As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Limites regionais do CSPM do Security Hub
<a name="securityhub-regions"></a>

Alguns recursos do CSPM do AWS Security Hub estão disponíveis apenas em alguns. Regiões da AWS As seções a seguir especificam esses limites regionais. Para obter uma lista completa de todas as regiões onde o CSPM do Security Hub está disponível no momento, consulte [Endpoints e cotas do AWS Security Hub](https://docs.aws.amazon.com/general/latest/gr/sechub.html) no *Referência geral da AWS*.

## Restrições de agregação entre regiões
<a name="securityhub-regions-finding-aggregation-support"></a>

Em AWS GovCloud (US) Regions, a [agregação entre regiões](finding-aggregation.md) está disponível somente para descobertas, atualizações e insights AWS GovCloud (US) Regions . Especificamente, você pode agregar descobertas, atualizações e insights somente entre as regiões AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA).

Nas regiões da China, a agregação entre regiões está disponível somente para descobertas, atualizações de descobertas e insights das regiões da China. Especificamente, é possível agregar descobertas, atualizações de descobertas e insights somente entre as regiões China (Pequim) e China (Ningxia).

Não é possível usar uma região desabilitada por padrão como sua região de agregação. Para obter uma lista de regiões que estão desativadas por padrão, consulte [Ativar ou desativar Regiões da AWS em sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) no *Guia de AWS Gerenciamento de contas referência*.

## Disponibilidade de integrações por região
<a name="securityhub-regions-integration-support"></a>

Algumas integrações não estão disponíveis em todas Regiões da AWS. No console do CSPM do Security Hub, uma integração não será exibida na página **Integrações** caso não esteja disponível na região em que você estiver conectado no momento.

### Integrações com suporte nas regiões China (Pequim) e China (Ningxia)
<a name="securityhub-regions-integration-support-china"></a>

Nas regiões China (Pequim) e China (Ningxia), o CSPM do Security Hub oferece suporte somente às [integrações com Serviços da AWS](securityhub-internal-providers.md) a seguir:
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Identity and Access Management Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender
+ AWS Systems Manager Explorer
+ AWS Systems Manager OpsCenter
+ AWS Systems Manager Gerenciador de patches

Nas regiões China (Pequim) e China (Ningxia), o CSPM do Security Hub oferece suporte somente às [integrações de terceiros](securityhub-partner-providers.md) a seguir:
+ Cloud Custodian
+ FireEye Helix
+ Helecloud
+ IBM QRadar
+ PagerDuty
+ Palo Alto Networks Cortex XSOAR
+ Palo Alto Networks VM-Series
+ Prowler
+ RSA Archer
+ Splunk Enterprise
+ Splunk Phantom
+ ThreatModeler

### Integrações suportadas nas regiões AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA)
<a name="securityhub-regions-integration-support-govcloud"></a>

[Nas regiões AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA), o Security Hub CSPM suporta somente as seguintes integrações com: Serviços da AWS](securityhub-internal-providers.md)
+ AWS Config
+ Amazon Detective
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Health
+ IAM Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender

[Nas regiões AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA), o CSPM do Security Hub oferece suporte somente às seguintes integrações de terceiros:](securityhub-partner-providers.md)
+ Atlassian Jira Service Management
+ Atlassian Jira Service Management Cloud
+ Atlassian OpsGenie
+ Caveonix Cloud
+ Cloud Custodian
+ Cloud Storage Security Antivirus for Amazon S3
+ CrowdStrike Falcon
+ FireEye Helix
+ Forcepoint CASB
+ Forcepoint DLP
+ Forcepoint NGFW
+ Fugue
+ Kion
+ MicroFocus ArcSight
+ NETSCOUT Cyber Investigator
+ PagerDuty
+ Palo Alto Networks – Prisma Cloud Compute
+ Palo Alto Networks – Prisma Cloud Enterprise
+ Palo Alto Networks – VM-Series(disponível somente em AWS GovCloud (Oeste dos EUA))
+ Prowler
+ Rackspace Technology – Cloud Native Security
+ Rapid7 InsightConnect
+ RSA Archer
+ ServiceNow ITSM
+ Slack
+ ThreatModeler
+ Vectra AI Cognito Detect

