As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# NIST SP 800-53 Revisão 5 no CSPM do Security Hub
O NIST Special Publication 800-53 Revisão 5 (NIST SP 800-53 Rev. 5) é uma estrutura de segurança cibernética e conformidade desenvolvida pelo National Institute of Standards and Technology (NIST), uma agência que faz parte do Departamento de Comércio dos EUA. Essa estrutura de conformidade fornece um catálogo de requisitos de segurança e privacidade para proteger a confidencialidade, a integridade e a disponibilidade dos sistemas de informações e de recursos essenciais. Agências e prestadores de serviços do governo federal dos EUA devem cumprir esses requisitos para proteger seus sistemas e organizações. As organizações privadas também podem usar voluntariamente os requisitos como uma estrutura orientadora para reduzir os riscos de segurança cibernética. Para obter mais informações sobre a estrutura e seus requisitos, consulte [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) no *Centro de Recursos de Segurança da Informática do NIST*.
AWS O Security Hub CSPM fornece controles de segurança que suportam um subconjunto dos requisitos do NIST SP 800-53 Revisão 5. Os controles realizam verificações de segurança automatizadas para determinados Serviços da AWS recursos. Para habilitar e gerenciar esses controles, é possível habilitar a estrutura do NIST SP 800-53 Revisão 5 como padrão no CSPM do Security Hub. Observe que os controles não oferecem suporte aos requisitos do NIST SP 800-53 Revisão 5 que exigem verificações manuais.
Ao contrário de outras estruturas, a estrutura do NIST SP 800-53 Revisão 5 não é prescritiva sobre como seus requisitos devem ser avaliados. Em vez disso, a estrutura fornece diretrizes. NO CSPM do Security Hub, o padrão e os controles do NIST SP 800-53 Revisão 5 representam a compreensão do serviço sobre essas diretrizes.
**Topics**
+ [Configuração do registro de recursos para o padrão](#standards-reference-nist-800-53-recording)
+ [Determinação de quais controles se aplicam ao padrão](#standards-reference-nist-800-53-controls)
## Configuração do registro de recursos para controles que se aplicam ao padrão
Para otimizar a cobertura e a precisão das descobertas, é importante ativar e configurar o registro de recursos AWS Config antes de ativar o padrão NIST SP 800-53 Revisão 5 no AWS Security Hub CSPM. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de AWS recursos que são verificados pelos controles que se aplicam ao padrão. Isso é principalmente para controles que tenham um tipo de programação *acionada por alteração*. Contudo, alguns controles com um tipo de programação *periódica* também exigem o registro de recursos. Se o registro de recursos não estiver habilitado ou configurado corretamente, o CSPM do Security Hub talvez pode não ser capaz de avaliar os recursos apropriados e gerar descobertas precisas para os controles que se aplicam ao padrão.
Para obter informações sobre como o Security Hub CSPM usa a gravação de recursos em AWS Config, consulte. [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md) Para obter informações sobre como configurar a gravação de recursos em AWS Config, consulte Como [trabalhar com o gravador de configuração](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) no Guia do *AWS Config desenvolvedor*.
A tabela a seguir especifica os tipos de recursos a serem registrados para controles que se aplicam ao padrão NIST SP 800-53 Revisão 5 no CSPM do Security Hub.
| AWS service (Serviço da AWS) | Resource types |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Serviço Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| banco de dados de origem | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| SageMaker IA da Amazon | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Determinação de quais controles se aplicam ao padrão
A lista a seguir especifica os controles que suportam os requisitos do NIST SP 800-53 Revisão 5 e se aplicam ao padrão NIST SP 800-53 Revisão 5 no Security Hub CSPM. AWS Para obter detalhes sobre os requisitos específicos com suporte em um controle, escolha o controle. Em seguida, consulte o campo **Requisitos relacionados** nos detalhes do controle. Esse campo especifica cada requisito do NIST com suporte no controle. Se o campo não especificar um requisito específico do NIST, o controle não oferecerá suporte ao requisito.
