política que usam caracteres curinga ou variáveis. Para produzir uma descoberta `PASSED`, as condições na política de bucket devem usar somente valores fixos, que são valores que não contêm caracteres curinga ou variáveis de política. Para obter informações sobre as variáveis de política, consulte [Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do AWS Identity and Access Management *.
Alguns casos de uso exigem que todos na Internet possam gravar no bucket do S3. Entretanto, essas situações são raras. Para garantir a integridade e a segurança dos dados, o bucket do S3 não deve ser gravável publicamente.
### Correção
Para bloqueio de gravação pública para seu bucket S3 do Amazon S3, consulte [Configurar bloqueio do acesso público aos seus buckets S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) no *Guia do usuário do Amazon Simple Storage Service*.
## [S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.1, CIS Foundations Benchmark v3.0.0/2.1.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, 7 (2),, (1), 2 (3), 3, 3, 3 (3), (4),, (1), (2), NIST.800-53.r5 NIST.800-53.r5 AC-1 SI-7 (6) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 NIST.800.800-53.r5 SI-7 (6), NIST.800-53.r5 SC-1 NIST.800.800-7 (6) NIST.800-53.r5 SC-1 -171.r2 NIST.800-53.r5 SC-2 3.13.8, NIST.800-53.r5 SC-2 NIST.800-171.r2 3.13.15, AWS PCI DSS v3.2.1/4.1 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um bucket de uso geral do Amazon S3 tem uma política que exige que as solicitações usem SSL. O controle falhará se a política do bucket não exigir que as solicitações usem SSL.
Os buckets do S3 devem ter políticas que exijam que todas as solicitações (`Action: S3:*`) aceitem somente a transmissão de dados por HTTPS na política de recursos do S3, indicada pela chave de condição `aws:SecureTransport`.
### Correção
Para atualizar uma política de bucket do Amazon S3 para negar transporte não seguro, consulte [Adicionar uma política de bucket usando o console do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) no *Guia do usuário do Amazon Simple Storage*.
Adicione uma declaração de política semelhante à da política a seguir. Substitua `amzn-s3-demo-bucket` pelo nome do bucket que você está modificando.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
Para obter mais informações, consulte [Qual política de bucket do S3 devo usar para cumprir a AWS Config regra s3-](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/)? bucket-ssl-requests-only no *Centro de Conhecimento AWS Oficial*.
## [S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.13.4
**Categoria:** Proteger > Gerenciamento de acesso seguro > Ações de operações de API confidenciais restritas
**Gravidade:** alta
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config**: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `blacklistedactionpatterns`: `s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl` (não personalizável)
Esse controle verifica se a política de bucket de uso geral do Amazon S3 impede que as entidades principais de outras Contas da AWS executem ações negadas em recursos de bucket do S3. O controle falhará se a política de bucket permitir alguma das ações anteriores para uma entidade principal em outra Conta da AWS.
A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto de erros ou usuários mal-intencionados. Se uma política de bucket do S3 permitir o acesso de contas externas, isso poderá resultar na exfiltração de dados por uma ameaça interna ou por um invasor.
O parâmetro `blacklistedactionpatterns` permite uma avaliação bem-sucedida da regra para buckets do S3. O parâmetro concede acesso a contas externas para padrões de ação que não estão incluídos na lista `blacklistedactionpatterns`.
### Correção
Para atualizar uma política de bucket do Amazon S3 para remover permissões, consulte [Adicionar uma política de bucket usando o console do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) no *Guia do usuário do Amazon Simple Storage Service*.
Na página **Editar política do bucket**, na caixa de texto de edição da política, execute uma das seguintes ações:
+ Remova as declarações que concedem a outras Contas da AWS acesso às ações negadas.
+ Remova as ações negadas permitidas das declarações.
## [S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões
**Requisitos relacionados:** PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST.800-53.r5 NIST.800-53.r5 SC-5 SI-13 (5)
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** baixa
**Tipo de recurso:** `AWS::S3::Bucket`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o bucket de uso geral do Amazon S3 tem a replicação entre regiões habilitada. O controle falhará se o bucket não tiver a replicação entre regiões habilitada.
A replicação é a cópia automática e assíncrona de objetos entre buckets iguais ou diferentes. Regiões da AWS A replicação copia os objetos recém-criados e as atualizações de objeto de um bucket de origem para um bucket de destino. As melhores práticas da AWS recomendam a replicação para os buckets de origem e destino que são propriedade da mesma Conta da AWS. Além da disponibilidade, é necessário considerar outras configurações de proteção de sistemas.
Esse controle produzirá uma descoberta `FAILED` para um bucket de destino de replicação se ele não tiver a replicação entre regiões habilitada. Se houver um motivo legítimo para o bucket de destino não precisar ter a replicação entre regiões habilitada, você poderá suprimir descobertas para esse bucket.
### Correção
Para habilitar a replicação entre regiões em um bucket do S3, consulte [Configurar a replicação para buckets de origem e destino pertencentes à mesma conta](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html) no *Guia do usuário do Amazon Simple Storage Service*. Em **Source bucket**, escolha **Aplicar a todos os objetos no bucket**.
## [S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.02.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso
**Gravidade:** alta
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `excludedPublicBuckets` (não personalizável): uma lista separada por vírgulas de nomes de buckets do S3 públicos permitidos conhecidos
Esse controle verifica se um bucket de uso geral do Amazon S3 permite acesso público ao nível do bucket. O controle falhará se alguma das seguintes configurações estiver definida como `false`:
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`
O bloqueio de acesso público no nível do bucket do S3 oferece controles para garantir que os objetos nunca tenham acesso público. O acesso público é concedido a buckets e objetos por meio de listas de controle de acesso (ACLs), políticas de bucket ou ambas.
A menos que você queira que os buckets do S3 sejam acessíveis publicamente, configure o recurso Bloqueio de acesso público do Amazon S3 no nível do bucket.
### Correção
Para obter informações sobre como remover o acesso público em um nível de bucket, consulte [Bloquear o acesso público ao seu armazenamento do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) no *Guia do usuário do Amazon S3*.
## [S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.3.8, PCI DSS v4.0.1/10.2.1
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o registro em log de acesso ao servidor está habilitado para buckets de uso geral do S3. Esse controle falhará se o registro em log de acesso ao servidor não estiver habilitado. Quando você habilita o registro em log, o Amazon S3 entrega logs de acesso a um bucket de origem ou de destino de sua escolha. O bucket de destino deve estar no Região da AWS mesmo bucket de origem e não deve ter um período de retenção padrão configurado. O bucket de registro em log de destino não precisa ter o registro em log de acesso ao servidor ativado, e é necessário suprimir as descobertas desse bucket.
O registro em log de acesso ao servidor fornece registros detalhados sobre as solicitações que são feitas a um bucket. Os logs de acesso ao servidor podem auxiliar nas auditorias de segurança e acesso. Para obter mais informações, consulte [Melhores práticas de segurança para o Amazon S3: Habilitar o registro em log de acesso ao servidor do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html).
### Correção
Para habilitar o registro em log de acesso ao servidor Amazon S3, consulte [Habilitar registro em log de acesso ao servidor do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html) no *Guia do usuário do Amazon S3*.
## [S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um bucket versionado de uso geral do Amazon S3 tem uma configuração de ciclo de vida. O controle falhará se o bucket não tiver uma configuração de ciclo de vida.
Recomendamos criar uma configuração de ciclo de vida para o bucket do S3 para ajudar a definir as ações que você deseja que o Amazon S3 execute durante a vida útil de um objeto.
### Correção
Para obter mais informações sobre como configurar o ciclo de vida em um bucket do Amazon S3, consulte [Definir a configuração do ciclo de vida em um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) e [Gerenciar seu ciclo de vida de armazenamento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html).
## [S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas
**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (4), Nist.800-171.r2 3.3.8
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `eventTypes` | Lista de tipos de eventos do S3 preferidos | EnumList (máximo de 28 itens) | `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent` | Nenhum valor padrão |
Esse controle verifica se as notificações de eventos do S3 estão habilitadas em um bucket de uso geral do Amazon S3. O controle falhará se as notificações de eventos do S3 não estiverem habilitadas no bucket. Se você fornecer valores personalizados para o parâmetro `eventTypes`, o controle será aprovado somente se as notificações de eventos estiverem habilitadas para os tipos de eventos especificados.
Quando habilita as notificações de eventos do S3, você recebe alertas quando ocorrem eventos específicos que afetam seus buckets do S3. Por exemplo, você pode ser notificado sobre a criação, remoção e restauração de objetos. Essas notificações podem alertar as equipes relevantes sobre modificações acidentais ou intencionais que podem levar ao acesso não autorizado aos dados.
### Correção
Para obter informações sobre a detecção de alterações em buckets e objetos do S3, consulte [Notificações de eventos do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html) no *Guia do usuário do Amazon S3*.
## [S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso
**Gravidade:** média
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um bucket de uso geral do Amazon S3 fornece permissões de usuário com uma lista de controle de acesso (ACL). O controle falhará se uma ACL estiver configurada para gerenciar o acesso de usuários nos buckets do S3.
ACLs são mecanismos legados de controle de acesso anteriores ao IAM. Em vez disso ACLs, recomendamos usar políticas de bucket do S3 ou políticas AWS Identity and Access Management (IAM) para gerenciar o acesso aos seus buckets do S3.
### Correção
Para passar esse controle, você deve desabilitar ACLs seus buckets do S3. Para obter instruções, consulte [Controle da propriedade de objetos e desativação ACLs do seu bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) no *Guia do usuário do Amazon Simple Storage Service*.
Para criar uma política de bucket do S3, consulte [Adicionar uma política de bucket usando o console do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html). Para criar uma política de usuário do IAM em um bucket do S3, consulte [Controle do acesso a um bucket com políticas de usuário](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions).