## Disponibilidade de padrões por região
<a name="securityhub-regions-standards-support"></a>

O [padrão AWS Control Tower gerenciado por serviços](service-managed-standard-aws-control-tower.md) está disponível somente no Regiões da AWS que AWS Control Tower suporta. Para obter uma lista das regiões que AWS Control Tower atualmente oferecem suporte, consulte [Como Regiões da AWS trabalhar com AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html) no *Guia AWS Control Tower do usuário*.

O [padrão AWS de marcação de recursos](standards-tagging.md) não está disponível na região Ásia-Pacífico (Taipei).

Outros padrões de segurança estão disponíveis em todas as regiões nas quais o Security Hub está disponível no momento.

## Disponibilidade de controles por região
<a name="securityhub-regions-control-support"></a>

Alguns controles CSPM do Security Hub não estão disponíveis em todos. Regiões da AWSPara obter uma lista de controles que não estão disponíveis em cada região, consulte [Limites regionais em controles do CSPM do Security Hub](regions-controls.md).

No console do CSPM do Security Hub, um controle não aparece na lista de controles se não estiver disponível na região em que você estiver conectado no momento. A exceção é uma região de agregação. Se você configurar uma região de agregação e fizer login nessa região, o console mostrará os controles que estão disponíveis na região de agregação ou em uma ou mais regiões vinculadas.

# Limites regionais em controles do CSPM do Security Hub
<a name="regions-controls"></a>

Alguns controles CSPM do AWS Security Hub não estão disponíveis em todos. Regiões da AWS Esta página especifica quais controles não estão disponíveis em regiões específicas.

No console do CSPM do Security Hub, um controle não aparece na lista de controles se não estiver disponível na região em que você estiver conectado no momento. A exceção é uma região de agregação. Se você configurar uma região de agregação e fizer login nessa região, o console mostrará os controles que estão disponíveis na região de agregação ou em uma ou mais regiões vinculadas.

