As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Introdução ao AWS Security Hub CSPM
<a name="what-is-securityhub"></a>

AWS O Security Hub Cloud Security Posture Management (AWS Security Hub CSPM) fornece uma visão abrangente do seu estado de segurança AWS e ajuda você a avaliar seu AWS ambiente em relação aos padrões e melhores práticas do setor de segurança.

AWS O Security Hub CSPM coleta dados de segurança em Contas da AWS produtos de terceiros compatíveis e ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de maior prioridade. Serviços da AWS

Para ajudar você a gerenciar o estado de segurança da sua organização, o CPSM do Security Hub oferece suporte a vários padrões de segurança. Isso inclui o padrão AWS Foundational Security Best Practices (FSBP) desenvolvido por e estruturas externas de conformidade AWS, como o Center for Internet Security (CIS), o Payment Card Industry Data Security Standard (PCI DSS) e o National Institute of Standards and Technology (NIST). Cada padrão inclui vários controles de segurança, cada um dos quais representa uma prática recomendada de segurança. CSPM do Security Hub executa verificações nos controles de segurança e gera descobertas de controle para ajudar você a avaliar sua conformidade com as práticas recomendadas de segurança.

Além de gerar descobertas de controle, o Security Hub CSPM também recebe descobertas de outros, Serviços da AWS como Amazon, Amazon GuardDuty Inspector e Amazon Macie, e de produtos de terceiros compatíveis. Isso fornece um único painel de controle sobre uma variedade de problemas relacionados à segurança. Também é possível enviar as descobertas do CSPM do Security Hub para outros Serviços da AWS e produtos de terceiros com suporte.

O CSPM do Security Hub oferece atributos de automação que ajudam você a fazer a triagem e corrigir problemas de segurança. Por exemplo, você pode usar regras de automação para atualizar automaticamente descobertas críticas quando uma verificação de segurança falha. Você também pode aproveitar a integração com a Amazon EventBridge para acionar respostas automáticas a descobertas específicas.

**Topics**
+ [Benefícios do CSPM do Security Hub](#securityhub-benefits)
+ [Acesso ao CSPM do Security Hub](#securityhub-get-started)
+ [Serviços relacionados](#securityhub-related-services)
+ [Avaliação gratuita e definição de preços do CSPM do Security Hub](#securityhub-free-trial)
+ [Conceitos e terminologia do CSPM do Security Hub](securityhub-concepts.md)
+ [Habilitação do CSPM do Security Hub](securityhub-settingup.md)
+ [Gerenciamento de contas de membro e administrador no CSPM do Security Hub](securityhub-accounts.md)
+ [Noções básicas sobre a agregação entre regiões no CSPM do Security Hub](finding-aggregation.md)
+ [Noções básicas dos padrões de segurança no CSPM do Security Hub](standards-view-manage.md)
+ [Noções básicas sobre os controles de segurança no CSPM do Security Hub](controls-view-manage.md)
+ [Noções básicas sobre as integrações no CSPM do Security Hub](securityhub-findings-providers.md)
+ [Criação e atualização de descobertas no CSPM do Security Hub](securityhub-findings.md)
+ [Visualização de insights no CSPM do Security Hub](securityhub-insights.md)
+ [Modificação e ação automática a partir de descobertas do CSPM do Security Hub](automations.md)
+ [Trabalho com o painel no CSPM do Security Hub](dashboard.md)
+ [Limites regionais do CSPM do Security Hub](securityhub-regions.md)
+ [Criando recursos CSPM do Security Hub com CloudFormation](creating-resources-with-cloudformation.md)
+ [Assinatura de anúncios do CSPM do Security Hub com o Amazon SNS](securityhub-announcements.md)
+ [Desabilitação do CSPM do Security Hub](securityhub-disable.md)
+ [Segurança em AWS Security Hub CSPM](security.md)
+ [Registrando chamadas da API do Security Hub com CloudTrail](securityhub-ct.md)

## Benefícios do CSPM do Security Hub
<a name="securityhub-benefits"></a>

Aqui estão algumas das principais maneiras pelas quais o Security Hub CSPM ajuda você a monitorar sua postura de conformidade e segurança em todo o ambiente. AWS 

**Esforço reduzido para coletar e priorizar descobertas**  
O Security Hub CSPM reduz o esforço de coletar e priorizar as descobertas de segurança em contas de produtos integrados Serviços da AWS e de parceiros. AWS O Security Hub CSPM processa a busca de dados usando o AWS Security Finding Format (ASFF), um formato de busca padrão. Isso elimina a necessidade de gerenciar descobertas de inúmeras fontes em vários formatos. O CSPM do Security Hub também correlaciona as descobertas dos provedores para priorizar as mais importantes.

**Verificações automáticas de segurança em relação aos padrões e às melhores práticas**  
O Security Hub CSPM executa automaticamente verificações contínuas de configuração e segurança em nível de conta com base nas AWS melhores práticas e nos padrões do setor. O CSPM do Security Hub usa os resultados dessas verificações para calcular as pontuações de segurança e identifica contas e recursos específicos que exijam atenção.

**Visualização consolidada das descobertas nas contas e nos provedores**  
O CSPM do Security Hub consolida suas descobertas de segurança em contas e em produtos do provedor e exibe os resultados no console do CSPM do Security Hub. Você também pode recuperar descobertas por meio da API CSPM do Security Hub ou. AWS CLI SDKs Com uma visão ampla do seu status de segurança atual, você pode detectar tendências, identificar possíveis problemas e tomar as medidas de correção necessárias.

**Capacidade de automatizar a correção e atualização de descobertas**  
É possível criar regras de automação que modificam ou suprimem descobertas com base nos critérios definidos. O Security Hub CSPM também oferece suporte à integração com a Amazon. EventBridge Para automatizar a correção de descobertas específicas, é possível definir ações personalizadas a serem executadas quando uma descoberta é recebida. Por exemplo, é possível configurar ações personalizadas para enviar as descobertas a um sistema de criação de tíquetes ou a um sistema automatizado de correção.

## Acesso ao CSPM do Security Hub
<a name="securityhub-get-started"></a>

O Security Hub CSPM está disponível na maioria. Regiões da AWS Para obter uma lista de todas as regiões onde o CSPM do Security Hub está disponível no momento, consulte [Endpoints e cotas do CSPM do AWS Security Hub](https://docs.aws.amazon.com/general/latest/gr/sechub.html) no *Referência geral da AWS*. Para obter informações sobre como gerenciar Regiões da AWS seu Conta da AWS, consulte [Especificação de qual Regiões da AWS conta pode ser usada](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) no *Guia de AWS Gerenciamento de contas referência*.

Em cada região, é possível acessar e usar o CSPM do Security Hub de qualquer uma das maneiras a seguir:

**Console do CSPM do Security Hub**  
 Console de gerenciamento da AWS É uma interface baseada em navegador que você pode usar para criar e gerenciar AWS recursos. Como parte desse console, o console do CSPM do Security Hub fornece acesso à sua conta, dados e recursos do CSPM do Security Hub. É possível realizar as tarefas do CSPM do Security Hub usando o console do CSPM do Security Hub: visualize descobertas, crie regras de automação, crie uma região de agregação e muito mais.

**API do CSPM do Security Hub**  
A API do CSPM do Security Hub oferece acesso programático à sua conta, dados e recursos do CSPM do Security Hub. Com a API, é possível enviar solicitações de HTTPS diretamente para o CSPM do Security Hub. Para obter mais informações sobre a API, consulte a *[Referência de API do AWS Security Hub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/)*.

**AWS CLI**  
Com o AWS CLI, você pode executar comandos na linha de comando do seu sistema para realizar tarefas CSPM do Security Hub. Em alguns casos, usar a linha de comando pode ser mais rápido e mais conveniente do que usar o console. A linha de comando também é útil se você quiser criar scripts que realizem tarefas. Para obter informações sobre como instalar e usar o AWS CLI, consulte o [Guia AWS Command Line Interface do usuário](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).

**AWS SDKs**  
AWS fornecimentos SDKs que consistem em bibliotecas e exemplos de código para várias linguagens e plataformas de programação — por exemplo, Java, Go, Python, C\$1\$1 e .NET. Eles SDKs fornecem acesso conveniente e programático ao Security Hub CSPM e outros Serviços da AWS no idioma de sua preferência. Eles também incluem tarefas como assinatura criptográfica de solicitações, gerenciamento de erros e novas tentativas automáticas de solicitações. Para obter informações sobre como instalar e usar o AWS SDKs, consulte [Ferramentas para construir AWS](https://aws.amazon.com/developertools/).

**Importante**  
O CSPM do Security Hub só detecta e consolida descobertas geradas após a habilitação do CSPM do Security Hub. Ele não detecta e consolida retroativamente descobertas de segurança que tenham sido geradas antes da habilitação do CSPM do Security Hub.  
O CSPM do Security Hub só recebe e processa as descobertas da região em que você habilitou o CSPM do Security Hub em sua conta.  
Para conformidade total com as verificações de segurança do CIS AWS Foundations Benchmark, você deve habilitar o CSPM do Security Hub em todas as regiões suportadas. AWS 

## Serviços relacionados
<a name="securityhub-related-services"></a>

Para proteger ainda mais seu AWS ambiente, considere usar outro Serviços da AWS em combinação com o Security Hub CSPM. Alguns Serviços da AWS enviam suas descobertas para o Security Hub CSPM, e o Security Hub CSPM normaliza as descobertas em um formato padrão. Alguns também Serviços da AWS podem receber descobertas do Security Hub CSPM.

Para obter uma lista de outros Serviços da AWS que enviam ou recebem descobertas do CSPM do Security Hub, consulte. [AWS service (Serviço da AWS) integrações com o Security Hub CSPM](securityhub-internal-providers.md)

O Security Hub CSPM usa regras vinculadas a serviços de AWS Config para executar verificações de segurança na maioria dos controles. Os controles se referem a AWS recursos específicos Serviços da AWS e específicos. Para obter uma lista dos controles do CSPM do Security Hub, consulte [Referência de controle para o CSPM do Security Hub](securityhub-controls-reference.md). Você deve habilitar AWS Config e registrar recursos no CSPM do Security Hub AWS Config para gerar a maioria das descobertas de controle. Para obter mais informações, consulte [Considerações antes de ativar e configurar AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

## Avaliação gratuita e definição de preços do CSPM do Security Hub
<a name="securityhub-free-trial"></a>

Quando você ativa o CSPM do Security Hub pela primeira vez, essa conta é automaticamente inscrita em um teste gratuito de 30 dias do Security Hub CSPM. Conta da AWS 

Ao usar o Security Hub CSPM durante o teste gratuito, você é cobrado pelo uso de outros serviços com os quais o Security Hub CSPM interage, como itens. AWS Config Você não é cobrado por AWS Config regras que são ativadas somente pelos padrões de segurança CSPM do Security Hub.