## [S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Proteger > Proteção de dados
**Gravidade:** baixa
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `targetTransitionDays` | Número de dias após a criação do objeto em que os objetos farão a transição para a classe de armazenamento especificada. | Inteiro | `1` para `36500` | Nenhum valor padrão |
| `targetExpirationDays` | Número de dias após a criação do objeto quando os objetos são excluídos. | Inteiro | `1` para `36500` | Nenhum valor padrão |
| `targetTransitionStorageClass` | Tipo de classe de armazenamento do S3 de destino | Enum | `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE` | Nenhum valor padrão |
Esse controle verifica se um bucket de uso geral do Amazon S3 tem uma configuração de ciclo de vida. O controle falhará se o bucket não tiver uma configuração de ciclo de vida. Se você fornecer valores personalizados para um ou mais dos parâmetros anteriores, o controle será aprovado somente se a política incluir a classe de armazenamento, o tempo de exclusão ou o tempo de transição especificados.
A criação de uma configuração de ciclo de vida para o bucket do S3 define as ações que você deseja que o Amazon S3 realize durante a vida útil de um objeto. Por exemplo, é possível fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período especificado.
### Correção
Para obter mais informações sobre como configurar políticas de ciclo de vida em um bucket do Amazon S3, consulte [Definir a configuração do ciclo de vida em um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) e [Gerenciar seu ciclo de vida de armazenamento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) no *Guia do usuário do Amazon S3*.
## [S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Requisitos relacionados:** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5), NIST.800-171.r2 3.3.8
**Gravidade:** baixa
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um bucket de uso geral do Amazon S3 tem o versionamento habilitado. O controle falhará se o versionamento for suspenso para o bucket.
O versionamento mantém diversas variantes de um objeto no mesmo bucket do S3. É possível usar o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do S3. O versionamento ajuda você a se recuperar de ações não intencionais de usuários e de falhas da aplicação.
**dica**
À medida que o número de objetos aumenta em um bucket devido ao versionamento, você pode definir uma configuração de ciclo de vida para arquivar ou excluir automaticamente objetos versionados com base em regras. Para obter mais informações, consulte o [Gerenciamento do ciclo de vida de objetos versionados no Amazon S3](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/).
### Correção
Para usar o versionamento em um bucket do S3, consulte [Habilitar o versionamento em buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) no *Guia do usuário do Amazon S3*.
## [S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Requisitos relacionados:** NIST.800-53.r5 CP-6(2), PCI DSS v4.0.1/10.5.1
**Gravidade:** média
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `mode` | Modo de retenção do Bloqueio de objetos do S3 | Enum | `GOVERNANCE`, `COMPLIANCE` | Nenhum valor padrão |
Esse controle verifica se um bucket de uso geral do Amazon S3 tem o Bloqueio de Objetos habilitado. O controle falhará se o Bloqueio de Objetos não estiver habilitado para o bucket. Se você fornecer um valor personalizado para o parâmetro `mode`, o controle passará somente se o Bloqueio de objetos do S3 usar o modo de retenção especificado.
Você pode usar o S3 Object Lock para armazenar objetos usando um modelo write-once-read-many (WORM). O bloqueio de objetos pode ajudar a evitar que os objetos em buckets S3 sejam excluídos ou substituídos por um período de tempo fixo ou indefinidamente. É possível usar o bloqueio de objetos do S3 para atender a requisitos regulamentares que exigem armazenamento WORM ou adicionar uma camada extra de proteção contra alterações e exclusões de objetos.
### Correção
Para configurar o Bloqueio de objetos para buckets do S3 novos e existentes, consulte [Configuração do Bloqueio de objetos do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) no *Guia do usuário do Amazon S3*.
## [S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Requisitos relacionados:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), (1), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6), NIST.800-53.r5 CA-9 NIST.800-53.r5 NIST.800-53.r5 SC-2 AU-9, NIST.800-171.r2 3.8.9, NIST.800-171.r2 3.13.11, NIST.800-171.r2 3.13.16, PCI DSS v4.0.1/3.5.1
**Gravidade:** média
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um bucket de uso geral do Amazon S3 está criptografado com um AWS KMS key (SSE-KMS ou DSSE-KMS). O controle falhará se o bucket do S3 for criptografado com a criptografia padrão (SSE-S3).
A criptografia do lado do servidor é a criptografia de dados em seu destino pela aplicação ou serviço que os recebe. A menos que você especifique o contrário, os buckets do S3 usam as chaves gerenciadas pelo Amazon S3 (SSE-S3) por padrão para a criptografia do lado do servidor. No entanto, para maior controle, você pode optar por configurar buckets para usar criptografia do lado do servidor (SSE-KMS ou DSSE-KMS AWS KMS keys ) em vez disso. O Amazon S3 criptografa seus dados no nível do objeto à medida que os grava em discos em AWS datacenters e os descriptografa para você quando você os acessa.
### Correção
*Para criptografar um bucket do S3 usando o SSE-KMS, consulte [Especificação da criptografia do lado do servidor com (SSE-KMS) no Guia do usuário do Amazon AWS KMS S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html).* *Para criptografar um bucket do S3 usando o DSSE-KMS, consulte [Especificação da criptografia de duas camadas no lado do servidor com ( AWS KMS keys DSSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html)) no Guia do usuário do Amazon S3.*
## [S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::S3::AccessPoint`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um ponto de acesso Amazon S3 tem configurações de bloqueio de acesso público habilitadas. O controle falhará se as configurações de bloqueio de acesso público não estiverem habilitadas para o ponto de acesso.
O recurso Bloqueio de acesso público do Amazon S3 ajuda você a gerenciar o acesso aos recursos do S3 em três níveis: conta, bucket e ponto de acesso. As configurações em cada nível podem ser definidas de forma independente, permitindo que você tenha diferentes níveis de restrições de acesso público aos seus dados. As configurações do ponto de acesso não podem substituir individualmente as configurações mais restritivas em níveis mais altos (nível da conta ou bucket atribuído ao ponto de acesso). Em vez disso, as configurações no nível do ponto de acesso são aditivas, o que significa que elas complementam e funcionam junto com as configurações nos outros níveis. A menos que você pretenda que um ponto de acesso do S3 seja publicamente acessível, será necessário habilitar as configurações de bloqueio de acesso público.
### Correção
Atualmente, o Amazon S3 não oferece suporte à alteração das configurações do bloqueio de acesso público após à criação de um ponto de acesso. Todas as configurações do bloqueio de acesso público são habilitadas por padrão quando você cria um novo pontos de acesso. Recomendamos que você mantenha todas as configurações ativadas, a menos que saiba que tem uma necessidade específica de desativar qualquer uma delas. Para obter mais informações, consulte [Gerenciamento do acesso público a pontos de acesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html) no *Guia do usuário do Amazon Simple Storage Service*.
## [S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.2, CIS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, (1), (2) AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Gravidade:** baixa
**Tipo de recurso:** `AWS::S3::Bucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a exclusão da autenticação multifator (MFA) está habilitada em um bucket de uso geral do Amazon S3. O controle falhará se a exclusão de MFA não estiver habilitada para o bucket. O controle não produzirá descobertas para buckets que tenham uma configuração de ciclo de vida.
Se você habilitar o versionamento para buckets de uso geral do S3, é possível, opcionalmente, adicionar outra camada de segurança configurando a exclusão de MFA para o bucket. Se você fizer isso, o proprietário do bucket precisará incluir dois formulários de autenticação em qualquer solicitação para excluir uma versão ou modificar o estado de versionamento do bucket. A exclusão de MFA oferece segurança adicional se, por exemplo, as credenciais de segurança do proprietário do bucket forem comprometidas. A exclusão de MFA também pode ajudar a evitar exclusões acidentais de buckets exigindo que o usuário que inicia a ação de exclusão para provar a posse física de um dispositivo de MFA com um código de MFA, o que adiciona uma camada extra de atrito e segurança à ação de exclusão.
**nota**
Esse controle só produzirá uma descoberta `PASSED` se a exclusão de MFA estiver habilitada para buckets de uso geral do S3. Para habilitar a exclusão de MFA para um bucket, o versionamento também deve ser habilitado para o bucket. O versionamento de buckets é um meio de armazenar diversas variantes de um objeto do S3 no mesmo bucket. Além disso, somente o proprietário do bucket que está conectado como usuário raiz pode habilitar a exclusão da MFA e realizar ações de exclusão no bucket. Não é possível usar a exclusão de MFA com um bucket que tenha uma configuração de ciclo de vida.
### Correção
Para obter informações sobre a habilitação do versionamento e a configuração da exclusão de MFA para um bucket do S3, consulte [Configuração da exclusão de MFA](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) no *Guia do usuário do Amazon Simple Storage Service*.
## [S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.8, CIS Foundations Benchmark v3.0.0/3.8, PCI AWS DSS v4.0.1/10.2.1
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se há pelo menos uma Conta da AWS trilha AWS CloudTrail multirregional que registra todos os eventos de dados de gravação para buckets do Amazon S3. O controle falhará se a conta não tiver nenhuma trilha multirregional que registre eventos de dados de gravação para buckets do S3.
As operações ao nível do objeto do S3, como `GetObject`, `DeleteObject` e `PutObject`, são denominadas eventos de dados. Por padrão, CloudTrail não registra eventos de dados, mas você pode configurar trilhas para registrar eventos de dados para buckets do S3. Quando você habilita registro em log ao nível do objeto, pode registrar em log o acesso de cada objeto (arquivo) individual em um bucket do S3. Habilitar o registro em nível de objeto pode ajudá-lo a atender aos requisitos de conformidade de dados, realizar análises de segurança abrangentes, monitorar padrões específicos de comportamento do usuário e agir sobre a atividade de API em nível de objeto em seus buckets do S3 usando o Amazon Events. Conta da AWS CloudWatch Esse controle produzirá uma descoberta `PASSED` se você configurar uma trilha multirregional que registre em log os eventos apenas de gravação ou todos os tipos de eventos de dados em todos os buckets do S3.