**Topics**
+ [

## Leste dos EUA (Norte da Virgínia)
](#securityhub-control-support-useast1)
+ [

## Leste dos EUA (Ohio)
](#securityhub-control-support-useast2)
+ [

## Oeste dos EUA (N. da Califórnia)
](#securityhub-control-support-uswest1)
+ [

## Oeste dos EUA (Oregon)
](#securityhub-control-support-uswest2)
+ [

## África (Cidade do Cabo)
](#securityhub-control-support-afsouth1)
+ [

## Ásia-Pacífico (Hong Kong)
](#securityhub-control-support-apeast1)
+ [

## Ásia-Pacífico (Hyderabad)
](#securityhub-control-support-apsouth2)
+ [

## Ásia-Pacífico (Jacarta)
](#securityhub-control-support-apsoutheast3)
+ [

## Ásia-Pacífico (Malásia)
](#securityhub-control-support-apsoutheast5)
+ [

## Ásia-Pacífico (Melbourne)
](#securityhub-control-support-apsoutheast4)
+ [

## Ásia-Pacífico (Mumbai)
](#securityhub-control-support-apsouth1)
+ [

## Ásia-Pacífico (Nova Zelândia)
](#securityhub-control-support-apsoutheast6)
+ [

## Ásia-Pacífico (Osaka)
](#securityhub-control-support-apnortheast3)
+ [

## Ásia-Pacífico (Seul)
](#securityhub-control-support-apnortheast2)
+ [

## Ásia-Pacífico (Singapura)
](#securityhub-control-support-apsoutheast1)
+ [

## Ásia-Pacífico (Sydney)
](#securityhub-control-support-apsoutheast2)
+ [

## Ásia-Pacífico (Taipei)
](#securityhub-control-support-apeast2)
+ [

## Ásia-Pacífico (Tailândia)
](#securityhub-control-support-apsoutheast7)
+ [

## Ásia-Pacífico (Tóquio)
](#securityhub-control-support-apnortheast1)
+ [

## Canadá (Central)
](#securityhub-control-support-cacentral1)
+ [

## Oeste do Canadá (Calgary)
](#securityhub-control-support-cawest1)
+ [

## China (Pequim)
](#securityhub-control-support-cnnorth1)
+ [

## China (Ningxia)
](#securityhub-control-support-cnnorthwest1)
+ [

## Europa (Frankfurt)
](#securityhub-control-support-eucentral1)
+ [

## Europa (Irlanda)
](#securityhub-control-support-euwest1)
+ [

## Europa (Londres)
](#securityhub-control-support-euwest2)
+ [

## Europa (Milão)
](#securityhub-control-support-eusouth1)
+ [

## Europa (Paris)
](#securityhub-control-support-euwest3)
+ [

## Europa (Espanha)
](#securityhub-control-support-eusouth2)
+ [

## Europa (Estocolmo)
](#securityhub-control-support-eunorth1)
+ [

## Europa (Zurique)
](#securityhub-control-support-eucentral2)
+ [

## Israel (Tel Aviv)
](#securityhub-control-support-ilcentral1)
+ [

## México (Centro)
](#securityhub-control-support-mxcentral1)
+ [

## Oriente Médio (Bahrein)
](#securityhub-control-support-mesouth1)
+ [

## Oriente Médio (Emirados Árabes Unidos)
](#securityhub-control-support-mecentral1)
+ [

## América do Sul (São Paulo)
](#securityhub-control-support-saeast1)
+ [

## AWS GovCloud (Leste dos EUA)
](#securityhub-control-support-usgoveast1)
+ [

## AWS GovCloud (Oeste dos EUA)
](#securityhub-control-support-usgovwest1)

## Leste dos EUA (Norte da Virgínia)
<a name="securityhub-control-support-useast1"></a>

Não há suporte para os controles a seguir na região Leste dos EUA (Norte da Virgínia).
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 

## Leste dos EUA (Ohio)
<a name="securityhub-control-support-useast2"></a>

Não há suporte para os controles a seguir na região Leste dos EUA (Ohio).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Oeste dos EUA (N. da Califórnia)
<a name="securityhub-control-support-uswest1"></a>

Não há suporte para os controles a seguir na região Oeste dos EUA (N. da Califórnia).
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Oeste dos EUA (Oregon)
<a name="securityhub-control-support-uswest2"></a>

Não há suporte para os controles a seguir na região Oeste dos EUA (Oregon).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## África (Cidade do Cabo)
<a name="securityhub-control-support-afsouth1"></a>