Você não será cobrado por usar o CSPM do Security Hub até o término da avaliação gratuita.

### Visualizando detalhes de uso
<a name="usage-details"></a>

O Security Hub CSPM fornece informações de uso, incluindo o número de verificações e descobertas de segurança processadas pela sua conta. Os detalhes de uso também incluem o tempo restante no teste gratuito. Essas informações podem ajudar você a entender o uso do CSPM do Security Hub após o término do teste gratuito. As informações de uso também estão disponíveis após o término da avaliação gratuita.

**Para exibir informações de uso (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Uso** em **Configurações**.

As informações de uso são apenas para a conta atual e a região atual. Em uma região de agregação, as informações de uso não incluem regiões vinculadas. Para mais informações sobre regiões, consulte [Tipos de dados que são agregados](finding-aggregation.md#finding-aggregation-overview).

Para ver os detalhes dos custos da sua conta, use o [console de AWS faturamento](https://console.aws.amazon.com/billing/).

### Detalhes da definição de preços
<a name="pricing-details"></a>

Para mais informações sobre como o CSPM do Security Hub cobra por descobertas ingeridas e verificações de segurança, consulte a [Definição de preços do CSPM do Security Hub](https://aws.amazon.com/security-hub/pricing/).

# Conceitos e terminologia do CSPM do Security Hub
<a name="securityhub-concepts"></a>

No AWS Security Hub CSPM, nos baseamos em AWS conceitos e terminologias comuns e usamos esses termos adicionais.

**Conta**  
Uma conta padrão da Amazon Web Services (AWS) que contém seus AWS recursos. Você pode entrar AWS com sua conta e ativar o CSPM do Security Hub.  
Uma conta pode convidar outras contas para habilitar o CSPM do Security Hub e se associar a essa conta no CSPM do Security Hub. Aceitar um convite de associação é opcional. Se os convites forem aceitos, a conta se torna uma conta de administrador e as contas adicionadas serão contas de membro. As contas de administrador podem ver as descobertas em suas contas de membro.  
Se você estiver inscrito AWS Organizations, sua organização designará uma conta de administrador CSPM do Security Hub para a organização. A conta de administrador do CSPM do Security Hub pode habilitar outras contas da organização como contas de membro.  
Uma conta não pode ser uma conta de administrador e uma conta de membro ao mesmo tempo. Uma conta só pode ter uma conta de administrador.  
Para obter mais informações, consulte [Gerenciamento de contas de membro e administrador no CSPM do Security Hub](securityhub-accounts.md).

**Conta de administrador**  
Uma conta no CSPM do Security Hub com acesso para visualizar as descobertas das contas de membro associadas.  
Uma conta se torna uma conta de administrador de uma das seguintes maneiras:  
+ A conta convida outras contas a se associarem a ela no CSPM do Security Hub. Quando essas contas aceitam o convite, elas se tornam contas de membro e a conta que enviou o convite se torna sua conta de administrador.
+ A conta é designada por uma conta gerencial da organização como a conta de administrador do CSPM do Security Hub. A conta de administrador do CSPM do Security Hub pode habilitar qualquer conta da organização como uma conta de membro e pode convidar outras contas para serem contas de membro.
Uma conta só pode ter uma conta de administrador. Uma conta não pode ser uma conta de administrador e uma conta de membro ao mesmo tempo.

**Região de agregação**  
Definir uma região de agregação permite que você visualize as descobertas de segurança de várias Regiões da AWS em um único painel de vidro.   
A região de agregação é a região a partir da qual você visualiza e gerencia as descobertas. As descobertas são agregadas à região de agregação das regiões vinculadas. As atualizações das descobertas são replicadas em todas as regiões.  
Na região de agregação, as páginas **Padrões de segurança**, **Insights** e **Descobertas** incluem dados de todas as regiões vinculadas.  
Para obter mais informações, consulte [Noções básicas sobre a agregação entre regiões no CSPM do Security Hub](finding-aggregation.md).

**Descoberta arquivada**  
Uma descoberta cujo estado de registro (`RecordState`) é `ARCHIVED`. O arquivamento de uma descoberta indica que o provedor da descoberta acredita que ela não é mais relevante. O estado do registro é diferente do status do fluxo de trabalho, que rastreia o status de uma investigação em uma descoberta.  
Os provedores de descobertas podem usar a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) da API do CSPM do Security Hub para arquivar as descobertas que eles criaram. O CSPM do Security Hub arquiva automaticamente as descobertas de controle que atendam a determinados critérios. Para obter mais informações, consulte [Geração, atualização e arquivamento de descobertas de controle](controls-findings-create-update.md#securityhub-standards-results-updating).  
No console do CSPM do Security Hub, as configurações de filtro padrão excluem descobertas arquivadas das listas e tabelas de busca. É possível atualizar as configurações para incluir descobertas arquivadas. Se você recuperar descobertas usando a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) da API do CSPM do Security Hub, a operação recuperará tanto as descobertas arquivadas quanto as ativas. Para excluir as descobertas arquivadas, é possível filtrar os resultados. Por exemplo:  

```
"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
```

**AWS Formato de descoberta de segurança (ASFF)**  
Um formato padronizado para o conteúdo de descobertas que o CSPM do Security Hub agrega ou gera. O Formato AWS de descoberta de segurança permite que você use o CSPM do Security Hub para visualizar e analisar descobertas geradas por serviços de AWS segurança, soluções de terceiros ou pelo próprio CSPM do Security Hub a partir da execução de verificações de segurança. Para obter mais informações, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

**Controle**  
Uma proteção ou contramedida prescrita para um sistema de informações ou uma organização projetada para proteger a confidencialidade, integridade e disponibilidade de suas informações e para atender a um conjunto de requisitos de segurança definidos. Um padrão de segurança está associado a uma coleção de controles.  
O termo *controle de segurança* se refere aos controles que têm um único ID e título de controle em todos os padrões. O termo *controle padrão* se refere aos controles que têm controle IDs e títulos específicos do padrão. Atualmente, o CSPM do Security Hub oferece suporte a controles padrão somente nas regiões da China e AWS GovCloud (US) Regions. Os controles de segurança são compatíveis com em todas as outras regiões.

**Ação personalizada**  
Um mecanismo CSPM do Security Hub para enviar descobertas selecionadas para o. EventBridge Uma ação personalizada é criada no CSPM do Security Hub. Em seguida, ele é vinculado a uma EventBridge regra. A regra define uma ação específica a ser realizada quando for recebida uma descoberta associada ao ID da ação personalizada. As ações personalizadas podem ser usadas, por exemplo, para enviar uma descoberta específica ou um conjunto pequeno de descobertas a um fluxo de trabalho de resposta ou de correção. Para obter mais informações, consulte [Criar uma ação personalizada](securityhub-cwe-configure.md).

**Conta de administrador delegado (Organizations)**  
Em AWS Organizations, a conta de administrador delegado de um serviço é capaz de gerenciar o uso de um serviço para a organização.  
No CSPM do Security Hub, a conta de administrador do CSPM do Security Hub também é a conta de administrador delegado do CSPM do Security Hub. Quando a conta gerencial da organização designa pela primeira vez uma conta de administrador do CSPM do Security Hub, o CSPM do Security Hub chama o Organizations para tornar essa conta a conta de administrador delegado.  
A conta gerencial da organização deve então escolher a conta de administrador delegado como a conta de administrador do CSPM do Security Hub em todas as regiões.

**Descoberta**  
O registro observável de uma verificação de segurança ou detecção relacionada à segurança. O CSPM do Security Hub gera e atualiza descobertas após concluir verificações de segurança de controles. Elas são chamadas de *descobertas de controle*. As descobertas também podem vir de integrações com outros produtos Serviços da AWS e produtos de terceiros.  
Para obter mais informações, consulte [Criação e atualização de descobertas no CSPM do Security Hub](securityhub-findings.md).

**Agregação entre regiões**  
A agregação de descobertas, insights, status de conformidade de controle e pontuações de segurança de regiões vinculadas a uma região de agregação. Em seguida, você pode visualizar todos os seus dados da região de agregação e atualizar as descobertas e insights dessa região.  
Para obter mais informações, consulte [Noções básicas sobre a agregação entre regiões no CSPM do Security Hub](finding-aggregation.md).

**Descoberta de ingestão**  
A importação de descobertas para o Security Hub CSPM de outros AWS serviços e de fornecedores parceiros terceirizados.  
A descoberta de eventos de ingestão inclui novas descobertas e atualizações das descobertas existentes.

**Insight**  
Uma coleção de descobertas relacionadas definidas por uma instrução de agregação e filtros opcionais. Um insight identifica uma área de segurança que requer atenção e intervenção. O CSPM do Security Hub oferece vários insights gerenciados (padrão) que não podem ser modificados. Você também pode criar insights de CSPM personalizados do Security Hub para rastrear problemas de segurança exclusivos do seu AWS ambiente e uso. Para obter mais informações, consulte [Visualização de insights no CSPM do Security Hub](securityhub-insights.md).

**Região vinculada**  
Quando você ativa a agregação entre regiões, uma região vinculada é aquela que agrega descobertas, insights, status de conformidade de controle e pontuações de segurança à região de agregação.  
Em uma região vinculada, as páginas **Descobertas** e **Insights** contêm descobertas somente dessa região.  
Para obter mais informações, consulte [Noções básicas sobre a agregação entre regiões no CSPM do Security Hub](finding-aggregation.md).

**Conta de membro**  
Uma conta que concedeu permissão a uma conta de administrador para visualizar e agir de acordo com suas descobertas.  
Uma conta se torna uma conta de membro de uma das seguintes maneiras:  
+ A conta aceita um convite de outra conta.
+ Para uma conta de organização, a conta de administrador do CSPM do Security Hub habilita a conta como uma conta de membro.

**Requisitos relacionados**  
Um conjunto de requisitos normativos ou do setor que são mapeados para um controle.

**Regra**  
Um conjunto de critérios automatizados que é usado para avaliar se um controle está sendo cumprido. Quando uma regra é avaliada, ela pode ser aprovada ou reprovada. Se a avaliação não puder determinar se a regra será aprovada ou reprovada, a regra estará em um estado de aviso. Se não for possível avaliar a regra, ela estará em um estado indisponível.

**Verificação de segurança**  
Uma point-in-time avaliação específica de uma regra em relação a um único recurso que resulta em um `NOT_AVAILABLE` estado `PASSED` `FAILED``WARNING`,, ou. Executar uma verificação de segurança produz uma descoberta.

**Conta de administrador do CSPM do Security Hub**  
Uma conta da organização que gerencia a associação ao CSPM do Security Hub de uma organização.  
A conta gerencial da organização designa a conta de administrador do CSPM do Security Hub em cada região. A conta gerencial da organização deve escolher a mesma conta de administrador do CSPM do Security Hub em todas as regiões.  
A conta de administrador do CSPM do Security Hub também é a conta de administrador delegado do CSPM do Security Hub no Organizations.  
A conta de administrador do CSPM do Security Hub pode habilitar outras contas da organização como sendo contas de membro. A conta de administrador do CSPM do Security Hub também pode convidar outras contas para serem contas de membro.