### Correção
Para habilitar o registro em nível de objeto para buckets do S3, consulte [Ativação do registro de CloudTrail eventos para buckets e objetos do S3 no](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) Guia do usuário do *Amazon* Simple Storage Service.
## [S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto
**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.9, CIS Foundations Benchmark v3.0.0/3.9, PCI AWS DSS v4.0.1/10.2.1
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se há pelo menos uma Conta da AWS trilha AWS CloudTrail multirregional que registra todos os eventos de dados lidos dos buckets do Amazon S3. O controle falhará se a conta não tiver nenhuma trilha multirregional que registre eventos de dados de leitura para buckets do S3.
As operações ao nível do objeto do S3, como `GetObject`, `DeleteObject` e `PutObject`, são denominadas eventos de dados. Por padrão, CloudTrail não registra eventos de dados, mas você pode configurar trilhas para registrar eventos de dados para buckets do S3. Quando você habilita o registro em log de eventos de dados de leitura ao nível do objeto, pode registrar em log o acesso de cada objeto (arquivo) individual em um bucket do S3. Habilitar o registro em nível de objeto pode ajudá-lo a atender aos requisitos de conformidade de dados, realizar análises de segurança abrangentes, monitorar padrões específicos de comportamento do usuário e agir sobre a atividade de API em nível de objeto em seus buckets do S3 usando o Amazon Events. Conta da AWS CloudWatch Esse controle produzirá uma descoberta `PASSED` se você configurar uma trilha multirregional que registre em log os eventos apenas de leitura ou todos os tipos de eventos de dados em todos os buckets do S3.
### Correção
Para habilitar o registro em nível de objeto para buckets do S3, consulte [Ativação do registro de CloudTrail eventos para buckets e objetos do S3 no](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) Guia do usuário do *Amazon* Simple Storage Service.
## [S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas
**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:** `AWS::S3::MultiRegionAccessPoint`
**AWS Config regra:** `s3-mrap-public-access-blocked` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um ponto de acesso multirregional do Amazon S3 tem configurações de bloqueio de acesso público habilitadas. O controle falhará quando o ponto de acesso multirregional não tiver as configurações de bloqueio de acesso público habilitadas.
Recursos publicamente acessíveis podem levar a acesso não autorizado, violações de dados ou exploração de vulnerabilidades. Restringir o acesso por meio de medidas de autenticação e autorização ajuda a proteger as informações confidenciais e a manter a integridade dos recursos.
### Correção
Por padrão, todas as configurações de bloqueio de acesso público são habilitadas para pontos de acesso multirregionais. Para obter mais informações, consulte [Bloqueio de acesso público de pontos de acesso multirregionais do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html) no *Guia do usuário do Amazon Simple Storage Service*. Você não pode alterar as configurações de bloqueio de acesso público de um ponto de acesso multirregional após a criação dele.
## [S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida
**Categoria:** Proteger > Proteção de dados
**Gravidade:** baixa
**Tipo de recurso:** `AWS::S3Express::DirectoryBucket`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `targetExpirationDays` | O número de dias, após a criação do objeto, em que os objetos devem expirar. | Inteiro | `1` para `2147483647` | Nenhum valor padrão |
Esse controle verifica se as regras de ciclo de vida estão configuradas para um bucket de diretório do S3. O controle falhará se as regras de ciclo de vida não estiverem configuradas para o bucket do diretório ou se uma regra de ciclo de vida para o bucket especificar configurações de expiração que não correspondam ao valor do parâmetro que você especificou opcionalmente.
No Amazon S3, uma configuração de ciclo de vida é um conjunto de regras que definem as ações aplicadas pelo Amazon S3 a um grupo de objetos em um bucket. Para um bucket de diretório do S3, é possível criar uma regra de ciclo de vida que especifique quando os objetos expiram com base na idade (em dias). Também é possível criar uma regra de ciclo de vida que exclua uploads incompletos de várias partes. Diferentemente de outros tipos de buckets do S3, como buckets de uso geral, os buckets de diretório não oferecem suporte a outros tipos de ações para regras de ciclo de vida, como a transição de objetos entre classes de armazenamento.
### Correção
Para definir uma configuração de ciclo de vida para um bucket de diretório do S3, crie uma regra de ciclo de vida para o bucket. Para obter informações, consulte [Criação e gerenciamento de uma configuração de ciclo de vida para um bucket de diretório](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html) no *Guia do usuário do Amazon Simple Storage Service*.
# Controles CSPM do Security Hub para IA SageMaker
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos de SageMaker IA da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** alta
**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o acesso direto à Internet está desativado para uma instância de notebook SageMaker AI. O controle falhará se o campo `DirectInternetAccess` estiver habilitado para a instância de notebook.
Se você configurar sua instância de SageMaker IA sem uma VPC, por padrão, o acesso direto à Internet será habilitado em sua instância. É necessário configurar sua instância com uma VPC e alterar a configuração padrão para **Desabilitar: acessar a Internet por meio de uma VPC**. Para treinar ou hospedar modelos a partir de um notebook, você precisa de acesso à Internet. Para habilitar o acesso à Internet, a VPC deve ter um endpoint de interface (AWS PrivateLink) ou um gateway de NAT e um grupo de segurança que permita conexões de saída. Para saber mais sobre como conectar uma instância de notebook a recursos em uma VPC, consulte [Conectar uma instância de notebook a recursos em uma VPC no *Amazon SageMaker * AI Developer](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) Guide. Você também deve garantir que o acesso à sua configuração de SageMaker IA seja limitado somente aos usuários autorizados. Restrinja as permissões do IAM que permitem que os usuários alterem as configurações e os recursos de SageMaker IA.
### Correção
Você não pode alterar a configuração do acesso à Internet depois de criar uma instância do notebook. Em vez disso, é possível parar, excluir e recriar a instância com acesso bloqueado à Internet. Para excluir uma instância de notebook que permite acesso direto à Internet, consulte [Usar instâncias de notebook para criar modelos: Limpeza](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) no *Amazon SageMaker AI Developer Guide*. Para recriar uma instância do notebook que nega o acesso à Internet, consulte [Criar uma instância do notebook](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). Em **Rede, Acesso direto à Internet**, escolha **Desabilitar: acessar a Internet por meio de uma VPC**.
## [SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Categoria:** Proteger > Configuração de rede segura > Recursos na VPC
**Gravidade:** alta
**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma instância de notebook Amazon SageMaker AI é executada em uma nuvem privada virtual (VPC) personalizada. Esse controle falhará se uma instância do notebook de SageMaker IA não for iniciada em uma VPC personalizada ou se for iniciada na VPC do serviço de SageMaker IA.
Sub-redes são intervalos de endereços IP em uma VPC. Recomendamos manter seus recursos dentro de uma VPC personalizada sempre que possível para garantir a proteção segura da rede de sua infraestrutura. Uma Amazon VPC é uma rede virtual dedicada à sua. Conta da AWS Com uma Amazon VPC, você pode controlar o acesso à rede e a conectividade com a Internet de suas instâncias de SageMaker AI Studio e notebook.
### Correção
Você não pode alterar a configuração da VPC depois de criar uma instância do notebook. Em vez disso, você pode parar, excluir e recriar a instância. Para obter instruções, consulte [Usar instâncias de notebook para criar modelos: Limpeza](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) no *Amazon SageMaker AI Developer Guide*.
## [SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
**Categoria:** Proteger > Gerenciamento de acesso seguro > Restrições de acesso do usuário raiz
**Gravidade:** alta
**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o acesso root está ativado para uma instância de notebook Amazon SageMaker AI. O controle falhará se o acesso root estiver ativado para uma instância de notebook de SageMaker IA.
Seguindo o princípio do privilégio mínimo, é uma prática recomendada de segurança restringir o acesso raiz aos recursos da instância para evitar o provisionamento excessivo involuntário de permissões.
### Correção
Para restringir o acesso root às instâncias do notebook SageMaker AI, consulte [Controlar o acesso root a uma instância do notebook SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) no *Amazon SageMaker AI Developer Guide*.
## [SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::EndpointConfig`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se as variantes de produção de um endpoint de SageMaker IA da Amazon têm uma contagem inicial de instâncias maior que 1. O controle falhará se as variantes de produção do endpoint tiverem apenas 1 instância inicial.
As variantes de produção executadas com uma contagem de instâncias maior que 1 permitem a redundância de instâncias Multi-AZ gerenciada pela IA. SageMaker A implantação de recursos em várias zonas de disponibilidade é uma prática AWS recomendada para fornecer alta disponibilidade em sua arquitetura. A alta disponibilidade ajuda você a se recuperar de incidentes de segurança.
**nota**
Esse controle se aplica somente à configuração de endpoint baseada na instância.
### Correção
Para obter mais informações sobre os parâmetros da configuração do endpoint, consulte [Criar uma configuração de endpoint](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) no *Amazon SageMaker AI Developer* Guide.
## [SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::Model`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um modelo hospedado pela Amazon SageMaker AI tem o isolamento de rede ativado. O controle falhará se o parâmetro `EnableNetworkIsolation` do modelo hospedado estiver definido como `False`.