Não há suporte para os controles a seguir na região África (Cidade do Cabo).
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Ásia-Pacífico (Hong Kong)
<a name="securityhub-control-support-apeast1"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Hong Kong).
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Hyderabad)
<a name="securityhub-control-support-apsouth2"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Hyderabad).
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Jacarta)
<a name="securityhub-control-support-apsoutheast3"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Jacarta).
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Malásia)
<a name="securityhub-control-support-apsoutheast5"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Malásia).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.2] os pontos de AWS Backup recuperação devem ser marcados](backup-controls.md#backup-2) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada](ecs-controls.md#ecs-19) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[ES.9] Os domínios do Elasticsearch devem ser marcados](es-controls.md#es-9) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [Os AWS Glue trabalhos [Glue.1] devem ser marcados](glue-controls.md#glue-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito](rds-controls.md#rds-38) 
+  [[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito](rds-controls.md#rds-39) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Melbourne)
<a name="securityhub-control-support-apsoutheast4"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Melbourne).
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Mumbai)
<a name="securityhub-control-support-apsouth1"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Mumbai).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Ásia-Pacífico (Nova Zelândia)
<a name="securityhub-control-support-apsoutheast6"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Nova Zelândia).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] O REST do API Gateway e o registro de execução WebSocket da API devem estar habilitados](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Athena.2] Os catálogos de dados do Athena devem ser marcados](athena-controls.md#athena-2) 
+  [[Athena.3] Os grupos de trabalho do Athena devem ser marcados](athena-controls.md#athena-3) 
+  [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.2] os pontos de AWS Backup recuperação devem ser marcados](backup-controls.md#backup-2) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[EC2.182] Os snapshots do Amazon EBS não devem estar acessíveis ao público](ec2-controls.md#ec2-182) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada](ecs-controls.md#ecs-19) 
+  [[ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma ACL da web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 
+  [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[ES.9] Os domínios do Elasticsearch devem ser marcados](es-controls.md#es-9) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [Os AWS Glue trabalhos [Glue.1] devem ser marcados](glue-controls.md#glue-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets deve ser marcado](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] os GuardDuty detectores devem ser marcados](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito](rds-controls.md#rds-38) 
+  [[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito](rds-controls.md#rds-39) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 
+  [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1) 
+  [[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4) 
+  [[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Os clusters do Redshift devem ser marcados](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 
+  [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WAF.11] O registro de ACL AWS WAF da web deve estar ativado](waf-controls.md#waf-11) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Osaka)
<a name="securityhub-control-support-apnortheast3"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Osaka).
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 
+  [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Seul)
<a name="securityhub-control-support-apnortheast2"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Seul).
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Ásia-Pacífico (Singapura)
<a name="securityhub-control-support-apsoutheast1"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Singapura).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Ásia-Pacífico (Sydney)
<a name="securityhub-control-support-apsoutheast2"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Sydney).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Ásia-Pacífico (Taipei)
<a name="securityhub-control-support-apeast2"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Taipei).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[ACM.3] Os certificados do ACM devem ser marcados](acm-controls.md#acm-3) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] O REST do API Gateway e o registro de execução WebSocket da API devem estar habilitados](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Athena.2] Os catálogos de dados do Athena devem ser marcados](athena-controls.md#athena-2) 
+  [[Athena.3] Os grupos de trabalho do Athena devem ser marcados](athena-controls.md#athena-3) 
+  [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados](autoscaling-controls.md#autoscaling-10) 
+  [[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos](autoscaling-controls.md#autoscaling-5) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.2] os pontos de AWS Backup recuperação devem ser marcados](backup-controls.md#backup-2) 
+  [[Backup.3] os AWS Backup cofres devem ser marcados](backup-controls.md#backup-3) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Backup.5] os planos de AWS Backup backup devem ser marcados](backup-controls.md#backup-5) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.2] as CloudFormation pilhas devem ser marcadas](cloudformation-controls.md#cloudformation-2) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.9] CloudTrail trilhas devem ser marcadas](cloudtrail-controls.md#cloudtrail-9) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas](dms-controls.md#dms-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoB.5] As tabelas do DynamoDB devem ser marcadas](dynamodb-controls.md#dynamodb-5) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco](ec2-controls.md#ec2-19) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.33] Os anexos do gateway de trânsito do EC2 devem ser marcados](ec2-controls.md#ec2-33) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.35] As interfaces de rede do EC2 devem ser marcadas](ec2-controls.md#ec2-35) 
+  [[EC2.36] Os gateways dos clientes do EC2 devem ser marcados](ec2-controls.md#ec2-36) 
+  [[EC2.37] Os endereços IP elásticos do EC2 devem ser marcados](ec2-controls.md#ec2-37) 
+  [[EC2.38] As instâncias do EC2 devem ser marcadas](ec2-controls.md#ec2-38) 
+  [[EC2.39] Os gateways da Internet do EC2 devem ser marcados](ec2-controls.md#ec2-39) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.41] A rede ACLs EC2 deve ser marcada](ec2-controls.md#ec2-41) 
+  [[EC2.42] As tabelas de rotas do EC2 devem ser marcadas](ec2-controls.md#ec2-42) 
+  [[EC2.43] Os grupos de segurança do EC2 devem ser marcados](ec2-controls.md#ec2-43) 
+  [[EC2.44] As sub-redes do EC2 devem ser marcadas](ec2-controls.md#ec2-44) 
+  [[EC2.45] Os volumes do EC2 devem ser marcados](ec2-controls.md#ec2-45) 
+  [[EC2.46] Amazon VPCs deve ser etiquetada](ec2-controls.md#ec2-46) 
+  [[EC2.47] Os serviços de endpoint da Amazon VPC devem ser marcados](ec2-controls.md#ec2-47) 