**Padrão de segurança**  
Uma instrução publicada em um tópico especificando as características, geralmente mensuráveis e na forma de controles, que devem ser atendidas ou atingidas para estar em conformidade. Os padrões de segurança podem ser baseados em estruturas regulatórias, melhores práticas ou políticas internas da empresa. Um controle pode estar associado a um ou mais padrões com suporte no CSPM do Security Hub. Para saber mais sobre padrões de segurança no CSPM do Security Hub, consulte [Noções básicas dos padrões de segurança no CSPM do Security Hub](standards-view-manage.md).

**Gravidade**  
A gravidade atribuída a um controle do CSPM do Security Hub identifica a importância do controle. A gravidade de um controle pode ser **Crítica**, **Alta**, **Média**, **Baixa** ou **Informativa**. A gravidade atribuída às descobertas de controle é igual à gravidade do controle em si. Para saber como o CSPM do Security Hub atribui gravidade a um controle, consulte [Níveis de gravidade para as descobertas de controles](controls-findings-create-update.md#control-findings-severity).

**Status do fluxo de trabalho**  
O status de uma investigação sobre uma descoberta. ISso é rastreado por meio do atributo `Workflow.Status`.  
O status do fluxo de trabalho é inicialmente `NEW`. Se você notificou o proprietário do recurso para executar uma ação na descoberta, poderá definir o status do fluxo de trabalho como `NOTIFIED`. Se a descoberta não for um problema e não exigir nenhuma ação, defina o status do fluxo de trabalho como `SUPPRESSED`. Depois de revisar e corrigir uma descoberta, defina o status do fluxo de trabalho como `RESOLVED`.  
Por padrão, a maioria das listas de descobertas inclui apenas descobertas com o status de fluxo de trabalho `NEW` ou `NOTIFIED`. As listas de descobertas para controles também incluem descobertas `RESOLVED`.  
Para a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html), é possível incluir um filtro para o status de fluxo de trabalho.  

```
"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],
```
O console do CSPM do Security Hub fornece uma opção para definir o status do fluxo de trabalho para descobertas. Os clientes (ou SIEM, emissão de tíquetes, gerenciamento de incidentes ou ferramentas SOAR que funcionam em nome de um cliente para atualizar as descobertas dos provedores de descobertas) também podem usar [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) para atualizar o status de fluxo de trabalho.

# Habilitação do CSPM do Security Hub
<a name="securityhub-settingup"></a>

Há duas maneiras de habilitar o CSPM do AWS Security Hub: integrando com AWS Organizations ou manualmente.

É altamente recomendável fazer a integração com Organizations para ambientes com várias contas e várias regiões. Se você tiver uma conta autônoma, será necessário configurar o CSPM do Security Hub manualmente.

## Verificação das permissões necessárias
<a name="securityhub-setup-permissions"></a>

Depois de se cadastrar na Amazon Web Services (AWS), será necessário habilitar o CSPM do Security Hub para usar suas capacidades e recursos. Para habilitar o CSPM do Security Hub, é preciso primeiramente configurar permissões que permitam seu acesso ao console do CSPM do Security Hub e às operações da API. Você ou seu AWS administrador podem fazer isso usando AWS Identity and Access Management (IAM) para anexar a política AWS gerenciada chamada `AWSSecurityHubFullAccess` à sua identidade do IAM.

Para habilitar e gerenciar o Security Hub CSPM por meio da integração do Organizations, você também deve anexar a política AWS gerenciada chamada. `AWSSecurityHubOrganizationsAccess`

Para obter mais informações, consulte [AWS políticas gerenciadas para o Security Hub](security-iam-awsmanpol.md).

## Habilitação do CSPM do Security Hub com a integração do Organizations
<a name="securityhub-orgs-setup-overview"></a>

Para começar a usar o CSPM do Security Hub com AWS Organizations, a conta AWS Organizations de gerenciamento da organização designa uma conta como a conta delegada do administrador do CSPM do Security Hub para a organização. O CSPM do Security Hub é habilitado automaticamente na conta de administrador delegado na região atual.

Escolha seu método preferido e siga as etapas para designar o administrador delegado.

------
#### [ Security Hub CSPM console ]

**Para designar o administrador delegado do CSPM do Security Hub durante a integração**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Escolha **Ir para o CSPM do Security Hub**. Você será solicitado a fazer login na conta gerencial do Organizations.

1. Na página **Designar administrador delegado**, na seção **Conta de administrador delegado**, especifique a conta de administrador delegado. Recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS .

1. Escolha **Definir administrador delegado**.

------
#### [ Security Hub CSPM API ]

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) da conta gerencial do Organizations. Forneça o ID da Conta da AWS da conta de administrador delegado do CSPM do Security Hub.

------
#### [ AWS CLI ]

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) a partir da conta gerencial do Organizations. Forneça o ID da Conta da AWS da conta de administrador delegado do CSPM do Security Hub.

**Exemplo de comando:**

```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```

------

Para obter mais informações sobre a integração com o Organizations, consulte [Integrando o Security Hub CSPM com AWS Organizations](designate-orgs-admin-account.md).

### Configuração central
<a name="securityhub-central-config"></a>

Ao integrar o CSPM do Security Hub e o Organizations, você tem a opção de usar um recurso chamado [configuração central](central-configuration-intro.md) para configurar e gerenciar o CSPM do Security Hub para sua organização. É altamente recomendável usar a configuração central, pois ela permite que o administrador personalize a cobertura de segurança para a organização. Quando apropriado, o administrador delegado pode permitir que uma conta de membro defina suas próprias configurações de cobertura de segurança.

A configuração central permite que o administrador delegado configure o CSPM do Security Hub em todas as contas e. OUs Regiões da AWS O administrador delegado configura o CSPM do Security Hub criando políticas de configuração. Em uma política de configuração, é possível especificar as configurações a seguir:
+ Se o CSPM do Security Hub está habilitado ou desabilitado
+ Quais padrões de segurança são habilitados e desabilitados
+ Quais controles de segurança são habilitados e desabilitados
+ Se os parâmetros devem ser personalizados para selecionar controles

Como administrador delegado, você pode criar uma única política de configuração para toda a organização ou políticas de configuração diferentes para suas várias contas e. OUs Por exemplo, contas de teste e contas de produção podem usar políticas de configuração diferentes.

As contas dos membros OUs que usam uma política de configuração são *gerenciadas centralmente* e só podem ser configuradas pelo administrador delegado. O administrador delegado pode designar contas de membros específicas e OUs ser *autogerenciadas* para dar ao membro a capacidade de definir suas próprias configurações em uma base. Region-by-Region

Se você não usar a configuração central, deverá, em grande parte, configurar o CSPM do Security Hub separadamente em cada conta e região. Isso é chamado de [configuração local](local-configuration.md). Na configuração local, o administrador delegado pode habilitar automaticamente o CSPM do Security Hub e um conjunto limitado de padrões de segurança em novas contas da organização na região atual. A configuração local não se aplica às contas existentes da organização ou a regiões que não sejam a região atual. A configuração local também não oferece suporte ao uso de políticas de configuração.

## Habilitação do CSPM do Security Hub manualmente
<a name="securityhub-manual-setup-overview"></a>

Você deve habilitar o CSPM do Security Hub manualmente se tiver uma conta independente ou se não fizer integração com. AWS Organizations Contas autônomas não podem ser integradas AWS Organizations e devem usar a ativação manual.

Ao habilitar o CSPM do Security Hub manualmente, você designa uma conta de administrador do CSPM do Security Hub e convida outras contas para se tornarem contas de membro. A relação administrador-membro é estabelecida quando uma conta de membro em potencial aceita o convite da conta.

Escolha seu método preferido e siga as etapas para habilitar o CSPM do Security Hub. Ao habilitar o CSPM do Security Hub no console, você também tem a opção de habilitar os padrões de segurança com suporte.

------
#### [ Security Hub CSPM console ]

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1.  Ao abrir o console do CSPM do Security Hub pela primeira vez, escolha **Ir para o CSPM do Security Hub**.

1. Na página de boas-vindas, a seção **Padrões de segurança** lista os padrões de segurança com suporte no CSPM do Security Hub.

   Marque a caixa de seleção de um padrão para habilitá-lo e desmarque a caixa de seleção para desabilitá-lo.

   É possível habilitar ou desabilitar um padrão ou seus controles individuais a qualquer momento. Para obter mais informações sobre gerenciamento de padrões de segurança, consulte [Noções básicas dos padrões de segurança no CSPM do Security Hub](standards-view-manage.md).

1. Selecione **Enable Security Hub** (Habilitar o Security Hub).

------
#### [ Security Hub CSPM API ]

Invoque a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html). Ao habilitar o CSPM do Security Hub pela API, ele habilitará automaticamente os padrões de segurança padrão a seguir:
+ AWS Melhores práticas básicas de segurança
+ Referência de AWS fundamentos do Center for Internet Security (CIS) v1.2.0

Se você não quiser habilitar esses padrões, defina `EnableDefaultStandards` como `false`.

Também é possível usar o parâmetro `Tags` para atribuir valores de tag ao recurso do hub.

------
#### [ AWS CLI ]

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html). Para ativar os padrões, inclua `--enable-default-standards`. Para não ativar os padrões, inclua `--no-enable-default-standards`. Os padrões de segurança padrão são os seguintes:
+ AWS Melhores práticas básicas de segurança
+ Referência de AWS fundamentos do Center for Internet Security (CIS) v1.2.0

```
aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]
```

**Exemplo**

```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```

------

### Script de habilitação de várias contas
<a name="securityhub-enable-multiaccount-script"></a>

**nota**  
Em vez desse script, recomendamos usar a configuração central para habilitar e configurar o CSPM do Security Hub em várias contas e regiões. 

O [script de habilitação de várias contas do Security Hub CSPM GitHub permite que você habilite o CSPM do Security Hub em](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) contas e regiões. O script também automatiza o processo de envio de convites para contas de membros e habilitação do AWS Config.

O script ativa automaticamente a gravação de AWS Config recursos para todos os recursos, incluindo recursos globais, em todas as regiões. Ele não limita o registro de recursos globais a uma única região. Para economizar custos, recomendamos registrar recursos globais em uma única região apenas. Se você usa a configuração central ou a agregação entre regiões, essa deve ser sua região inicial. Para obter mais informações, consulte [Recursos de gravação em AWS Config](securityhub-setup-prereqs.md#config-resource-recording).

Há um script correspondente para desabilitar o CSPM do Security Hub em todas as contas e regiões.