SageMaker O treinamento de IA e os contêineres de inferência implantados são habilitados para a Internet por padrão. Se você não quiser que a SageMaker IA forneça acesso externo à rede aos seus contêineres de treinamento ou inferência, você pode ativar o isolamento da rede. Se você habilitar o isolamento de rede, nenhuma chamada de rede de entrada ou saída poderá ser feita de ou para o contêiner do modelo, incluindo chamadas de ou para outros Serviços da AWS. Além disso, nenhuma AWS credencial é disponibilizada para o ambiente de execução do contêiner. Ativar o isolamento da rede ajuda a impedir o acesso não intencional aos seus recursos de SageMaker IA pela Internet.
**nota**
Em 13 de agosto de 2025, o Security Hub CSPM alterou o título e a descrição desse controle. O novo título e a descrição refletem com mais precisão que o controle verifica a configuração do `EnableNetworkIsolation` parâmetro dos modelos hospedados pela Amazon SageMaker AI. Anteriormente, o título desse controle era: *SageMaker models should block inbound traffic*.
### Correção
Para obter mais informações sobre isolamento de rede para modelos de SageMaker IA, consulte [Executar contêineres de treinamento e inferência no modo sem internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) no *Amazon SageMaker AI* Developer Guide. Quando você cria um modelo, é possível habilitar o isolamento de rede definindo o valor do parâmetro `EnableNetworkIsolation` como `True`.
## [SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SageMaker::AppImageConfig`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma configuração de imagem do aplicativo Amazon SageMaker AI (`AppImageConfig`) tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se a configuração de imagem da aplicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a configuração de imagem da aplicação não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para adicionar tags a uma configuração de imagem do aplicativo Amazon SageMaker AI (`AppImageConfig`), você pode usar a [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)operação da API SageMaker AI ou, se estiver usando a AWS CLI, executar o comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.7] SageMaker as imagens devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SageMaker::Image`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma imagem do Amazon SageMaker AI tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se a imagem não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a imagem não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para adicionar tags a uma imagem de SageMaker IA da Amazon, você pode usar a [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)operação da API de SageMaker IA ou, se estiver usando a AWS CLI, executar o comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis
**Categoria:** Detectar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)
**Tipo de programação:** Periódico
**Parâmetros:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (não personalizável)
Esse controle verifica se uma instância do notebook Amazon SageMaker AI está configurada para ser executada em uma plataforma compatível, com base no identificador da plataforma especificado para a instância do notebook. O controle falhará se a instância do notebook estiver configurada para ser executada em uma plataforma para a qual não haja mais suporte.
Se a plataforma de uma instância de notebook Amazon SageMaker AI não for mais suportada, ela poderá não receber patches de segurança, correções de bugs ou outros tipos de atualizações. As instâncias do notebook podem continuar funcionando, mas não receberão atualizações de segurança de SageMaker IA nem correções críticas de bugs. Você assume os riscos associados ao uso de uma plataforma sem suporte. Para obter mais informações, consulte o controle de [JupyterLabversão](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) no *Amazon SageMaker AI Developer Guide*.
### Correção
Para obter informações sobre as plataformas que a Amazon SageMaker AI suporta atualmente e como migrar para elas, consulte as [instâncias do notebook Amazon Linux 2 no](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) *Amazon SageMaker AI Developer Guide*.
## [SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::DataQualityJobDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma definição de trabalho de qualidade de dados do Amazon SageMaker AI tem criptografia habilitada para tráfego entre contêineres. O controle falhará se a definição de uma tarefa que monitora a qualidade e o desvio dos dados não tiver a criptografia habilitada para o tráfego entre contêineres.
A ativação da criptografia de tráfego entre contêineres protege dados confidenciais de ML durante o processamento distribuído para análise da qualidade dos dados.
### Correção
Para obter mais informações sobre criptografia de tráfego entre contêineres para Amazon SageMaker AI, consulte [Protect Communications Between ML Compute Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) no *Amazon SageMaker AI Developer Guide*. Ao criar uma definição de tarefa de qualidade de dados, você pode habilitar a criptografia de tráfego entre contêineres definindo o valor do `EnableInterContainerTrafficEncryption` parâmetro como. `True`
## [SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::ModelExplainabilityJobDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a definição de tarefa de explicabilidade SageMaker do modelo da Amazon tem a criptografia de tráfego entre contêineres ativada. O controle falhará se a definição do trabalho de explicabilidade do modelo não tiver a criptografia de tráfego entre contêineres ativada.
A ativação da criptografia de tráfego entre contêineres protege dados confidenciais de ML, como dados de modelo, conjuntos de dados de treinamento, resultados de processamento intermediário, parâmetros e pesos do modelo durante o processamento distribuído para análise de explicabilidade.
### Correção
Para uma definição de tarefa de explicabilidade de um SageMaker modelo existente, a criptografia de tráfego entre contêineres não pode ser atualizada em vigor. Para criar uma nova definição de tarefa de explicabilidade do SageMaker modelo com a criptografia de tráfego entre contêineres ativada, use a API ou a [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) [ou](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) e defina como. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`
## [SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::DataQualityJobDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma definição de trabalho de monitoramento de qualidade de dados da Amazon SageMaker AI tem o isolamento de rede ativado. O controle falhará se a definição de uma tarefa que monitora a qualidade e o desvio dos dados tiver o isolamento da rede desativado.
O isolamento da rede reduz a superfície de ataque e impede o acesso externo, protegendo assim contra acesso externo não autorizado, exposição acidental de dados e possível exfiltração de dados.
### Correção
Para obter mais informações sobre isolamento de rede para SageMaker IA, consulte [Executar contêineres de treinamento e inferência no modo sem internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) no *Amazon SageMaker AI* Developer Guide. Ao criar uma definição de tarefa de qualidade de dados, você pode ativar o isolamento da rede definindo o valor do `EnableNetworkIsolation` parâmetro como`True`.
## [SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado
**Categoria:** Proteger > Configuração de rede segura > Configuração da política de recursos
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::ModelBiasJobDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a definição de tarefa de polarização do SageMaker modelo tem o isolamento de rede ativado. O controle falhará se a definição da tarefa de polarização do modelo não tiver o isolamento de rede ativado.
O isolamento da rede impede que trabalhos tendenciosos do SageMaker modelo se comuniquem com recursos externos pela Internet. Ao habilitar o isolamento da rede, você garante que os contêineres do trabalho não possam fazer conexões de saída, reduzindo a superfície de ataque e protegendo dados confidenciais da exfiltração. Isso é particularmente importante para trabalhos que processam dados regulamentados ou confidenciais.
### Correção
Para ativar o isolamento da rede, você deve criar uma nova definição de tarefa de polarização do modelo com o `EnableNetworkIsolation` parâmetro definido como`True`. O isolamento da rede não pode ser modificado após a criação da definição do trabalho. Para criar uma nova definição de trabalho tendenciosa de modelo, consulte [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)o *Amazon SageMaker AI Developer Guide*.
## [SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::ModelQualityJobDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as definições de trabalho de qualidade do SageMaker modelo Amazon têm criptografia em trânsito habilitada para tráfego entre contêineres. O controle falhará se a definição de tarefa de qualidade do modelo não tiver a criptografia de tráfego entre contêineres ativada.
A criptografia de tráfego entre contêineres protege os dados transmitidos entre contêineres durante trabalhos de monitoramento da qualidade do modelo distribuído. Por padrão, o tráfego entre contêineres não é criptografado. A ativação da criptografia ajuda a manter a confidencialidade dos dados durante o processamento e apoia a conformidade com os requisitos normativos para proteção de dados em trânsito.
### Correção
Para habilitar a criptografia de tráfego entre contêineres para sua definição de trabalho de qualidade de SageMaker modelo da Amazon, você deve recriar a definição de trabalho com a configuração apropriada de criptografia em trânsito. Para criar uma definição de trabalho com qualidade de modelo, consulte [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)o *Amazon SageMaker AI Developer Guide*.
## [SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::MonitoringSchedule`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os cronogramas de SageMaker monitoramento da Amazon têm o isolamento de rede ativado. O controle falhará se um cronograma de monitoramento for EnableNetworkIsolation definido como falso ou não configurado
O isolamento da rede impede que os trabalhos de monitoramento façam chamadas de rede de saída, reduzindo a superfície de ataque ao eliminar o acesso à Internet dos contêineres.
### Correção
Para obter informações sobre como configurar o isolamento de rede no NetworkConfig parâmetro ao criar ou atualizar um cronograma de monitoramento, consulte [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)ou [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)no *Amazon SageMaker AI Developer Guide*.
## [SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::ModelBiasJobDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as definições de trabalho tendenciosas do SageMaker modelo da Amazon têm a criptografia de tráfego entre contêineres ativada ao usar várias instâncias de computação. O controle falhará se `EnableInterContainerTrafficEncryption` for definido como falso ou não estiver configurado para definições de tarefas com uma contagem de instâncias igual ou superior a 2.
EInter- a criptografia de tráfego de contêineres protege os dados transmitidos entre instâncias de computação durante trabalhos de monitoramento de viés de modelos distribuídos. A criptografia impede o acesso não autorizado a informações relacionadas ao modelo, como pesos que são transmitidos entre instâncias.
### Correção
Para habilitar a criptografia de tráfego entre contêineres para definições de tarefas com polarização de SageMaker modelo, defina o `EnableInterContainerTrafficEncryption` parâmetro como `True` quando a definição de tarefa usa várias instâncias de computação. Para obter informações sobre como proteger as comunicações entre instâncias de computação de ML, consulte [Protect Communications Between ML Compute Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) no *Amazon SageMaker AI Developer Guide*.