+  [[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados](ec2-controls.md#ec2-48) 
+  [[EC2.49] As conexões de emparelhamento da Amazon VPC devem ser marcadas](ec2-controls.md#ec2-49) 
+  [[EC2.50] Os gateways de VPN do EC2 devem ser marcados](ec2-controls.md#ec2-50) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.52] Os gateways de trânsito do EC2 devem ser marcados](ec2-controls.md#ec2-52) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[EC2.182] Os snapshots do Amazon EBS não devem estar acessíveis ao público](ec2-controls.md#ec2-182) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário](ecs-controls.md#ecs-1) 
+  [[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente](ecs-controls.md#ecs-2) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.13] Os serviços do ECS devem ser marcados](ecs-controls.md#ecs-13) 
+  [[ECS.14] Os clusters do ECS devem ser marcados](ecs-controls.md#ecs-14) 
+  [[ECS.15] As definições de tarefas do ECS devem ser marcadas](ecs-controls.md#ecs-15) 
+  [[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada](ecs-controls.md#ecs-19) 
+  [[ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.5] Os pontos de acesso do EFS devem ser marcados](efs-controls.md#efs-5) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público](eks-controls.md#eks-1) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.6] Os clusters do EKS devem ser marcados](eks-controls.md#eks-6) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS](elb-controls.md#elb-3) 
+  [[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada](elb-controls.md#elb-7) 
+  [[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config](elb-controls.md#elb-8) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma ACL da web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 
+  [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.](es-controls.md#es-1) 
+  [[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2) 
+  [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado](es-controls.md#es-5) 
+  [[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados](es-controls.md#es-6) 
+  [[ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados](es-controls.md#es-7) 
+  [[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente](es-controls.md#es-8) 
+  [[ES.9] Os domínios do Elasticsearch devem ser marcados](es-controls.md#es-9) 
+  [[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados](eventbridge-controls.md#eventbridge-2) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [Os AWS Glue trabalhos [Glue.1] devem ser marcados](glue-controls.md#glue-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets deve ser marcado](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] os GuardDuty detectores devem ser marcados](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados](iam-controls.md#iam-23) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.2] Os fluxos do Kinesis devem ser marcados](kinesis-controls.md#kinesis-2) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.3] não AWS KMS keys deve ser excluído acidentalmente](kms-controls.md#kms-3) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.6] As funções do Lambda devem ser marcadas](lambda-controls.md#lambda-6) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados](networkfirewall-controls.md#networkfirewall-7) 
+  [[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas](networkfirewall-controls.md#networkfirewall-8) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados](rds-controls.md#rds-16) 
+  [[RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots](rds-controls.md#rds-17) 
+  [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) 
+  [[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster](rds-controls.md#rds-19) 
+  [[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados](rds-controls.md#rds-20) 
+  [[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados](rds-controls.md#rds-21) 
+  [[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados](rds-controls.md#rds-22) 
+  [[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados](rds-controls.md#rds-23) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.28] Os clusters de bancos de dados do RDS devem ser marcados](rds-controls.md#rds-28) 
+  [[RDS.29] Os snapshots de cluster de bancos de dados do RDS devem ser marcados](rds-controls.md#rds-29) 
+  [[RDS.30] As instâncias de bancos de dados do RDS devem ser marcadas](rds-controls.md#rds-30) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.32] Os snapshots de banco de dados do RDS devem ser marcados](rds-controls.md#rds-32) 
+  [[RDS.33] Os grupos de sub-redes de banco de dados do RDS devem ser marcados](rds-controls.md#rds-33) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito](rds-controls.md#rds-38) 
+  [[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito](rds-controls.md#rds-39) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 
+  [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1) 
+  [[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4) 
+  [[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Os clusters do Redshift devem ser marcados](redshift-controls.md#redshift-11) 
+  [[Redshift.12] As notificações de assinatura de notificações eventos do Redshift devem ser marcadas](redshift-controls.md#redshift-12) 
+  [[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-13) 
+  [[Redshift.14] Os grupos de sub-redes de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-14) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Remover segredos não utilizados do Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias](secretsmanager-controls.md#secretsmanager-4) 
+  [[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados](secretsmanager-controls.md#secretsmanager-5) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.3] Os tópicos do SNS devem ser marcados](sns-controls.md#sns-3) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 
+  [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] As atividades do Step Functions devem ser marcadas](stepfunctions-controls.md#stepfunctions-2) 
+  [Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WAF.11] O registro de ACL AWS WAF da web deve estar ativado](waf-controls.md#waf-11) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Tailândia)
<a name="securityhub-control-support-apsoutheast7"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Tailândia).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Athena.2] Os catálogos de dados do Athena devem ser marcados](athena-controls.md#athena-2) 
+  [[Athena.3] Os grupos de trabalho do Athena devem ser marcados](athena-controls.md#athena-3) 
+  [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.2] os pontos de AWS Backup recuperação devem ser marcados](backup-controls.md#backup-2) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[EC2.182] Os snapshots do Amazon EBS não devem estar acessíveis ao público](ec2-controls.md#ec2-182) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada](ecs-controls.md#ecs-19) 
+  [[ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[ES.9] Os domínios do Elasticsearch devem ser marcados](es-controls.md#es-9) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [Os AWS Glue trabalhos [Glue.1] devem ser marcados](glue-controls.md#glue-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito](rds-controls.md#rds-38) 
+  [[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito](rds-controls.md#rds-39) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Tóquio)
<a name="securityhub-control-support-apnortheast1"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Tóquio).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Canadá (Central)
<a name="securityhub-control-support-cacentral1"></a>