## Próximas etapas: gerenciamento de postura e integrações
<a name="securityhub-enable-next-steps"></a>

Depois de habilitar o CSPM do Security Hub, recomendamos habilitar os padrões e controles de segurança para monitorar sua postura de segurança. Depois de habilitar os controles, o Security Hub CSPM começa a executar verificações de segurança e a gerar descobertas de controle que ajudam a detectar configurações incorretas em seu ambiente. AWS Para receber descobertas de controle, você deve habilitar e configurar AWS Config o Security Hub CSPM. Para obter mais informações, consulte [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md).

Depois de ativar o CSPM do Security Hub, você também pode aproveitar as integrações entre o CSPM do Security Hub e outras soluções e de terceiros para ver suas Serviços da AWS descobertas no CSPM do Security Hub. O CSPM do Security Hub agrega descobertas de diferentes origens e as ingere em um formato consistente. Para obter mais informações, consulte [Noções básicas sobre as integrações no CSPM do Security Hub](securityhub-findings-providers.md). 

# Habilitando e configurando o AWS Config Security Hub CSPM
<a name="securityhub-setup-prereqs"></a>

AWS O Security Hub CSPM usa AWS Config regras para executar verificações de segurança e gerar descobertas para a maioria dos controles. AWS Config fornece uma visão detalhada da configuração dos AWS recursos em seu Conta da AWS. Ele usa regras para estabelecer uma configuração básica para seus recursos e um gravador de configuração para detectar se um determinado recurso viola as condições de uma regra.

Algumas regras, chamadas de regras AWS Config gerenciadas, são predefinidas e desenvolvidas pela AWS Config. Outras regras são AWS Config regras personalizadas que o Security Hub CSPM desenvolve. AWS Config as regras que o Security Hub CSPM usa para controles são chamadas de regras vinculadas a *serviços*. As regras vinculadas ao serviço permitem Serviços da AWS , como o CSPM do Security Hub, criar AWS Config regras em sua conta. 

Para receber descobertas de controle no Security Hub CSPM, você deve habilitar sua AWS Config conta. Também é necessário ativar o registro de recursos para os tipos de recursos que os controles habilitados avaliam. O Security Hub CSPM pode então criar as AWS Config regras apropriadas para os controles e começar a executar verificações de segurança e gerar descobertas para os controles.

**Topics**
+ [Considerações antes de ativar e configurar AWS Config](#securityhub-prereq-config)
+ [Recursos de gravação em AWS Config](#config-resource-recording)
+ [Formas de ativar e configurar AWS Config](#config-how-to-enable)
+ [Noções básicas sobre o controle Config.1](#config-1-overview)
+ [Geração de regras vinculadas ao serviço](#securityhub-standards-generate-awsconfigrules)
+ [Considerações sobre custos](#config-cost-considerations)

## Considerações antes de ativar e configurar AWS Config
<a name="securityhub-prereq-config"></a>

Para receber descobertas de controle no CSPM do Security Hub, você AWS Config deve estar habilitado para sua conta em cada um em Região da AWS que o CSPM do Security Hub esteja habilitado. Se você usar o CSPM do Security Hub para um ambiente com várias contas, o AWS Config deverá estar habilitado em todas as regiões para a conta de administrador e todas as contas de membro.

É altamente recomendável que você ative a gravação de recursos AWS Config *antes* de habilitar quaisquer padrões e controles CSPM do Security Hub. Isso ajuda a garantir que suas descobertas de controle sejam precisas.

Para ativar a gravação de recursos AWS Config, você deve ter permissões suficientes para registrar recursos na função AWS Identity and Access Management (IAM) anexada ao gravador de configuração. Além disso, certifique-se de que nenhuma política ou AWS Organizations política do IAM impeça AWS Config de ter permissão para registrar seus recursos. Os controles CSPM do Security Hub avaliam as configurações de recursos diretamente e não levam em conta AWS Organizations as políticas. Para obter mais informações sobre os registros do AWS Config , consulte [Trabalho com o gravador de recursos](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) no *Guia do desenvolvedor do AWS Config *.

Se você habilitar um padrão no CSPM do Security Hub, mas não tiver ativado AWS Config, o CSPM do Security Hub tentará criar AWS Config regras vinculadas ao serviço de acordo com a seguinte programação:
+ No dia em que você habilita o padrão.
+ No dia seguinte à habilitação do padrão.
+ 3 dias depois de habilitar o padrão.
+ 7 dias depois que você habilitar o padrão, e continuamente a cada 7 dias depois disso.

Se você usa a configuração central, o Security Hub CSPM também tenta criar AWS Config regras vinculadas a serviços sempre que você associa uma política de configuração que habilita um ou mais padrões a contas, unidades organizacionais (OUs) ou à raiz.

## Recursos de gravação em AWS Config
<a name="config-resource-recording"></a>

Ao habilitar AWS Config, você deve especificar quais AWS recursos deseja que o gravador AWS Config de configuração registre. Por meio das regras vinculadas ao serviço, o gravador de configuração permite que o CSPM do Security Hub detecte alterações nas configurações de seus recursos.

Para que o CSPM do Security Hub gere descobertas de controle precisas, é necessário ativar o registro no AWS Config dos tipos de recursos que correspondam aos seus controles ativados. São principalmente controles habilitados com um tipo de programação *acionada por alterações* que exigem registro de recursos. Alguns controles com um tipo de programação *periódica* também exigem o registro de recursos. Para obter uma lista desses controles e seus recursos correspondentes, consulte [AWS Config Recursos necessários para descobertas de controle](controls-config-resources.md).

**Atenção**  
Se você não configurar a AWS Config gravação corretamente para os controles CSPM do Security Hub, isso pode resultar em descobertas de controle imprecisas, principalmente nos seguintes casos:  
Você nunca registrou o recurso para um determinado controle ou desabilitou o registro de um recurso antes de criar esse tipo de recurso. Nesses casos, você recebe uma descoberta `WARNING` para o controle em questão, mesmo que tenha criado recursos no escopo do controle depois de desabilitar o registro. Essa descoberta `WARNING` é uma descoberta padrão que, na verdade, não avalia o estado de configuração do recurso.
Você desabilita o registro de um recurso que é avaliado por um controle específico. Nesse caso, o CSPM do Security Hub reterá as descobertas de controle que forem geradas antes de você desabilitar o registro, mesmo que o controle não esteja avaliando recursos novos ou atualizados. O CSPM do Security Hub também altera o status de conformidade das descobertas para `WARNING`. Essas descobertas retidas podem não refletir com precisão o estado atual da configuração de um recurso.

Por padrão, AWS Config registra todos os *recursos regionais* suportados que ele descobre no local Região da AWS em que está sendo executado. Para receber todas as descobertas de controle do CSPM do Security Hub, você também deve configurar AWS Config para registrar recursos *globais*. Para economizar custos, recomendamos registrar recursos globais em uma única região apenas. Se você usa a configuração central ou a agregação entre regiões, essa deve ser sua região inicial.

Em AWS Config, você pode escolher entre *gravação contínua e gravação* *diária* de alterações no estado do recurso. Se você escolher a gravação diária, AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração de descobertas do CSPM do Security Hub para controles acionados por alterações até que um período de 24 horas seja concluído.

Para obter mais informações sobre AWS Config gravação, consulte [AWS Recursos de gravação](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) no *Guia do AWS Config desenvolvedor*.

## Formas de ativar e configurar AWS Config
<a name="config-how-to-enable"></a>

Você pode ativar AWS Config e ativar a gravação de recursos de qualquer uma das seguintes formas:
+ **AWS Config console** — Você pode ativar AWS Config uma conta usando o AWS Config console. Para obter instruções, consulte [Configuração AWS Config com o console](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) no *Guia do AWS Config desenvolvedor*.
+ **AWS CLI ou SDKs** — Você pode ativar AWS Config uma conta usando o AWS Command Line Interface (AWS CLI). Para obter instruções, consulte [Configuração AWS Config com o AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html) no *Guia do AWS Config desenvolvedor*. AWS kits de desenvolvimento de software (SDKs) também estão disponíveis para muitas linguagens de programação.
+ **CloudFormation modelo** — AWS Config Para habilitar várias contas, recomendamos usar o AWS CloudFormation modelo chamado **Ativar AWS Config**. Para acessar esse modelo, consulte [modelos de AWS CloudFormation StackSet amostra](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) no *Guia AWS CloudFormation do usuário*.

  Por padrão, esse modelo exclui o registro de recursos globais do IAM. Certifique-se de ativar o registro dos recursos globais do IAM em apenas uma Região da AWS para conservar os custos de registro. Se você tiver a agregação entre regiões habilitada, essa deverá ser sua [região inicial do CSPM do Security Hub](finding-aggregation.md). Caso contrário, pode ser qualquer região em que o CSPM do Security Hub esteja disponível e que ofereça suporte ao registro de recursos globais do IAM. Recomendamos executar um StackSet para registrar todos os recursos, incluindo recursos globais do IAM, na região de origem ou em outra região selecionada. Em seguida, execute um segundo StackSet para registrar todos os recursos, exceto os recursos globais do IAM em outras regiões.
+ **GitHub script** — O Security Hub CSPM oferece um [GitHubscript](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) que habilita o CSPM do Security Hub e AWS Config para várias contas em todas as regiões. Esse script é útil se você não se integrou ou tem algumas contas de membros que não fazem parte de uma organização. AWS Organizations

Para obter mais informações, consulte a seguinte postagem no blog de *AWS segurança*: [Otimize o CSPM do AWS Security Hub AWS Config para gerenciar com eficiência sua postura de segurança na nuvem](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/).

## Noções básicas sobre o controle Config.1
<a name="config-1-overview"></a>

No Security Hub CSPM, o controle [Config.1](config-controls.md#config-1) gera `FAILED` descobertas em sua conta se estiver desativado. AWS Config Ele também gera `FAILED` descobertas em sua conta se AWS Config estiver ativado, mas a gravação de recursos não estiver ativada. 

Se AWS Config estiver habilitado e a gravação de recursos estiver ativada, mas a gravação de recursos não estiver ativada para um tipo de recurso verificado por um controle ativado, o Security Hub CSPM gerará uma `FAILED` descoberta para o controle Config.1. Além dessa descoberta `FAILED`, o CSPM do Security Hub gerará descobertas `WARNING` para o controle habilitado e os tipos de recursos que o controle verifica. Por exemplo, se você habilitar o controle [KMS.5](kms-controls.md#kms-5) e a gravação de recursos não estiver ativada AWS KMS keys, o Security Hub CSPM gerará uma `FAILED` descoberta para o controle Config.1. O CSPM do Security Hub também gera descobertas `WARNING` para o controle KMS.5 e suas chaves do KMS.