# Controles CSPM do Security Hub para Secrets Manager
Esses AWS Security Hub CSPM controles avaliam o AWS Secrets Manager serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Categoria:** Proteger > Desenvolvimento seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::SecretsManager::Secret`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `maximumAllowedRotationFrequency` | Número máximo de dias permitidos para a frequência de rotação do segredo | Inteiro | `1` para `365` | Nenhum valor padrão |
Esse controle verifica se um segredo armazenado AWS Secrets Manager está configurado com rotação automática. O controle falhará se o segredo não estiver configurado com rotação automática. Se você fornecer um valor personalizado para o parâmetro `maximumAllowedRotationFrequency`, o controle passará somente se o segredo for rotacionado automaticamente dentro da janela de tempo especificada.
O Secrets Manager ajuda você a melhorar a postura de segurança de sua organização. O Secrets inclui credenciais de banco de dados, senhas, chaves de API de terceiros. É possível usar o Secrets Manager para armazenar segredos centralmente, criptografar segredos automaticamente, controlar o acesso aos segredos e alternar segredos de forma segura e automática.
O Secrets Manager pode alternar segredos. É possível usar a alternância para substituir segredos de longo prazo por segredos de curto prazo. A alternância de seus segredos limita por quanto tempo um usuário não autorizado pode usar um segredo comprometido. Por esse motivo, é necessário alternar seus segredos com frequência. Para saber mais sobre rotação, consulte Como [girar seus AWS Secrets Manager segredos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) no *Guia do AWS Secrets Manager usuário*.
### Correção
Para ativar a rotação automática dos segredos do Secrets Manager, consulte [Configurar a rotação automática para AWS Secrets Manager segredos usando o console](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) no *Guia AWS Secrets Manager do Usuário*. Você deve escolher e configurar uma AWS Lambda função para rotação.
## [SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Categoria:** Proteger > Desenvolvimento seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::SecretsManager::Secret`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um AWS Secrets Manager segredo foi rotacionado com sucesso com base no cronograma de rotação. O controle falha se `RotationOccurringAsScheduled` for `false`. O controle avalia apenas segredos que têm a alternância ativada.
O Secrets Manager ajuda você a melhorar a postura de segurança de sua organização. O Secrets inclui credenciais de banco de dados, senhas, chaves de API de terceiros. É possível usar o Secrets Manager para armazenar segredos centralmente, criptografar segredos automaticamente, controlar o acesso aos segredos e alternar segredos de forma segura e automática.
O Secrets Manager pode alternar segredos. É possível usar a alternância para substituir segredos de longo prazo por segredos de curto prazo. A alternância de seus segredos limita por quanto tempo um usuário não autorizado pode usar um segredo comprometido. Por esse motivo, é necessário alternar seus segredos com frequência.
Além de configurar segredos para alternar automaticamente, é necessário garantir que esses segredos sejam alternados com sucesso com base na programação de alternância.
Para saber mais sobre alternância, consulte [Alternar seus segredos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) no *Guia do usuário do AWS Secrets Manager *.
### Correção
Se a alternância automática falhar, o Secrets Manager pode ter encontrado erros na configuração. Para alternar segredos no Secrets Manager, use uma função Lambda que defina como interagir com o banco de dados ou com o serviço que tem o segredo.
Para obter ajuda para diagnosticar e corrigir erros comuns relacionados à rotação de segredos, consulte [Solução de problemas de AWS Secrets Manager rotação de segredos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) no *Guia do AWS Secrets Manager usuário*.
## [SecretsManager.3] Remover segredos não utilizados do Secrets Manager
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::SecretsManager::Secret`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `unusedForDays` | Número máximo de dias em que um segredo pode permanecer sem uso | Inteiro | `1` para `365` | `90` |
Esse controle verifica se um AWS Secrets Manager segredo foi acessado dentro do período de tempo especificado. O controle falhará se um segredo não for usado além do período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de acesso, o Security Hub CSPM usa um valor padrão de 90 dias.
Excluir segredos não utilizados é tão importante quanto alternar segredos. Segredos não utilizados podem ser abusados por seus antigos usuários, que não precisam mais acessar esses segredos. Além disso, à medida que mais usuários obtêm acesso a um segredo, alguém pode tê-lo manipulado incorretamente e vazado para uma entidade não autorizada, o que aumenta o risco de abuso. A exclusão de segredos não utilizados ajuda a revogar o acesso a segredos por usuários que não precisam mais deles. Ele também ajuda a reduzir o custo do uso do Secrets Manager. Portanto, é essencial excluir rotineiramente segredos não utilizados.
### Correção
Para excluir segredos inativos do Secrets Manager, consulte [Excluir um AWS Secrets Manager segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html) no *Guia do AWS Secrets Manager usuário*.
## [SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::SecretsManager::Secret`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)
**Tipo de programação:** Periódico
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `maxDaysSinceRotation` | Número máximo de dias em que um segredo pode permanecer sem alterações | Inteiro | `1` para `180` | `90` |
Esse controle verifica se um AWS Secrets Manager segredo é rotacionado pelo menos uma vez dentro do período de tempo especificado. O controle falhará se um segredo não tiver sido rotacionado com pelo menos essa frequência. A menos que você forneça um valor de parâmetro personalizado para o período de rotação, o Security Hub CSPM usa um valor padrão de 90 dias.
A alternância de segredos pode ajudá-lo a reduzir o risco de uso não autorizado de seus segredos na sua Conta da AWS. Exemplos incluem credenciais de banco de dados, senhas, chaves de API de terceiros e até mesmo texto arbitrário. Se você não alterar o segredos por um longo período, eles se tornam mais propensos a ser comprometidos.
À medida que mais usuários obtêm acesso a um segredo, pode ser possível que alguém o tenha manipulado incorretamente e que ele tenha vazado para uma entidade não autorizada. Os segredos podem ser vazados por logs e dados de cache. Eles podem ser compartilhados para fins de depuração e não alterados nem revogados quando a depuração for concluída. Por todos esses motivos, os segredos devem ser mudados com frequência.
É possível configurar a alternância automática para segredos no AWS Secrets Manager. Com a alternância automática, você pode substituir os segredos de longo prazo por outros de curto prazo, reduzindo significativamente o risco de comprometimento. Recomendamos que você configure uma programação de alternância automática para seus segredos do Secrets Manager. Para ter mais informações, consulte [Alternar os segredos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) no *Guia do usuário do AWS Secrets Manager *.
### Correção
Para ativar a rotação automática dos segredos do Secrets Manager, consulte [Configurar a rotação automática para AWS Secrets Manager segredos usando o console](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) no *Guia AWS Secrets Manager do Usuário*. Você deve escolher e configurar uma AWS Lambda função para rotação.
## [SecretsManager.5] Os segredos do Secrets Manager devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SecretsManager::Secret`
**AWS Config regra:** `tagged-secretsmanager-secret` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um AWS Secrets Manager segredo tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o segredo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o segredo não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um segredo do Secrets Manager, consulte [AWS Secrets Manager Segredos de tags](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) no *Guia AWS Secrets Manager do usuário*.
# Controles CSPM do Security Hub para AWS Service Catalog
Esse AWS Security Hub CSPM controle avalia o AWS Service Catalog serviço e os recursos. O controle pode não estar disponível em todas as Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS
**Requisitos relacionados:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-6, NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::ServiceCatalog::Portfolio`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se AWS Service Catalog compartilha portfólios dentro de uma organização quando a integração com AWS Organizations está habilitada. O controle falhará se os portfólios não forem compartilhados dentro de uma organização.
O compartilhamento de portfólio apenas dentro de organizações ajuda a garantir que um portfólio não seja compartilhado com Contas da AWS incorretas. Para compartilhar um portfólio do Service Catalog com uma conta em uma organização, o Security Hub CSPM recomenda usar `ORGANIZATION_MEMBER_ACCOUNT` em vez de. `ACCOUNT` Isso simplifica a administração controlando o acesso concedido à conta em toda a organização. Se houver uma necessidade comercial de compartilhar os portfólios do Service Catalog com uma conta externa, você poderá [suprimir automaticamente as descobertas](automation-rules.md) desse controle ou [desabilitá-lo](disable-controls-overview.md).
### Correção
Para habilitar o compartilhamento de portfólio com AWS Organizations, consulte [Compartilhamento com AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations) no *Guia AWS Service Catalog do Administrador*.
# Controles de CSPM do Security Hub para Amazon SES
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Simple Email Service (Amazon SES).
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [SES.1] As listas de contatos do SES devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SES::ContactList`
**AWS Config regra:** `tagged-ses-contactlist` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um agente do Amazon SES tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o contato não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o contato não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma lista de contatos do Amazon SES, consulte [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)na *Referência da API v2 do Amazon SES*.
## [SES.2] Os conjuntos de configuração do SES devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SES::ConfigurationSet`
**AWS Config regra:** `tagged-ses-configurationset` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um conjunto de configurações do Amazon SES tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se conjunto de configurações não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o conjunto de configurações não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um conjunto de configurações do Amazon SES, consulte [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)na *Referência da API v2 do Amazon SES*.
## [SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::SES::ConfigurationSet`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um conjunto de configurações do Amazon SES exige conexões TLS. O controle falhará se a Política TLS não estiver definida como `'REQUIRE'` para um conjunto de configurações.
Por padrão, o Amazon SES usa TLS oportunista, o que significa que os e-mails podem ser enviados sem criptografia se uma conexão TLS não puder ser estabelecida com o servidor de e-mail receptor. A aplicação do TLS para envio de e-mail garante que as mensagens sejam entregues somente quando uma conexão criptografada segura puder ser estabelecida. Isso ajuda a proteger a confidencialidade e a integridade do conteúdo do e-mail durante a transmissão entre o Amazon SES e o servidor de e-mail do destinatário. Se uma conexão TLS segura não puder ser estabelecida, a mensagem não será entregue, evitando a possível exposição de informações confidenciais.