Não há suporte para os controles a seguir na região Canadá (Central).
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Oeste do Canadá (Calgary)
<a name="securityhub-control-support-cawest1"></a>

Não há suporte para os controles a seguir na região Oeste do Canadá (Calgary).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito](rds-controls.md#rds-38) 
+  [[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito](rds-controls.md#rds-39) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade](redshift-controls.md#redshift-16) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## China (Pequim)
<a name="securityhub-control-support-cnnorth1"></a>

Não há suporte para os controles a seguir na região China (Pequim).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.36] Os gateways dos clientes do EC2 devem ser marcados](ec2-controls.md#ec2-36) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 
+  [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.3] GuardDuty IPSets deve ser marcado](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] os GuardDuty detectores devem ser marcados](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados](iam-controls.md#iam-23) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada](rds-controls.md#rds-7) 
+  [[RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS](rds-controls.md#rds-12) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15) 
+  [[RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados](rds-controls.md#rds-16) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.28] Os clusters de bancos de dados do RDS devem ser marcados](rds-controls.md#rds-28) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## China (Ningxia)
<a name="securityhub-control-support-cnnorthwest1"></a>

Não há suporte para os controles a seguir na região China (Ningxia).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.36] Os gateways dos clientes do EC2 devem ser marcados](ec2-controls.md#ec2-36) 
+  [[EC2.50] Os gateways de VPN do EC2 devem ser marcados](ec2-controls.md#ec2-50) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 
+  [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[GuardDuty.3] GuardDuty IPSets deve ser marcado](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] os GuardDuty detectores devem ser marcados](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados](iam-controls.md#iam-23) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1) 
+  [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) 
+  [[Lambda.3] As funções do Lambda devem estar em uma VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.6] As funções do Lambda devem ser marcadas](lambda-controls.md#lambda-6) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.2] As atividades do Step Functions devem ser marcadas](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Europa (Frankfurt)
<a name="securityhub-control-support-eucentral1"></a>