+ [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)
+ [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1)
+ [[APIGateway.1] O REST do API Gateway e o registro de execução WebSocket da API devem estar habilitados](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5)
+ [[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB](autoscaling-controls.md#autoscaling-1)
+ [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3)
+ [[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos](autoscaling-controls.md#autoscaling-5)
+ [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1)
+ [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12)
+ [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)
+ [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)
+ [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas](cloudwatch-controls.md#cloudwatch-15)
+ [[CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado](cloudwatch-controls.md#cloudwatch-16)
+ [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4)
+ [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)
+ [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1)
+ [[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas](dms-controls.md#dms-1)
+ [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6)
+ [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7)
+ [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8)
+ [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10)
+ [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12)
+ [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.1] As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda](dynamodb-controls.md#dynamodb-1)
+ [[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time](dynamodb-controls.md#dynamodb-2)
+ [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente](ec2-controls.md#ec2-1)
+ [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)
+ [[EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso.](ec2-controls.md#ec2-3)
+ [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4)
+ [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)
+ [[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7)
+ [[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8)
+ [[EC2.9] As instâncias do Amazon EC2 não devem ter um endereço público IPv4](ec2-controls.md#ec2-9)
+ [[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.12] O Amazon EC2 não utilizado deve ser removido EIPs](ec2-controls.md#ec2-12)
+ [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13)
+ [As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos](ec2-controls.md#ec2-15)
+ [[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas](ec2-controls.md#ec2-16)
+ [[EC2.17] As instâncias do Amazon EC2 não devem usar várias ENIs](ec2-controls.md#ec2-17)
+ [[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas](ec2-controls.md#ec2-18)
+ [[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco](ec2-controls.md#ec2-19)
+ [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20)
+ [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)
+ [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23)
+ [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24)
+ [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25)
+ [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28)
+ [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51)
+ [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1)
+ [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2)
+ [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3)
+ [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário](ecs-controls.md#ecs-1)
+ [[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente](ecs-controls.md#ecs-2)
+ [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3)
+ [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4)
+ [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5)
+ [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8)
+ [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9)
+ [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17)
+ [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2)
+ [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3)
+ [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4)
+ [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6)
+ [[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público](eks-controls.md#eks-1)
+ [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2)
+ [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3)
+ [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8)
+ [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS](elb-controls.md#elb-1)
+ [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2)
+ [Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS](elb-controls.md#elb-3)
+ [[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos](elb-controls.md#elb-4)
+ [[ELB.5] O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado](elb-controls.md#elb-5)
+ [[ELB.6] A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada](elb-controls.md#elb-6)
+ [[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada](elb-controls.md#elb-7)
+ [[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config](elb-controls.md#elb-8)
+ [[ELB.9] Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado](elb-controls.md#elb-9)
+ [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10)
+ [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12)
+ [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13)
+ [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14)
+ [[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma ACL da web AWS WAF](elb-controls.md#elb-16)
+ [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17)
+ [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1)
+ [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2)
+ [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3)
+ [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4)
+ [[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.](es-controls.md#es-1)
+ [[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2)
+ [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3)
+ [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4)
+ [[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado](es-controls.md#es-5)
+ [[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados](es-controls.md#es-6)
+ [[ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados](es-controls.md#es-7)
+ [[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente](es-controls.md#es-8)
+ [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4)
+ [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2)
+ [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1)
+ [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1)
+ [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)
+ [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)
+ [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)
+ [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)
+ [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)
+ [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7)
+ [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)
+ [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)
+ [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19)
+ [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21)
+ [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1)
+ [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1)
+ [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2)
+ [[KMS.3] não AWS KMS keys deve ser excluído acidentalmente](kms-controls.md#kms-3)
+ [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)
+ [[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1)
+ [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)
+ [[Lambda.3] As funções do Lambda devem estar em uma VPC](lambda-controls.md#lambda-3)
+ [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5)
+ [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2)
+ [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1)
+ [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2)
+ [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2)
+ [[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada](mq-controls.md#mq-3)
+ [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6)
+ [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1)
+ [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3)
+ [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4)
+ [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5)
+ [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6)
+ [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7)
+ [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8)
+ [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10)
+ [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1)
+ [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2)
+ [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3)
+ [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4)
+ [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5)
+ [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6)
+ [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8)
+ [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10)
+ [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11)
+ [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1)
+ [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1)
+ [[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2)
+ [[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3)
+ [[RDS.4] Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso](rds-controls.md#rds-4)
+ [[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade](rds-controls.md#rds-5)
+ [[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS](rds-controls.md#rds-6)
+ [[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada](rds-controls.md#rds-7)
+ [[RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada](rds-controls.md#rds-8)
+ [[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch](rds-controls.md#rds-9)
+ [[RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS](rds-controls.md#rds-10)
+ [[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados](rds-controls.md#rds-11)
+ [[RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS](rds-controls.md#rds-12)
+ [[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13)
+ [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14)
+ [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15)
+ [[RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados](rds-controls.md#rds-16)
+ [[RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots](rds-controls.md#rds-17)
+ [[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster](rds-controls.md#rds-19)
+ [[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados](rds-controls.md#rds-20)
+ [[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados](rds-controls.md#rds-21)
+ [[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados](rds-controls.md#rds-22)
+ [[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados](rds-controls.md#rds-23)
+ [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24)
+ [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25)
+ [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26)
+ [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27)
+ [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35)
+ [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45)
+ [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1)
+ [[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito](redshift-controls.md#redshift-2)
+ [[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados](redshift-controls.md#redshift-3)
+ [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4)
+ [[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas](redshift-controls.md#redshift-6)
+ [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7)
+ [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8)
+ [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10)
+ [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2)
+ [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)
+ [[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura](s3-controls.md#s3-2)
+ [[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação](s3-controls.md#s3-3)
+ [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)
+ [[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS](s3-controls.md#s3-6)
+ [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7)
+ [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)
+ [[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado](s3-controls.md#s3-9)
+ [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10)
+ [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11)
+ [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12)
+ [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13)
+ [[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado](s3-controls.md#s3-14)
+ [[S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado](s3-controls.md#s3-15)
+ [[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17)
+ [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19)
+ [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20)
+ [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4)
+ [[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada](secretsmanager-controls.md#secretsmanager-1)
+ [[SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso](secretsmanager-controls.md#secretsmanager-2)
+ [[SecretsManager.3] Remover segredos não utilizados do Secrets Manager](secretsmanager-controls.md#secretsmanager-3)
+ [[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias](secretsmanager-controls.md#secretsmanager-4)
+ [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS](sns-controls.md#sns-1)
+ [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1)
+ [[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2)
+ [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3)
+ [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4)
+ [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2)
+ [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3)
+ [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1)
+ [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2)
+ [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3)
+ [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4)
+ [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6)
+ [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7)
+ [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10)
+ [[WAF.11] O registro de ACL AWS WAF da web deve estar ativado](waf-controls.md#waf-11)
+ [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12)