**nota**
Embora o TLS 1.3 seja o método de entrega padrão para o Amazon SES, sem impor a exigência de TLS por meio de conjuntos de configurações, as mensagens poderiam ser entregues em texto simples se uma conexão TLS falhar. Para passar esse controle, você deve configurar a Política TLS de acordo com as opções `'REQUIRE'` de entrega do conjunto de configurações do SES. Quando o TLS é necessário, as mensagens são entregues somente se uma conexão TLS puder ser estabelecida com o servidor de e-mail receptor.
### Correção
Para configurar o Amazon SES para exigir conexões TLS para um conjunto de configurações, consulte o [Amazon SES e os protocolos de segurança](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver) no *Guia do desenvolvedor do Amazon SES*.
# Controles de CSPM do Security Hub para Amazon SNS
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Simple Notification Service (Amazon SNS). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-26), NIST.800-171.r2 3.13.11, NIST.800-171.r2 3.13.16
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::SNS::Topic`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um tópico do Amazon SNS é criptografado em repouso usando chaves gerenciadas no AWS Key Management Service (AWS KMS). Os controles falharão se o tópico do SNS não usar uma chave do KMS para criptografia do lado do servidor (SSE). Por padrão, o SNS armazena mensagens e arquivos usando criptografia de disco. Para passar esse controle, é necessário, em vez disso, escolher usar uma chave do KMS para criptografia. Isso adiciona uma camada adicional de segurança e fornece mais flexibilidade de controle de acesso.
Criptografar dados em repouso reduz o risco de os dados armazenados em disco serem acessados por um usuário não autenticado. AWS As permissões de API são necessárias para descriptografar os dados antes que eles possam ser lidos. Recomendamos criptografar os tópicos do SNS com chaves do KMS para uma camada adicional de segurança.
### Correção
Para habilitar o SSE para um tópico do SNS, consulte [Enabling server-side encryption (SSE) for an Amazon SNS topic](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) no *Amazon Simple Notification Service Developer Guide*. Antes de usar o SSE, você também deve configurar AWS KMS key políticas para permitir a criptografia de tópicos e criptografia e descriptografia de mensagens. Para obter mais informações, consulte [Configuração de AWS KMS permissões](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
## [SNS.2] O registro em log do status de entrega deve ser habilitado para mensagens de notificação enviadas a um tópico
**Importante**
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).
**Requisitos relacionados:** NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::SNS::Topic`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o registro em log está habilitado para o status de entrega de mensagens de notificação enviadas para um tópico do Amazon SNS para endpoints. Esse controle falhará se a notificação do status de entrega das mensagens não estiver ativada.
O registro em log é uma parte importante para manter a confiabilidade, a disponibilidade e a performance dos serviços. O registro de status de entrega de mensagens proporciona um melhor insight operacional, como, por exemplo:
+ Saber se uma mensagem foi entregue para o endpoint do Amazon SNS.
+ Identificar a resposta enviada do endpoint do Amazon SNS ao Amazon SNS.
+ Determinar o tempo de permanência da mensagem (o tempo entre o carimbo de data e hora da publicação e antes do envio para um endpoint do Amazon SNS).
### Correção
Para configurar o registro do status de entrega para um tópico, consulte [Status de entrega de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
## [SNS.3] Os tópicos do SNS devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SNS::Topic`
**AWS Config regra:** `tagged-sns-topic` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um tópico do Amazon SNS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o tópico não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o tópico não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um tópico do SNS, consulte [Configuring Amazon SNS topic tags](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html) no *Amazon Simple Notification Service Developer Guide*.
## [SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::SNS::Topic`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a política de acesso a tópicos do Amazon SNS permite o acesso público. Esse controle falhará se a política de acesso a tópicos do SNS permitir o acesso público.
Você usa uma política de acesso do Amazon SNS com determinado tópico para restringir quem pode trabalhar com esse tópico (por exemplo, quem pode publicar mensagens nele ou quem pode assiná-lo). As políticas do SNS podem conceder acesso a outras Contas da AWS pessoas ou a usuários dentro da sua Conta da AWS. Fornecer um caractere curinga (\$1) no campo `Principal` da política de tópicos e a falta de condições para limitar a política de tópicos podem resultar em exfiltração de dados, negação de serviço ou injeção indesejada de mensagens no serviço por um invasor.
**nota**
Esse controle não avalia as condições de políticas que usem caracteres curinga ou variáveis. Para produzir uma descoberta `PASSED`, as condições na política de acesso do Amazon SNS para um tópico devem usar somente valores fixos, que são valores que não contenham caracteres curinga ou variáveis de política. Para obter informações sobre as variáveis de política, consulte [Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do AWS Identity and Access Management *.
### Correção
Para atualizar as políticas de acesso para um tópico do SNS, consulte [Overview of managing access in Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html) no *Amazon Simple Notification Service Developer Guide*.
# Controles CSPM do Security Hub para Amazon SQS
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Simple Queue Service (Amazon SQS). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::SQS::Queue`
**AWS Config regra:** `sqs-queue-encrypted` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma fila do Amazon SQS está criptografada em repouso. O controle falhará se a fila não for criptografada com uma chave gerenciada pelo SQS (SSE-SQS) ou uma AWS Key Management Service chave () (SSE-KMS).AWS KMS
Criptografar dados em repouso reduz o risco de um usuário não autorizado acessar os dados armazenados em disco. A criptografia do lado do servidor (SSE) protege o conteúdo das mensagens nas filas do SQS usando chaves de criptografia gerenciadas pelo SQS (SSE-SQS) ou chaves (SSE-KMS). AWS KMS
### Correção
Para configurar o SSE para uma fila do SQS, consulte[ Configuring server-side encryption (SSE) for a queue (console)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html) no *Amazon Simple Queue Service Developer Guide*.
## [SQS.2] As filas do SQS devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SQS::Queue`
**AWS Config regra:** `tagged-sqs-queue` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se uma fila do Amazon SQS tem tags com chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a fila não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a fila não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma fila existente usando o console do Amazon SQS, [Configuring cost allocation tags for an Amazon SQS queue (console)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html) no *Amazon Simple Queue Service Developer Guide*.
## [SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::SQS::Queue`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Isso controla se uma política de acesso do Amazon SQS permite acesso público a uma fila do SQS. O controle falhará se uma política de acesso do SQS permitir o acesso público à fila.
Uma política de acesso do Amazon SQS pode permitir acesso público a uma fila SQS, o que pode permitir que um usuário anônimo ou qualquer identidade AWS IAM autenticada acesse a fila. As políticas de acesso do SQS geralmente fornecem esse acesso especificando o caractere curinga (`*`) no elemento `Principal` da política, não usando condições adequadas para restringir o acesso à fila, ou ambos. Se uma política de acesso do SQS permitir acesso público, terceiros poderão realizar tarefas como receber mensagens da fila, enviar mensagens à fila ou modificar a política de acesso da fila. Isso pode resultar em eventos como exfiltração de dados, negação de serviço ou injeção de mensagens na fila por um agente de ameaça.
**nota**
Esse controle não avalia as condições de políticas que usem caracteres curinga ou variáveis. Para produzir uma descoberta `PASSED`, as condições na política de acesso do Amazon SQS para uma fila devem usar somente valores fixos, que são valores que não contenham caracteres curinga ou variáveis de política. Para obter informações sobre as variáveis de política, consulte [Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do AWS Identity and Access Management *.
### Correção
Para obter informações sobre a configuração das políticas de acesso do SQS, consulte [Uso de políticas personalizadas com a linguagem de políticas de acesso do Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) no *Guia do desenvolvedor do Amazon Simple Queue Service*.
# Controles CSPM do Security Hub para Step Functions
Esses AWS Security Hub CSPM controles avaliam o AWS Step Functions serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::StepFunctions::StateMachine`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `logLevel` | Nível mínimo de registro em log | Enum | `ALL, ERROR, FATAL` | Nenhum valor padrão |
Isso controla se uma máquina de AWS Step Functions estado está com o registro ativado. O controle falhará se uma máquina de estado não tiver o registro em log ativado. Se você fornecer um valor personalizado para o parâmetro `logLevel`, o controle passará somente se a máquina de estados tiver o nível de registro em log especificado ativado.
O monitoramento ajuda a manter a confiabilidade, a disponibilidade e a performance do Step Functions. Você deve coletar o máximo de dados de monitoramento Serviços da AWS que você usa para poder depurar falhas de vários pontos com mais facilidade. Ter uma configuração de registro definida para suas máquinas de estado do Step Functions permite que você acompanhe o histórico de execução e os resultados no Amazon CloudWatch Logs. Opcionalmente, você pode rastrear somente erros ou eventos fatais.
### Correção
Para ativar o registro em log em uma máquina de estado do Step Functions, consulte [Configurar registro em log](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure) no *Guia do desenvolvedor do AWS Step Functions *.
## [StepFunctions.2] As atividades do Step Functions devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::StepFunctions::Activity`
**AWS Config regra:** `tagged-stepfunctions-activity` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma AWS Step Functions atividade tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a atividade não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a atividade não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma atividade do Step Functions, consulte [Tagging in Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html) no *AWS Step Functions Developer Guide*.
# Controles CSPM do Security Hub para Systems Manager
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos AWS Systems Manager (SSM). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager
**Requisitos relacionados:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8), NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-2 (3) NIST.800-53.r5 SA-3
**Categoria:** Identificar > Inventário
**Gravidade:** média
**Recurso avaliado:** `AWS::EC2::Instance`
**Recursos AWS Config de gravação necessários:**`AWS::EC2::Instance`, `AWS::SSM::ManagedInstanceInventory`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as instâncias do EC2 interrompidas e em execução na sua conta são gerenciadas pelo AWS Systems Manager. O Systems Manager é um AWS service (Serviço da AWS) que você pode usar para visualizar e controlar sua AWS infraestrutura.