Não há suporte para os controles a seguir na região Europa (Frankfurt).
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Europa (Irlanda)
<a name="securityhub-control-support-euwest1"></a>

Não há suporte para os controles a seguir na região Europa (Irlanda).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Europa (Londres)
<a name="securityhub-control-support-euwest2"></a>

Não há suporte para os controles a seguir na região Europa (Londres).
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Europa (Milão)
<a name="securityhub-control-support-eusouth1"></a>

Não há suporte para os controles a seguir na região Europa (Milão).
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Europa (Paris)
<a name="securityhub-control-support-euwest3"></a>

Não há suporte para os controles a seguir na região Europa (Paris).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Europa (Espanha)
<a name="securityhub-control-support-eusouth2"></a>

Não há suporte para os controles a seguir na região Europa (Espanha).
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente](ec2-controls.md#ec2-1) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Europa (Estocolmo)
<a name="securityhub-control-support-eunorth1"></a>

Não há suporte para os controles a seguir na região Europa (Estocolmo).
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Europa (Zurique)
<a name="securityhub-control-support-eucentral2"></a>

Não há suporte para os controles a seguir na região Europa (Zurique).
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Israel (Tel Aviv)
<a name="securityhub-control-support-ilcentral1"></a>

Não há suporte para os controles a seguir na região Israel (Tel Aviv).
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.4] Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso](rds-controls.md#rds-4) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.29] Os snapshots de cluster de bancos de dados do RDS devem ser marcados](rds-controls.md#rds-29) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## México (Centro)
<a name="securityhub-control-support-mxcentral1"></a>

Não há suporte para os controles a seguir na região México (Central).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.2] os pontos de AWS Backup recuperação devem ser marcados](backup-controls.md#backup-2) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[EC2.182] Os snapshots do Amazon EBS não devem estar acessíveis ao público](ec2-controls.md#ec2-182) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada](ecs-controls.md#ecs-19) 
+  [[ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[ES.9] Os domínios do Elasticsearch devem ser marcados](es-controls.md#es-9) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [Os AWS Glue trabalhos [Glue.1] devem ser marcados](glue-controls.md#glue-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito](rds-controls.md#rds-38) 
+  [[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito](rds-controls.md#rds-39) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1) 
+  [[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4) 
+  [[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Os clusters do Redshift devem ser marcados](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Oriente Médio (Bahrein)
<a name="securityhub-control-support-mesouth1"></a>

Não há suporte para os controles a seguir na região Oriente Médio (Bahrein).
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Oriente Médio (Emirados Árabes Unidos)
<a name="securityhub-control-support-mecentral1"></a>

Não há suporte para os controles a seguir na região Oriente Médio (Emirados Árabes Unidos).
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## América do Sul (São Paulo)
<a name="securityhub-control-support-saeast1"></a>

Não há suporte para os controles a seguir na região América do Sul (São Paulo).
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## AWS GovCloud (Leste dos EUA)
<a name="securityhub-control-support-usgoveast1"></a>

Os controles a seguir não são suportados na região AWS GovCloud (Leste dos EUA).
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.47] Os serviços de endpoint da Amazon VPC devem ser marcados](ec2-controls.md#ec2-47) 
+  [[EC2.52] Os gateways de trânsito do EC2 devem ser marcados](ec2-controls.md#ec2-52) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 
+  [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] As atividades do Step Functions devem ser marcadas](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## AWS GovCloud (Oeste dos EUA)
<a name="securityhub-control-support-usgovwest1"></a>

Os controles a seguir não são suportados na região AWS GovCloud (Oeste dos EUA).
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.38] As instâncias do EC2 devem ser marcadas](ec2-controls.md#ec2-38) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 
+  [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 
+  [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Os clusters do Redshift devem ser marcados](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-13) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] As atividades do Step Functions devem ser marcadas](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12)