Para receber uma descoberta `PASSED` para o controle Config.1, ative o registro de recursos para todos os tipos de recursos que correspondam aos controles habilitados. Além disso, desabilite os controles que não sejam necessários para sua organização. Isso ajuda a garantir que você não tenha lacunas de configuração nas verificações de controle de segurança. Também ajuda a garantir que você receba descobertas precisas sobre recursos mal configurados.

Se você for o administrador delegado do CSPM do Security Hub de uma organização, o registro do AWS Config deverá ser configurado corretamente para a sua conta e as contas de membro. Se você usar a agregação entre regiões, a AWS Config gravação deverá ser configurada corretamente na região de origem e em todas as regiões vinculadas. Os recursos globais não precisam ser registrados nas regiões vinculadas.

## Geração de regras vinculadas ao serviço
<a name="securityhub-standards-generate-awsconfigrules"></a>

Para cada controle que usa uma AWS Config regra vinculada ao serviço, o Security Hub CSPM cria instâncias da regra necessária em seu ambiente. AWS 

Essas regras vinculadas ao serviço são específicas do CSPM do Security Hub. O CSPM do Security Hub cria essas regras vinculadas ao serviço mesmo se outras instâncias das mesmas regras já existirem. A regra vinculada ao serviço adiciona `securityhub` antes do nome da regra original e um identificador exclusivo após o nome da regra. Por exemplo, para a regra AWS Config gerenciada`vpc-flow-logs-enabled`, o nome da regra vinculada ao serviço pode ser. `securityhub-vpc-flow-logs-enabled-12345`

Há cotas para o número de regras AWS Config gerenciadas que podem ser usadas para avaliar os controles. AWS Config as regras que o Security Hub CSPM cria não contam para essas cotas. Você pode ativar um padrão de segurança mesmo que já tenha atingido a AWS Config cota de regras gerenciadas em sua conta. Para saber mais sobre cotas para AWS Config regras, consulte [Limites de serviço AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html) no *Guia do AWS Config desenvolvedor*.

## Considerações sobre custos
<a name="config-cost-considerations"></a>

O Security Hub CSPM pode afetar os custos AWS Config do gravador de configuração atualizando o `AWS::Config::ResourceCompliance` item de configuração. As atualizações podem ocorrer sempre que um controle CSPM do Security Hub associado a uma AWS Config regra muda de estado de conformidade, é ativado ou desativado ou tem atualizações de parâmetros. Se você usa o gravador de AWS Config configuração somente para o Security Hub CSPM e não usa esse item de configuração para outras finalidades, recomendamos desativar a gravação para ele no. AWS Config Isso pode reduzir os custos do AWS Config . Você não precisa registrar `AWS::Config::ResourceCompliance` para que as verificações de segurança funcionem no CSPM do Security Hub.

Para obter informações sobre os custos associados ao registro de recursos, consulte a [Definição de preços do CSPM do AWS Security Hub](https://aws.amazon.com/security-hub/pricing/) e a [Definição de preços do AWS Config](https://aws.amazon.com/config/pricing/).

# Noções básicas sobre a configuração local no CSPM do Security Hub
<a name="local-configuration"></a>

A configuração local é a forma padrão em que uma AWS organização é configurada no CSPM do Security Hub. Se você optar por usar e habilitar a configuração central, sua organização usará a configuração local por padrão.

Na configuração local, a conta de administrador delegado do CSPM do Security Hub tem controle limitado sobre as configurações. As únicas configurações que o administrador delegado pode impor são as que habilitam automaticamente o CSPM do Security Hub e os padrões de segurança padrão em novas contas da nova organização. Essas configurações se aplicam somente à região na qual você designou a conta de administrador delegado. Os padrões de segurança padrão são AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. As definições da configuração local não se aplicam às contas existentes da organização ou às regiões, exceto à região na qual a conta do administrador delegado foi designada.

Além de habilitar o CSPM do Security Hub e os padrões padrão em novas contas da organização em uma única região, é necessário definir outras configurações do CSPM do Security Hub, incluindo padrões e controles, separadamente em cada região e em cada conta. Como esse pode ser um processo que gere duplicações, recomendamos usar a configuração central para um ambiente com várias contas se uma ou mais das seguintes situações se aplicarem a você:
+ Você deseja configurações diferentes para diversas partes da sua organização (por exemplo, diferentes padrões ou controles habilitados para diferentes equipes).
+ Você opera em várias regiões e deseja reduzir o tempo e a complexidade da configuração do serviço nessas regiões.
+ Você deseja que novas contas usem configurações específicas quando ingressam na organização.
+ Você deseja que as contas da organização herdem configurações específicas de uma conta superior ou raiz.

Para obter informações sobre a configuração central, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

# Noções básicas sobre a configuração central no CSPM do Security Hub
<a name="central-configuration-intro"></a>

A configuração central é um recurso CSPM do AWS Security Hub que ajuda você a configurar e gerenciar o CSPM do Security Hub em vários e. Contas da AWS Regiões da AWS Para usar a configuração central, você deve primeiro integrar o Security Hub CSPM e. AWS OrganizationsÉ possível integrar os serviços criando uma organização e designando uma conta delegada de administrador do CSPM do Security Hub para a organização.

Na conta delegada do administrador do Security Hub CSPM, você pode habilitar o CSPM do Security Hub para as contas e unidades organizacionais () da sua organização em todas as regiões. OUs Você também pode ativar, configurar e desativar padrões de segurança e controles de segurança individuais para contas e OUs entre regiões. É possível definir essas configurações em apenas algumas etapas a partir de uma região primária, chamada de *região inicial*.

Quando você usa a configuração central, o administrador delegado pode escolher quais contas e OUs configurar. Se o administrador delegado designar uma conta de membro ou UO como *autogerenciada*, o membro poderá definir suas próprias configurações separadamente em cada região. Se o administrador delegado designar uma conta de membro ou UO como *gerenciada centralmente*, somente o administrador delegado poderá configurar a conta de membro ou UO em todas as regiões. Você pode designar todas as contas e OUs em sua organização como gerenciadas centralmente, todas autogerenciadas ou uma combinação de ambas.

Para configurar contas gerenciadas centralmente, o administrador delegado usa políticas de configuração do CSPM do Security Hub. As políticas de configuração permitem que o administrador delegado especifique se o CSPM do Security Hub está habilitado ou desabilitado e quais padrões e controles estão habilitados ou desabilitados. Elas também podem ser utilizados para personalizar parâmetros para determinados controles.

As políticas de configuração entram em vigor na região inicial e em todas as regiões vinculadas. O administrador delegado especifica a região inicial da organização e as regiões vinculadas antes de começar a usar a configuração central. Especificar as regiões vinculadas é opcional. O administrador delegado pode criar uma única política de configuração para toda a organização ou criar várias políticas de configuração para definir configurações variáveis para contas diferentes e. OUs

**dica**  
Se você não usar a configuração central, deverá, em grande parte, configurar o CSPM do Security Hub separadamente em cada conta e região. Isso é chamado de *configuração local*. Na configuração local, o administrador delegado pode habilitar automaticamente o CSPM do Security Hub e um conjunto limitado de padrões de segurança em novas contas da organização na região atual. A configuração local não se aplica às contas existentes da organização ou a regiões que não sejam a região atual. A configuração local também não oferece suporte ao uso de políticas de configuração.

Esta seção fornece uma visão geral da configuração central.

## Benefícios de usar a configuração central
<a name="central-configuration-benefits"></a>

Os benefícios da configuração central incluem os seguintes:

**Simplificar a configuração do serviço e dos recursos do CSPM do Security Hub**  
Quando você usa a configuração central, o CSPM do Security Hub orienta você no processo de configuração das práticas recomendadas de segurança para sua organização. Ele também implanta as políticas de configuração resultantes em contas especificadas e OUs automaticamente. Se você tiver configurações existentes do CSPM do Security Hub, como habilitar automaticamente novos controles de segurança, poderá usá-las como ponto de partida para suas políticas de configuração. Além disso, a página **Configuração** no console CSPM do Security Hub exibe um resumo em tempo real de suas políticas de configuração e quais contas OUs usam cada política.

**Configurar entre contas e regiões**  
É possível usar a configuração central para configurar o CSPM do Security Hub em várias contas e regiões. Isso ajuda a garantir que cada parte da sua organização mantenha uma configuração consistente e uma cobertura de segurança adequada.

**Acomode configurações diferentes em contas diferentes e OUs**  
Com a configuração central, você pode optar por configurar as contas da sua organização de OUs maneiras diferentes. Por exemplo, suas contas de teste e contas de produção podem exigir configurações diferentes. Também é possível criar uma política de configuração que abranja novas contas quando elas ingressarem na organização.

**Evitar desvios na configuração**  
O desvio de configuração ocorre quando um usuário faz uma alteração em um serviço ou recurso que entra em conflito com as seleções do administrador delegado. A configuração central evita esse desvio. Quando você designa uma conta ou UO como gerenciada centralmente, ela poderá ser configurada somente pelo administrador delegado da organização. Se você preferir que uma conta ou UO específica defina suas próprias configurações, é possível designá-la como autogerenciada.

## Quando usar a configuração central?
<a name="central-configuration-audience"></a>

A configuração central é mais benéfica para AWS ambientes que incluem várias contas CSPM do Security Hub. Ela foi projetada para ajudar você a gerenciar de forma central o CSPM do Security Hub para várias contas.

É possível usar a configuração central para configurar o serviço, os padrões de segurança e os controles de segurança do CSPM do Security Hub. Também é possível usá-la para personalizar os parâmetros de determinados controles. Para obter mais informações sobre padrões de segurança, consulte [Noções básicas dos padrões de segurança no CSPM do Security Hub](standards-view-manage.md). Para obter mais informações sobre controles de segurança, consulte [Noções básicas sobre os controles de segurança no CSPM do Security Hub](controls-view-manage.md).



## Termos e conceitos da configuração central
<a name="central-configuration-concepts"></a>

Compreender os termos e conceitos-chave a seguir pode ajudá-lo a usar a configuração central do CSPM do Security Hub.

**Configuração central**  
Um recurso do CSPM do Security Hub que ajuda a conta delegada do administrador do CSPM do Security Hub de uma organização a configurar o serviço, os padrões de segurança e os controles de segurança do CSPM do Security Hub em várias contas e regiões. Para definir essas configurações, o administrador delegado cria e gerencia as políticas de configuração do CSPM do Security Hub para contas gerenciadas centralmente em sua organização. As contas autogerenciadas podem definir suas próprias configurações separadamente em cada região. Para usar a configuração central, você deve integrar o Security Hub CSPM e. AWS Organizations

**Região inicial**  
A Região da AWS partir da qual o administrador delegado configura centralmente o CSPM do Security Hub, criando e gerenciando políticas de configuração. As políticas de configuração entram em vigor na região inicial e em todas as regiões vinculadas.  
A região inicial também serve como a região de agregação do CSPM do Security Hub, recebendo descobertas, insights e outros dados das regiões vinculadas.  
As regiões que AWS foram introduzidas em ou após 20 de março de 2019 são conhecidas como regiões opcionais. Uma região de adesão não pode ser a região inicial, mas pode ser uma região vinculada. Para obter uma lista de regiões de adesão, consulte [Considerações antes de habilitar e desabilitar regiões](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) no *Guia de referência de gerenciamento de contas da AWS *.