Para ajudar você a manter a segurança e a conformidade, o Systems Manager verifica as instâncias gerenciadas interrompidas e em execução. Uma instância gerenciada é uma máquina que foi configurada para uso com o Systems Manager. Em seguida, o Systems Manager relata ou toma medidas corretivas sobre quaisquer violações de políticas detectadas. O Systems Manager também ajuda você a configurar e manter suas instâncias gerenciadas. Para saber mais, consulte o [Manual do usuário do AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).
**nota**
Esse controle gera `FAILED` descobertas para instâncias do EC2 que são instâncias do AWS Elastic Disaster Recovery Replication Server gerenciadas pelo. AWS Uma instância do servidor de replicação é uma instância do EC2 que é iniciada automaticamente AWS Elastic Disaster Recovery para oferecer suporte à replicação contínua de dados dos servidores de origem. AWS remove intencionalmente o Agente do Systems Manager (SSM) dessas instâncias para manter o isolamento e ajudar a evitar possíveis caminhos de acesso não intencionais.
### Correção
Para obter informações sobre o gerenciamento de instâncias do EC2 com AWS Systems Manager, consulte Gerenciamento de [host do Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) no Guia *AWS Systems Manager do* usuário. Na seção **Opções de configuração** no AWS Systems Manager console, você pode manter as configurações padrão ou alterá-las conforme necessário para sua configuração preferida.
## [PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch
**Requisitos relacionados:** NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(3), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), NIST.800-171.r2 3,7.1, PCI DSS v3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::SSM::PatchCompliance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o status da conformidade do patch do Systems Manager é `COMPLIANT` ou `NON_COMPLIANT` após a instalação do patch na instância. O controle falhará se o status de conformidade for `NON_COMPLIANT`. O controle verifica somente as instâncias gerenciadas pelo gerenciador de patches do Systems Manager.
Ter as instâncias do EC2 corrigidas conforme exigido pela organização reduz a superfície de ataque de suas Contas da AWS.
### Correção
O Systems Manager recomenda o uso de [políticas de patch](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) para configurar a correção das suas instâncias gerenciadas. Também é possível usar [documentos do Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html), conforme descrito no procedimento a seguir, para corrigir uma instância.
**Como corrigir patches que não estão em conformidade**
1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Em **Gerenciamento de nós**, escolha **Executar comando** e, depois, **Executar comando**.
1. Escolha a opção para **AWS- RunPatchBaseline**.
1. Altere **Operation (Operação)** para **Install (Instalar)**.
1. Selecione **Choose instances manually (Escolher instâncias manualmente)** e selecione as instâncias que não estão em conformidade.
1. Escolha **Executar**.
1. Após a conclusão do comando, para monitorar o novo status de conformidade das instâncias com patches, no painel de navegação, escolha **Conformidade**.
## PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8 (1), NIST.800-53.r5 CM-8 (3), NIST.800-53.r5 SI-2 (3), PCI DSS vs 3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SSM::AssociationCompliance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o status da conformidade da AWS Systems Manager associação é `COMPLIANT` ou `NON_COMPLIANT` após a execução da associação em uma instância. O controle falhará se o status de conformidade for `NON_COMPLIANT`.
Uma associação do State Manager é uma configuração que é atribuída às instâncias gerenciadas. A configuração define o estado que você deseja manter em suas instâncias. Por exemplo, uma associação pode especificar que o software antivírus deve estar instalado e em execução nas instâncias ou que determinadas portas devem ser fechadas.
Depois de criar uma ou mais associações de State Manager, as informações de status de conformidade ficam imediatamente disponíveis para você. Você pode visualizar o status de conformidade no console ou em resposta aos AWS CLI comandos ou às ações correspondentes da API do Systems Manager. Para associações, a Conformidade de configuração mostra o status de conformidade (`Compliant` ou `Non-compliant`). Também mostra o nível de gravidade atribuído à associação, como `Critical` ou `Medium`.
Para saber mais sobre a conformidade da associação State Manager, consulte [Sobre a conformidade de associações do Gerenciador de Estados](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) no *Guia do usuário do AWS Systems Manager *.
### Correção
Uma associação reprovada pode estar relacionada a motivos diferentes, incluindo destinos e nomes de documentos Systems Manager. Para corrigir esse problema, é necessário primeiro identificar e investigar a associação visualizando o histórico da associação. Para obter instruções sobre como visualizar o histórico de associações, consulte [Visualização de históricos de associações](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) no *Guia do usuário do AWS Systems Manager *.
Depois de investigar, você pode editar a associação para corrigir o problema identificado. É possível editar uma associação para especificar um novo nome, agendamento, nível de gravidade ou destinos. Depois de editar uma associação, AWS Systems Manager cria uma nova versão. Para obter instruções sobre como editar uma associação, consulte [Edita e criar uma nova versão de uma associação](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html) no *Guia do usuário do AWS Systems Manager *.
## [SSM.4] Os documentos SSM não devem ser públicos
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::SSM::Document`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se AWS Systems Manager os documentos pertencentes a uma conta são públicos. O controle falhará se os documentos do Systems Manager com o proprietário `Self` forem públicos.
Documentos Systems Manager que são públicos podem permitir acesso não pretendido aos documentos. Um documento do Systems Manager público pode expor informações valiosas sobre sua conta, recursos e processos internos.
A menos que seu caso de uso exija compartilhamento público, recomendamos que você bloqueie o compartilhamento público para documentos do Systems Manager com o proprietário `Self`.
### Correção
Para obter informações sobre como configurar o compartilhamento de documentos do Systems Manager, consulte [Compartilhamento de um documento do SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) no *Guia do Usuário do AWS Systems Manager *.
## [SSM.5] Os documentos do SSM devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SSM::Document`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AWS Systems Manager documento tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se o documento não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o documento não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`. O controle não avalia os documentos do Systems Manager de propriedade da Amazon.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para adicionar tags a um AWS Systems Manager documento, você pode usar a [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)operação da AWS Systems Manager API ou, se estiver usando a AWS CLI, executar o [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)comando. Também é possível usar o console do AWS Systems Manager .
## [SSM.6] A automação de SSM deve ter o registro ativado CloudWatch
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o CloudWatch registro na Amazon está habilitado para automação AWS Systems Manager (SSM). O controle falhará se o CloudWatch registro não estiver habilitado para a automação SSM.
O SSM Automation é uma AWS Systems Manager ferramenta que ajuda você a criar soluções automatizadas para implantar, configurar e gerenciar AWS recursos em grande escala usando runbooks predefinidos ou personalizados. Para satisfazer os requisitos de segurança ou operacionais da sua organização, pode ser necessário fornecer um registro dos scripts que ela executa. Você pode configurar o SSM Automation para enviar a saída das `aws:executeScript` ações em seus runbooks para um grupo de CloudWatch logs do Amazon Logs que você especificar. Com o CloudWatch Logs, você pode monitorar, armazenar e acessar arquivos de log de vários Serviços da AWS.
### Correção
Para obter informações sobre como ativar o CloudWatch registro para a automação SSM, consulte [Saída da ação do Logging Automation com CloudWatch registros](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) no *Guia do AWS Systems Manager usuário*.
## [SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a configuração de bloqueio de compartilhamento público está habilitada para documentos do AWS Systems Manager . O controle falhará se a configuração de bloqueio de compartilhamento público estiver desabilitada para documentos do Systems Manager.
A configuração de bloqueio de compartilhamento público para documentos AWS Systems Manager (SSM) é uma configuração no nível da conta. Habilitar essa configuração pode impedir o acesso indesejado aos seus documentos do SSM. Se você habilitar essa configuração, sua alteração não afetará nenhum documento do SSM que você esteja compartilhando atualmente com o público. A menos que seu caso de uso exija que você compartilhe documentos do SSM com o público, recomendamos que você habilite a configuração de bloqueio de compartilhamento público. A configuração pode ser diferente para cada um Região da AWS.
### Correção
Para obter informações sobre a configuração de bloqueio de compartilhamento público para documentos do AWS Systems Manager (SSM), consulte [Bloqueio de compartilhamento público para documentos do SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access) no *Guia do usuário do AWS Systems Manager *.
# Controles CSPM do Security Hub para AWS Transfer Family
Esses AWS Security Hub CSPM controles avaliam o AWS Transfer Family serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Transfer::Workflow`
**AWS Config regra:** `tagged-transfer-workflow` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um AWS Transfer Family fluxo de trabalho tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o fluxo de trabalho não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o fluxo de trabalho não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
**Para adicionar tags a um fluxo de trabalho do Transfer Family (console)**
1. Abra o AWS Transfer Family console.
1. No painel de navegação, escolha **Workflows** (Fluxos de trabalho). Em seguida, selecione o fluxo de trabalho que você deseja marcar.
1. Escolha **Gerenciar tags** e, em seguida, adicione as tags.
## [Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints
**Requisitos relacionados:** NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5, NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::Transfer::Server`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um AWS Transfer Family servidor usa um protocolo diferente de FTP para conexão de endpoint. O controle falhará se o servidor usar o protocolo FTP para um cliente se conectar ao endpoint do servidor.
O FTP (File Transfer Protocol) estabelece a conexão do endpoint por meio de canais não criptografados, deixando os dados enviados por esses canais vulneráveis à interceptação. O uso de SFTP (SSH File Transfer Protocol), FTPS (File Transfer Protocol Secure) ou AS2 (Applicability Statement 2) oferece uma camada extra de segurança ao criptografar seus dados em trânsito e pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede.
### Correção
Para modificar o protocolo de um servidor Transfer Family, consulte [Edit the file transfer protocols](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols) no *AWS Transfer Family User Guide*.
## [Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::Transfer::Connector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o Amazon CloudWatch Logging está habilitado para um AWS Transfer Family conector. O controle falhará se o CloudWatch registro não estiver habilitado para o conector.
A Amazon CloudWatch é um serviço de monitoramento e observabilidade que fornece visibilidade de seus AWS recursos, incluindo AWS Transfer Family recursos. Para Transfer Family, CloudWatch fornece auditoria e registro consolidados para o progresso e os resultados do fluxo de trabalho. Isso inclui várias métricas que o Transfer Family define para os fluxos de trabalho. Você pode configurar o Transfer Family para registrar automaticamente os eventos do conector CloudWatch. Para fazer isso, especifique um perfil de registro em log para o conector. Para o perfil de registro em log, você cria um perfil do IAM e uma política do IAM baseada em recursos que define as permissões para o perfil.
### Correção
Para obter informações sobre como ativar o CloudWatch registro em um conector Transfer Family, consulte [ CloudWatch Registro na Amazon para AWS Transfer Family servidores](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) no *Guia AWS Transfer Family do usuário*.
## [Transfer.4] Os contratos do Transfer Family devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Transfer::Agreement`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AWS Transfer Family contrato tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se o contrato não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o contrato não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre como adicionar tags a um AWS Transfer Family contrato, consulte [Métodos de marcação de recursos no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) do *usuário de AWS recursos de marcação e do editor de tags*.
## [Transfer.5] Os certificados do Transfer Family devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Transfer::Certificate`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AWS Transfer Family certificado tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se o certificado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o certificado não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre como adicionar tags a um AWS Transfer Family certificado, consulte [Métodos de marcação de recursos no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) do *usuário de AWS recursos de marcação e do editor de tags*.
## [Transfer.6] Os conectores do Transfer Family devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Transfer::Connector`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AWS Transfer Family conector tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se o conector não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o conector não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre como adicionar tags a um AWS Transfer Family conector, consulte [Métodos de marcação de recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) no Guia do *usuário de AWS recursos de marcação e do editor de tags*.
## [Transfer.7] Os perfis do Transfer Family devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Transfer::Profile`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AWS Transfer Family perfil tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se o perfls não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o perfil não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`. O controle avalia perfis locais e perfis de parceiros.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre como adicionar tags a um AWS Transfer Family perfil, consulte [Métodos de marcação de recursos no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) do *usuário de AWS recursos de marcação e do editor de tags*.
# Controles CSPM do Security Hub para AWS WAF
Esses AWS Security Hub CSPM controles avaliam o AWS WAF serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::WAF::WebACL`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o registro está habilitado para uma ACL da web AWS WAF global. Esse controle falhará se o registro em log não estiver habilitado para a ACL da web.
O registro em log é uma parte importante para manter a confiabilidade, a disponibilidade e o desempenho AWS WAF global. É um requisito comercial e de conformidade em muitas organizações e permite solucionar problemas de comportamento de aplicativos. Ele também fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web que está associada ao AWS WAF.
### Correção
Para ativar o registro de uma ACL AWS WAF da web, consulte [Registro de informações de tráfego da ACL da web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) no Guia do *AWS WAF desenvolvedor*.
## [WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAFRegional::Rule`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma regra AWS WAF regional tem pelo menos uma condição. O controle falhará se nenhuma condição estiver presente em uma regra.
Uma regra regional do WAF pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer condições, o tráfego passa sem inspeção. Uma regra regional do WAF sem condições, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
### Correção
Para adicionar uma condição a uma regra vazia, consulte [Adicionar e remover condições em uma regra](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) no *Guia do desenvolvedor do AWS WAF *.
## [WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAFRegional::RuleGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo de regras AWS WAF regionais tem pelo menos uma regra. O controle falhará se não houver regras no grupo de regras.
Um grupo de regras WAF regional pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer regras, o tráfego passa sem inspeção. Um grupo de regras regionais do WAF sem regras, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
### Correção
Para adicionar regras e condições de regras a um grupo de regras vazio, consulte [Adicionar e excluir regras de um grupo de regras AWS WAF clássico](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) e [Adicionar e remover condições em uma regra](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) no *Guia do AWS WAF desenvolvedor*.
## [WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAFRegional::WebACL`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma AWS WAF Classic regional Web ACL contém alguma regra WAF ou grupos de regras WAF. Esse controle falhará se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF.
Uma ACL da web do WAF Regional pode conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web poderá passar sem ser detectado ou acionado pelo WAF, dependendo da ação padrão.
### Correção
Para adicionar regras ou grupos de regras a uma ACL da web regional AWS WAF clássica vazia, consulte [Editando uma ACL da Web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) no Guia do *AWS WAF desenvolvedor*.
## [WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAF::Rule`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma regra AWS WAF global contém alguma condição. O controle falhará se nenhuma condição estiver presente em uma regra.
Uma regra global WAF pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer condições, o tráfego passa sem inspeção. Uma regra global do WAF sem condições, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
### Correção
Para obter instruções sobre como criar uma regra e adicionar condições, consulte [Criar uma regra e adicionar condições](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) no *Guia do desenvolvedor do AWS WAF *.
## [WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAF::RuleGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo de regras AWS WAF global tem pelo menos uma regra. O controle falhará se não houver regras no grupo de regras.
Um grupo de regras WAF Global pode conter várias regras. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer regras, o tráfego passa sem inspeção. Um grupo de regras globais do WAF sem regras, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
### Correção
Para obter instruções sobre como adicionar uma regra a um grupo de regras, consulte [Criação de um grupo de regras AWS WAF clássico](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) no *Guia do AWS WAF desenvolvedor*.
## [WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAF::WebACL`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma Web ACL AWS WAF global contém pelo menos uma regra WAF ou um grupo de regras WAF. Esse controle falhará se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF.
Uma ACL da web global do WAF pode conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web poderá passar sem ser detectado ou acionado pelo WAF, dependendo da ação padrão.
### Correção
Para adicionar regras ou grupos de regras a uma ACL da web AWS WAF global vazia, consulte [Edição de uma ACL da web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) no Guia do *AWS WAF desenvolvedor*. Em **Filtro**, escolha **Global (CloudFront)**.
## [WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAFv2::WebACL`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma lista de controle de acesso à web AWS WAF V2 (Web ACL) contém pelo menos uma regra ou grupo de regras. Esse controle falhará se uma ACL da web não contiver nenhuma regra ou grupo de regras.
A web ACL é um recurso que oferece controle detalhado sobre todas as solicitações web HTTP (S) às quais o recurso protegido responde. Uma web ACL deve conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web poderá passar sem ser detectado ou manipulado, AWS WAF dependendo da ação padrão.
### Correção
Para adicionar regras ou grupos de regras a uma WAFV2 Web ACL vazia, consulte [Editando uma Web ACL no Guia](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) do *AWS WAF Desenvolvedor*.
## [WAF.11] O registro de ACL AWS WAF da web deve estar ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** baixa
**Tipo de recurso:** `AWS::WAFv2::WebACL`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o registro está ativado para uma lista de controle de acesso à web AWS WAF V2 (Web ACL). Esse controle falhará se o registro em log não estiver habilitado para a web ACL.
**nota**
Esse controle não verifica se o registro de ACL AWS WAF na web está habilitado para uma conta por meio do Amazon Security Lake.
O registro mantém a confiabilidade, a disponibilidade e o desempenho do AWS WAF. Além disso, o registro em log é um requisito comercial e de conformidade em muitas organizações. Ao registrar em log o tráfego que é analisado pela sua ACL da web, você pode solucionar problemas de comportamento do aplicativo.
### Correção
Para ativar o registro de uma ACL AWS WAF da web, consulte [Gerenciando o registro de uma ACL da web](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) no Guia do *AWS WAF desenvolvedor*.
## As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::WAFv2::RuleGroup`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma AWS WAF regra ou grupo de regras tem CloudWatch métricas da Amazon ativadas. O controle falhará se a regra ou o grupo de regras não tiver CloudWatch métricas ativadas.
A configuração de CloudWatch métricas em AWS WAF regras e grupos de regras fornece visibilidade do fluxo de tráfego. É possível ver quais regras de ACL são acionadas e quais solicitações são aceitas e bloqueadas. Essa visibilidade pode ajudar você a identificar atividades maliciosas nos recursos associados.
### Correção
Para ativar CloudWatch métricas em um grupo de AWS WAF regras, invoque a [ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API. Para ativar CloudWatch métricas em uma AWS WAF regra, invoque a API da [ UpdateWebACL.](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) Defina o campo `CloudWatchMetricsEnabled` como `true`. Quando você usa o AWS WAF console para criar regras ou grupos de regras, as CloudWatch métricas são ativadas automaticamente.
# Controles CSPM do Security Hub para WorkSpaces
Esses AWS Security Hub CSPM controles avaliam o WorkSpaces serviço e os recursos da Amazon.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::WorkSpaces::Workspace`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o volume de um usuário em uma Amazon WorkSpaces WorkSpace está criptografado em repouso. O controle falhará se o volume WorkSpace do usuário não estiver criptografado em repouso.
Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.
### Correção
Para criptografar um volume de WorkSpaces usuário, consulte [Criptografar um WorkSpace no Guia](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) de * WorkSpaces Administração da Amazon*.
## [WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::WorkSpaces::Workspace`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um volume raiz em uma Amazon WorkSpaces WorkSpace está criptografado em repouso. O controle falhará se o volume WorkSpace raiz não estiver criptografado em repouso.
Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.
### Correção
Para criptografar um volume WorkSpaces raiz, consulte [Criptografar um WorkSpace no Guia](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) de * WorkSpaces Administração da Amazon*.