**Região vinculada**  
E Região da AWS isso é configurável a partir da região de origem. As políticas de configuração são criadas pelo administrador delegado na região inicial. As políticas entram em vigor na região inicial e em todas as regiões vinculadas. Especificar as regiões vinculadas é opcional.  
Uma região vinculada também envia descobertas, insights e outros dados para a região inicial.  
As regiões que AWS foram introduzidas em ou após 20 de março de 2019 são conhecidas como regiões opcionais. É necessário habilitar essa região para uma conta antes que uma política de configuração possa ser aplicada a ela. A conta gerencial do Organizations pode habilitar regiões de adesão para uma conta de membro. Para obter mais informações, consulte [Especificar qual Regiões da AWS conta pode ser usada](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) no *Guia de referência de gerenciamento de AWS contas*.

**Destino**  
Uma Conta da AWS unidade organizacional (OU) ou a raiz da organização.

**Política de configuração do CSPM do Security Hub**  
Um conjunto de configurações do CSPM do Security Hub que o administrador delegado pode definir para alvos gerenciados centralmente. Isso inclui:  
+ Se o CSPM do Security Hub deve ser habilitado ou desabilitado.
+ Se um ou mais [padrões de segurança](standards-reference.md) devem ser habilitados.
+ Quais [controles de segurança](securityhub-controls-reference.md) a habilitar dentre todos os padrões habilitados. O administrador delegado pode fazer isso fornecendo uma lista de controles específicos que devem ser habilitados, e o CSPM do Security Hub desabilitará todos os outros controles (incluindo novos controles quando eles forem lançados). De forma alternativa, o administrador delegado pode fornecer uma lista de controles específicos que devem ser desabilitados, e o CSPM do Security Hub habilitará todos os outros controles (incluindo novos controles quando eles forem lançados).
+ Opcionalmente, [personalize os parâmetros](custom-control-parameters.md) para selecionar controles habilitados dentre os padrões habilitados.
Uma política de configuração entra em vigor na região inicial e em todas as regiões vinculadas depois de ser associada a pelo menos uma conta, unidade organizacional (UO) ou raiz.  
No console do CSPM do Security Hub, o administrador delegado pode escolher a política de configuração recomendada do CSPM do Security Hub ou criar políticas de configuração personalizadas. Com a API CSPM do Security Hub e AWS CLI, o administrador delegado só pode criar políticas de configuração personalizadas. O administrador delegado pode criar no máximo 20 políticas de configuração personalizadas.  
Na política de configuração recomendada, o CSPM do Security Hub, o padrão Práticas Recomendadas de Segurança Básica (FSBP) da AWS e todos os controles de FSBP novos e existentes estão habilitados. Os controles que aceitam parâmetros usam os valores padrão. A política de configuração recomendada se aplica a toda a organização.  
Para aplicar configurações diferentes à organização ou aplicar políticas de configuração diferentes a contas diferentes e OUs criar uma política de configuração personalizada.

**Configuração local**  
O tipo de configuração padrão para uma organização, depois de integrar o Security Hub CSPM e. AWS Organizations Com a configuração local, o administrador delegado pode optar por habilitar automaticamente o CSPM do Security Hub e os [padrões de segurança padrão](securityhub-auto-enabled-standards.md) em *novas* contas da organização na região atual. Se o administrador delegado habilitar automaticamente os padrões padrão, todos os controles que fazem parte desses padrões também serão habilitados automaticamente com parâmetros padrão para as novas contas da organização. Essas configurações não se aplicam às contas existentes, portanto, é possível alterar a configuração depois que uma conta ingressa na organização. A desabilitação de controles específicos que fazem parte dos padrões padrão e a configuração de padrões e controles adicionais devem ser feitas separadamente em cada conta e região.  
A configuração local não oferece suporte ao uso de políticas de configuração. Para usar políticas de configuração, é necessário alternar para a configuração central.

**Gerenciamento manual de contas**  
Se você não integrar o CSPM do Security Hub AWS Organizations ou tiver uma conta independente, deverá especificar configurações para cada conta separadamente em cada região. O gerenciamento manual de contas não oferece suporte ao uso de políticas de configuração.

**Configuração central APIs**  
Operações do CSPM do Security Hub que somente o administrador delegado do CSPM do Security Hub pode usar na região inicial para gerenciar políticas de configuração para contas gerenciadas centralmente. As operações incluem:  
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`

**Específico da conta APIs**  
Operações de CSPM do Security Hub que podem ser usadas para ativar ou desativar o CSPM, os padrões e os controles do Security Hub em uma base. account-by-account Essas operações são usadas em cada região individual.  
As contas autogerenciadas podem usar operações específicas da conta para definir suas próprias configurações. As contas gerenciadas centralmente não podem usar as operações a seguir, específicas da conta na região inicial e nas regiões vinculadas. Nessas regiões, apenas o administrador delegado pode configurar contas gerenciadas centralmente por meio de operações de configuração central e políticas de configuração.  
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
Para verificar o status da conta, o proprietário de uma conta gerenciada centralmente *pode* usar qualquer operação `Get` ou `Describe` da API do CSPM do Security Hub.  
Se você usar a configuração local ou o gerenciamento manual de contas, em vez da configuração central, essas operações específicas da conta poderão ser usadas.  
As contas autogerenciadas também podem usar as operações `*Invitations` e `*Members`. Porém, recomendamos que as contas autogerenciadas não usem essas operações. As associações de políticas podem não funcionar se uma conta de membro tiver seus os próprios membros e eles fizerem parte de uma organização diferente da organização do administrador delegado.

**Unidade organizacional (UO)**  
No AWS Organizations Security Hub CSPM, um contêiner para um grupo de. Contas da AWS Uma unidade organizacional (OU) também pode conter outras OUs, permitindo que você crie uma hierarquia que se assemelhe a uma árvore invertida, com uma UO principal na parte superior e ramificações OUs que se estendem para baixo, terminando em contas que são as folhas da árvore. Uma UO pode ter exatamente um pai, e, atualmente, cada conta pode ser um membro de exatamente uma UO.  
Você pode gerenciar OUs em AWS Organizations ou AWS Control Tower. Para obter mais informações, consulte [Gerenciamento de unidades organizacionais](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) no *Guia do usuário do AWS Organizations * ou [Governo de organizações e contas com o AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html) no *Guia do usuário do AWS Control Tower *.  
O administrador delegado pode associar políticas de configuração a contas específicas ou à raiz para cobrir todas as contas e OUs em uma organização. OUs

**Gerenciada centralmente**  
Um alvo que apenas o administrador delegado pode configurar em todas as regiões usando políticas de configuração.  
A conta de administrador delegado especifica se um alvo é gerenciado centralmente. O administrador delegado também pode alterar o status de um alvo gerenciado centralmente para autogerenciado, ou vice-versa.

**Autogerenciado**  
Um destino que gerencia suas próprias configurações do CSPM do Security Hub. Um destino autogerenciado usa operações específicas da conta para configurar o CSPM do Security Hub separadamente em cada região. Isso é diferente das contas gerenciadas centralmente, que só podem ser configuradas pelo administrador delegado em todas as regiões por meio de políticas de configuração.  
A conta de administrador delegado especifica se um alvo é autogerenciado. O administrador delegado pode aplicar um comportamento autogerenciado a um alvo. Como alternativa, uma conta ou UO pode herdar o comportamento autogerenciado de um dos pais.  
A conta de administrador delegado pode ela mesma ser uma conta autogerenciada. A conta de administrador delegado pode alterar o status de um alvo de autogerenciado para gerenciado centralmente, ou vice-versa.  


**Associação de políticas de configuração**  
Um link entre uma política de configuração e uma conta, unidade organizacional (UO) ou uma raiz. Quando existe uma associação de política, a conta, a UO ou a raiz usam as configurações definidas pela política de configuração. Existe uma associação em qualquer um destes casos:  
+ Quando o administrador delegado aplica diretamente uma política de configuração a uma conta, UO ou raiz
+ Quando uma conta ou UO herda uma política de configuração de uma UO principal ou da raiz
Uma associação existe até que uma configuração diferente seja aplicada ou herdada.

**Política de configuração aplicada**  
Um tipo de associação de política de configuração na qual o administrador delegado aplica diretamente uma política de configuração às contas de destino ou à raiz. OUs Os destinos são configurados da forma que a política de configuração define, e somente o administrador delegado pode alterar sua configuração. Se aplicada à raiz, a política de configuração afeta todas as contas e OUs na organização que não usam uma configuração diferente por meio de aplicativo ou herança do pai mais próximo.  
O administrador delegado também pode aplicar uma configuração autogerenciada a contas específicas ou à raiz. OUs

**Política de configuração herdada**  
Um tipo de associação de política de configuração em que uma conta ou UO adota a configuração da UO principal mais próxima ou da raiz. Se uma política de configuração não for aplicada diretamente a uma conta ou UO, ela herdará a configuração do pai mais próximo. Todos os elementos de uma política são herdados. Em outras palavras, uma conta ou UO não pode escolher herdar seletivamente somente partes de uma política. Se o pai mais próximo for autogerenciado, a conta ou UO filha herdará o comportamento autogerenciado do pai.   
A herança não pode substituir uma configuração aplicada. Ou seja, se uma política de configuração ou configuração autogerenciada for aplicada diretamente a uma conta ou UO, ela usará essa configuração e não herdará a configuração do pai.

**Raiz**  
No Security Hub AWS Organizations e no CSPM, o nó principal de nível superior em uma organização. Se o administrador delegado aplicar uma política de configuração ao root, a política será associada a todas as contas e OUs na organização, a menos que elas usem uma política diferente, por meio de aplicativo ou herança, ou sejam designadas como autogerenciadas. Se o administrador designar a raiz como autogerenciada, todas as contas e OUs na organização serão autogerenciadas, a menos que usem uma política de configuração por meio de aplicativo ou herança. Se a raiz for autogerenciada e nenhuma política de configuração existir atualmente, todas as novas contas na organização manterão suas configurações atuais.  
As novas contas que ingressem em uma organização ficarão sob a raiz até serem atribuídas a uma UO específica. Se uma nova conta não for atribuída a uma UO, ela herdará a configuração raiz, a menos que o administrador delegado a designe como uma conta autogerenciada.

# Habilitação da configuração central no CSPM do Security Hub
<a name="start-central-configuration"></a>

A conta delegada do administrador do AWS Security Hub CSPM pode usar a configuração central para configurar o CSPM, os padrões e os controles do Security Hub para várias contas e unidades organizacionais () em todas. OUs Regiões da AWS

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Esta seção explica os pré-requisitos da configuração central e como começar a usá-la.

## Pré-requisitos para a configuração central
<a name="prerequisites-central-configuration"></a>

Antes de começar a usar a configuração central, você deve integrar o Security Hub CSPM AWS Organizations e designar uma região de origem. Se você usa o console do CSPM do Security Hub, esses pré-requisitos são incluídos no fluxo de trabalho de adesão para configuração central.

### Integrar ao Organizations
<a name="orgs-integration-prereq"></a>

Você precisa integrar o CSPM do Security Hub e o Organizations para usar a configuração central.

Para integrar esses serviços, você começa criando uma organização no Organizations. A partir da conta gerencial do Organizations, você designa uma conta de administrador delegado do CSPM do Security Hub. Para instruções, consulte [Integrando o Security Hub CSPM com AWS Organizations](designate-orgs-admin-account.md).

Certifique-se de designar seu administrador delegado na sua **região inicial pretendida**. Quando você começa a usar a configuração central, o mesmo administrador delegado também é definido automaticamente em todas as regiões vinculadas. A conta gerencial do Organizations *não pode* ser definida como uma conta de administrador delegado.

**Importante**  
Ao usar a configuração central, você não pode usar o console CSPM do Security Hub ou o CSPM do Security Hub APIs para alterar ou remover a conta do administrador delegado. Se a conta de gerenciamento do Organizations for usada AWS Organizations APIs para alterar ou remover o administrador delegado do CSPM do Security Hub, o CSPM do Security Hub interromperá automaticamente a configuração central. Suas políticas de configuração também serão desassociadas e excluídas. As contas de membro retêm as configurações que tinham antes de o administrador delegado ser alterado ou removido.

### Designar uma região inicial
<a name="home-region-prereq"></a>

É necessário designar uma região inicial para usar a configuração central. A região inicial é aquela a partir da qual o administrador delegado configura a organização.

**nota**  
A região de origem não pode ser uma região designada como uma região opcional. AWS Uma região de adesão é desabilitada por padrão. Para obter uma lista de regiões de adesão, consulte [Considerações antes de habilitar e desabilitar regiões](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) no *Guia de referência de gerenciamento de contas da AWS *.

Outra opção é especificar uma ou mais regiões vinculadas configuráveis em uma região inicial.

O administrador delegado pode criar e gerenciar políticas de configuração somente a partir da região inicial. As políticas de configuração entram em vigor na região inicial e em todas as regiões vinculadas. Você não pode criar uma política de configuração que seja aplicada somente a um subconjunto dessas regiões, e não a outras. A exceção a isso são os controles que envolvem recursos globais. Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Para obter mais informações, consulte [Controles que usam recursos globais](controls-to-disable.md#controls-to-disable-global-resources).

A região inicial também é a sua região de agregação do CSPM do Security Hub, que recebe descobertas, insights e outros dados das regiões vinculadas.

Se você já definiu uma região de agregação para a agregação entre regiões, essa é sua região inicial padrão para a configuração central. É possível alterar a região inicial antes de começar a usar a configuração central excluindo seu agregador de descobertas atual e criando um novo na região inicial desejada. Um agregador de descobertas é um recurso do CSPM do Security Hub que especifica a região inicial e as regiões vinculadas.

Para designar uma região inicial, siga [as etapas para definir uma região de agregação](finding-aggregation-enable.md). Se você já tem uma região inicial, pode invocar a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) para ver detalhes sobre ela, incluindo quais regiões estão atualmente vinculadas a ela.

## Instruções para habilitar a configuração central
<a name="central-configuration-get-started"></a>

Escolha seu método preferido e siga as etapas para habilitar a configuração central para a sua organização.

------
#### [ Security Hub CSPM console ]

**Para habilitar a configuração central (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Configurações** e **Configuração**. Em seguida, escolha **Iniciar configuração central**.

   Se você estiver se integrando ao CSPM do Security Hub, escolha **Ir para o CSPM do Security Hub**.

1. Na página **Designar administrador delegado**, selecione sua conta de administrador delegado ou insira o ID da conta. Se aplicável, recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS . Escolha **Definir administrador delegado**.

1. Na página **Centralizar organização**, na seção **Regiões**, selecione sua região inicial. Você precisa fazer login na região inicial para prosseguir. Se você já definiu uma região de agregação para a agregação entre regiões, ela será exibida como a região inicial. Para alterar a região inicial, escolha **Editar configurações da região**. Em seguida, será possível selecionar sua região inicial preferida e retornar a esse fluxo de trabalho.

1. Selecione ao menos uma região para vincular à região inicial. Opcionalmente, escolha se você deseja vincular automaticamente as futuras regiões com suporte à região inicial. As regiões que você selecionar aqui poderão ser configuradas a partir da região inicial pelo administrador delegado. As políticas de configuração entram em vigor na sua região inicial e em todas as regiões vinculadas.

1. Escolha **Confirmar e continuar**.

1.  Agora é possível usar a configuração central. Continue seguindo as instruções do console para criar sua primeira política de configuração. Se você ainda não estiver pronto para criar uma política de configuração, escolha **Ainda não estou pronto para configurar**. É possível criar uma política posteriormente escolhendo **Configurações** e **Configuração** no painel de navegação. Para obter instruções sobre como criar uma política de configuração, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

------
#### [ Security Hub CSPM API ]

**Para habilitação a configuração central (API)**

1. Usando as credenciais da conta do administrador delegado, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) a partir da região inicial.

1. Defina o campo `AutoEnable` como `false`.

1. Defina o campo `ConfigurationType` no objeto `OrganizationConfiguration` como `CENTRAL`. Essa ação:
   + Designa a conta de chamada como o administrador delegado do CSPM do Security Hub em todas as regiões vinculadas.
   + Habilita o CSPM do Security Hub na conta do administrador delegado em todas as regiões vinculadas.
   + Designa a conta de chamada como o administrador delegado do CSPM do Security Hub para contas novas e existentes que usem o CSPM do Security Hub e pertençam à organização. Isso ocorre na região inicial e em todas as regiões vinculadas. A conta de chamada será definida como o administrador delegado para novas contas da organização somente se elas estiverem associadas a uma política de configuração que tenha o CSPM do Security Hub habilitado. A conta de chamada será definida como o administrador delegado das contas existentes da organização somente se elas já tiverem o CSPM do Security Hub habilitado.
   + Define [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable) como `false` em todas as regiões vinculadas e define [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards) como `NONE` na região inicial e em todas as regiões vinculadas. Esses parâmetros não são relevantes nas regiões inicial e vinculadas quando você usa a configuração central, mas é possível habilitar automaticamente o CSPM do Security Hub e os padrões de segurança padrão nas contas da organização por meio do uso de políticas de configuração.

1. Agora é possível usar a configuração central. O administrador delegado pode criar políticas de configuração para configurar o CSPM do Security Hub na sua organização. Para obter instruções sobre como criar uma política de configuração, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

**Exemplo de solicitação de API**:

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**Para habilitação a configuração central (AWS CLI)**

1. Usando as credenciais da conta do administrador delegado, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) a partir da região inicial.

1. Inclua o parâmetro `no-auto-enable`.

1. Defina o campo `ConfigurationType` no objeto `organization-configuration` como `CENTRAL`. Essa ação:
   + Designa a conta de chamada como o administrador delegado do CSPM do Security Hub em todas as regiões vinculadas.
   + Habilita o CSPM do Security Hub na conta do administrador delegado em todas as regiões vinculadas.
   + Designa a conta de chamada como o administrador delegado do CSPM do Security Hub para contas novas e existentes que usem o CSPM do Security Hub e pertençam à organização. Isso ocorre na região inicial e em todas as regiões vinculadas. A conta de chamada será definida como o administrador delegado para novas contas da organização somente se elas estiverem associadas a uma política de configuração que tenha o Security Hub habilitado. A conta de chamada será definida como o administrador delegado das contas existentes da organização somente se elas já tiverem o CSPM do Security Hub habilitado.
   + Define a opção de habilitação automática como [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) em todas as regiões vinculadas e define [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) como `NONE` na região inicial e em todas as regiões vinculadas. Esses parâmetros não são relevantes nas regiões inicial e vinculadas quando você usa a configuração central, mas é possível habilitar automaticamente o CSPM do Security Hub e os padrões de segurança padrão nas contas da organização por meio do uso de políticas de configuração.

1. Agora é possível usar a configuração central. O administrador delegado pode criar políticas de configuração para configurar o CSPM do Security Hub na sua organização. Para obter instruções sobre como criar uma política de configuração, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

**Exemplo de comando:**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------

# Destinos gerenciado centralmente versus autogerenciados
<a name="central-configuration-management-type"></a>

*Quando você ativa a configuração central, o administrador delegado do CSPM do AWS Security Hub pode designar cada conta da organização, unidade organizacional (OU) e raiz como gerenciada *centralmente* ou autogerenciada.* O tipo de gerenciamento de um alvo determina como é possível especificar suas configurações do CSPM do Security Hub.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Esta seção explica as diferenças entre uma designação gerenciada centralmente e autogerenciada, e como escolher o tipo de gerenciamento de uma conta, de uma UO ou da raiz.

**Autogerenciado**  
O proprietário de uma conta autogerenciada, OU ou raiz deve definir suas configurações separadamente em cada uma Região da AWS. O administrador delegado não pode criar políticas de configuração para alvos autogerenciados.

**Gerenciada centralmente**  
Somente o administrador delegado do CSPM do Security Hub pode definir configurações para contas gerenciadas centralmente ou a raiz na região de origem e regiões vinculadas. OUs As políticas de configuração podem ser associadas a contas gerenciadas centralmente e. OUs

O administrador delegado pode alternar o status de um alvo entre autogerenciado e gerenciado centralmente. Por padrão, todas as contas e UOs são autogerenciadas quando você inicia a configuração central por meio da API do CSPM do Security Hub. No console, o tipo de gerenciamento dependerá da sua primeira política de configuração. As contas OUs que você associa à sua primeira política são gerenciadas centralmente. Outras contas e OUs são autogerenciadas por padrão.

Se você associar uma política de configuração a uma conta anteriormente autogerenciada, as configurações da política substituirão a designação autogerenciada. A conta passará a ser gerenciada centralmente e adotará as configurações refletidas na política de configuração.

Se você alterar uma conta gerenciada centralmente para uma conta autogerenciada, as configurações aplicadas anteriormente à conta por meio de uma política de configuração permanecerão em vigor. Por exemplo, uma conta gerenciada centralmente poderia inicialmente ser associada a uma política que habilitasse o Security Hub CSPM, habilitasse as melhores práticas de segurança AWS básicas e desabilitasse .1. CloudTrail Se você designar a conta como autogerenciada, todas as configurações permanecerão inalteradas. No entanto, o proprietário da conta pode alterar de forma independente as configurações da conta daqui para frente.

A criança conta e OUs pode herdar o comportamento autogerenciado de um pai autogerenciado, da mesma forma que as contas secundárias e OUs pode herdar as políticas de configuração de um pai gerenciado centralmente. Para obter mais informações, consulte [Associação de políticas por meio de aplicação e herança](configuration-policies-overview.md#policy-association).

Uma conta autogerenciada ou UO não pode herdar uma política de configuração de um nó superior ou da raiz. Por exemplo, se você quiser que todas as contas e OUs em sua organização herdem uma política de configuração da raiz, você deve alterar o tipo de gerenciamento dos nós autogerenciados para gerenciados centralmente.

## Opções para definir configurações em contas autogerenciadas
<a name="self-managed-settings"></a>

As contas autogerenciadas devem definir suas próprias configurações separadamente em cada região.

Os proprietários de contas autogerenciadas podem invocar as seguintes operações da APIs do CSPM do Security Hub em cada região para definir suas configurações:
+ `EnableSecurityHub` e `DisableSecurityHub` para habilitar ou desabilitar o serviço do CSPM do Security Hub (se uma conta autogerenciada tiver um administrador delegado do CSPM do Security Hub, o administrador deverá [desassociar a conta antes que o proprietário da conta](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) possa desabilitar o CSPM do Security Hub).
+ `BatchEnableStandards` e `BatchDisableStandards` para habilitar ou desabilitar padrões
+ `BatchUpdateStandardsControlAssociations` ou `UpdateStandardsControl` para habilitar ou desabilitar

As contas autogerenciadas também podem usar as operações `*Invitations` e `*Members`. Porém, recomendamos que as contas autogerenciadas não usem essas operações. As associações de políticas podem não funcionar se uma conta de membro tiver seus os próprios membros e eles fizerem parte de uma organização diferente da organização do administrador delegado.

Para obter descrições das ações da API do CSPM do Security Hub, consulte a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).

As contas autogerenciadas também podem usar o console CSPM do Security Hub ou AWS CLI definir suas configurações em cada região.

As contas autogerenciadas não podem invocar nenhuma APIs relacionada às políticas de configuração e associações de políticas do Security Hub CSPM. Somente o administrador delegado pode invocar a configuração central APIs e usar políticas de configuração para configurar contas gerenciadas centralmente.

## Escolher o tipo de gerenciamento de um alvo
<a name="choose-management-type"></a>

Escolha seu método preferido e siga as etapas para designar uma conta ou OU como gerenciada centralmente ou autogerenciada no AWS Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Para escolher o tipo de gerenciamento de uma conta ou UO**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. Escolher **configuração**.

1. Na guia **Organização**, selecione a conta ou UO de destino. Escolha **Editar**.

1. Na página **Definir configuração**, em **Tipo de gerenciamento**, escolha **Gerenciada centralmente** se quiser que o administrador delegado configure a conta ou UO de destino. Em seguida, escolha **Aplicar uma política específica** se quiser associar uma política de configuração existente ao destino. Escolha **Herdar da minha organização** se desejar que o destino herde a configuração do pai mais próximo. Escolha **Autogerenciado** se desejar que a conta ou UO defina suas próprias configurações.

1. Escolha **Próximo**. Revise suas alterações e escolha **Salvar**.

------
#### [ Security Hub CSPM API ]

**Para escolher o tipo de gerenciamento de uma conta ou UO**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. No campo `ConfigurationPolicyIdentifier`, forneça `SELF_MANAGED_SECURITY_HUB` se você deseja que a conta ou UO controle suas próprias configurações. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração relevante se quiser que o administrador delegado controle as configurações da conta ou da UO.

1. Para o `Target` campo, forneça o Conta da AWS ID, ID da OU ou ID raiz do destino cujo tipo de gerenciamento você deseja alterar. Isso associará o comportamento autogerenciado ou a política de configuração especificada ao destino. As contas filhas do destino podem herdar o comportamento autogerenciado ou a política de configuração.

**Exemplo de solicitação de API para designar uma conta autogerenciada:**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**Para escolher o tipo de gerenciamento de uma conta ou UO**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. No campo `configuration-policy-identifier`, forneça `SELF_MANAGED_SECURITY_HUB` se você deseja que a conta ou UO controle suas próprias configurações. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração relevante se quiser que o administrador delegado controle as configurações da conta ou da UO.

1. Para o `target` campo, forneça o Conta da AWS ID, ID da OU ou ID raiz do destino cujo tipo de gerenciamento você deseja alterar. Isso associará o comportamento autogerenciado ou a política de configuração especificada ao destino. As contas filhas do destino podem herdar o comportamento autogerenciado ou a política de configuração.

**Exemplo de comando para designar uma conta autogerenciada:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------

# Como as políticas de configuração funcionam no CSPM do Security Hub
<a name="configuration-policies-overview"></a>

O administrador delegado do CSPM do AWS Security Hub pode criar políticas de configuração para configurar o CSPM, os padrões de segurança e os controles de segurança do Security Hub para uma organização. Depois de criar uma política de configuração, o administrador delegado pode associá-la a contas específicas, unidades organizacionais (OUs) ou à raiz. A política então entra em vigor nas contas OUs especificadas ou na raiz.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Esta seção fornece uma visão geral detalhada das políticas de configuração.

## Considerações sobre políticas
<a name="configuration-policies-considerations"></a>

Antes de criar uma política de configuração no CSPM do Security Hub, considere os detalhes a seguir.
+ **As políticas de configuração devem ser associadas para entrarem em vigor** — Depois de criar uma política de configuração, você pode associá-la a uma ou mais contas, unidades organizacionais (OUs) ou à raiz. Uma política de configuração pode ser associada a contas ou OUs por meio de aplicação direta ou por meio de herança de uma OU principal.
+ **Uma conta ou UO só pode estar associada a uma única política de configuração**: para evitar configurações conflitantes, uma conta ou UO só pode estar associada a uma política de configuração por vez. Como alternativa, uma conta ou UO pode ser autogerenciada.
+ **As políticas de configuração são completas**: as políticas de configuração fornecem uma especificação completa das configurações. Por exemplo, uma conta filha não pode aceitar configurações para alguns controles de uma política e configurações para outros controles de outra política. Ao associar uma política a uma conta filha, verifique se a política especifica todas as configurações que você deseja que a conta filha use.
+ **As políticas de configuração não podem ser revertidas** — Não há opção de reverter uma política de configuração depois de associá-la a contas ou. OUs Por exemplo, se você associar uma política de configuração que desabilita CloudWatch controles a uma conta específica e, em seguida, dissociar essa política, os CloudWatch controles continuarão desativados nessa conta. Para ativar CloudWatch os controles novamente, você pode associar a conta a uma nova política que habilite os controles. Como alternativa, você pode alterar a conta para autogerenciada e ativar cada CloudWatch controle na conta.
+ **As políticas de configuração entram em vigor na sua região inicial e em todas as regiões vinculadas**: uma política de configuração afeta todas as contas associadas na região inicial e em todas as regiões vinculadas. Você não pode criar uma política de configuração que entre em vigor somente a algumas dessas regiões e não a outras. A exceção são os [controles que usam recursos globais](controls-to-disable.md#controls-to-disable-global-resources). O CSPM do Security Hub desabilita automaticamente os controles que envolvam recursos globais em todas as regiões, exceto na região inicial.

  As regiões que AWS foram introduzidas em ou após 20 de março de 2019 são conhecidas como regiões opcionais. É necessário habilitar essa região para uma conta antes que uma política de configuração entre em vigor nela. A conta gerencial do Organizations pode habilitar regiões de adesão para uma conta de membro. Para obter instruções sobre como ativar regiões opcionais, consulte [Especificar qual Regiões da AWS conta pode ser usada](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) no *Guia de referência de gerenciamento de AWS contas*.

  Se a sua política configurar um controle que não esteja disponível na região inicial ou em uma ou mais regiões vinculadas, o CSPM do Security Hub ignorará a configuração do controle nas regiões indisponíveis, mas aplicará a configuração nas regiões em que o controle estiver disponível. Você não tem cobertura para um controle que não esteja disponível na região inicial ou em alguma das regiões vinculadas.
+ **Políticas de configuração são recursos**: como recurso, uma política de configuração tem um nome do recurso da Amazon (ARN) e um identificador universalmente exclusivo (UUID). O ARN usa o formato a seguir: `arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID`. Uma configuração autogerenciada não tem ARN nem UUID. O identificador de uma configuração autogerenciada é `SELF_MANAGED_SECURITY_HUB`.

## Tipos de políticas de configuração
<a name="policy-types"></a>

Cada política de configuração especifica as configurações a seguir:
+ Habilitação ou desabilitação do CSPM do Security Hub.
+ Habilitar um ou mais [padrões de segurança](standards-reference.md).
+ Indicar quais [controles de segurança](securityhub-controls-reference.md) estão habilitados dentre todos os padrões habilitados. É possível fazer isso fornecendo uma lista de controles específicos que devem ser habilitados, e o CSPM do Security Hub desabilitará todos os outros controles, incluindo novos controles quando eles forem lançados. De forma alternativa, é possível fornecer uma lista de controles específicos que devem ser desabilitados, e o CSPM do Security Hub habilitará todos os outros controles, incluindo novos controles quando eles forem lançados.
+ Opcionalmente, [personalize os parâmetros](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) para selecionar controles habilitados dentre os padrões habilitados.

As políticas de configuração central não incluem as configurações do AWS Config gravador. Você deve habilitar AWS Config e ativar separadamente a gravação dos recursos necessários para que o Security Hub CSPM gere descobertas de controle. Para obter mais informações, consulte [Considerações antes de ativar e configurar AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Os outros controles que você escolher habilitar por meio de uma política de configuração serão habilitados em todas as regiões em que estiverem disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem.

Se um controle habilitado que envolva recursos globais não tiver suporte na região inicial, o CSPM do Security Hub tentará habilitar o controle em uma região vinculada onde haja suporte para o controle. Com a configuração central, não há cobertura para um controle que não esteja disponível na região inicial ou em alguma das regiões vinculadas.

Para obter uma lista dos controles que envolvem recursos globais, consulte [Controles que usam recursos globais](controls-to-disable.md#controls-to-disable-global-resources).

### Política de configuração recomendada
<a name="recommended-policy"></a>

Ao criar uma política de configuração pela *primeira vez no console do CSPM do Security Hub*, você tem a opção de escolher a política recomendada do CSPM do Security Hub.

A política recomendada habilita o Security Hub CSPM, o padrão AWS Foundational Security Best Practices (FSBP) e todos os controles FSBP novos e existentes. Os controles que aceitam parâmetros usam os valores padrão. A política recomendada se aplica ao root (todas as contas e OUs, tanto as novas quanto as existentes). Depois de criar a política recomendada para sua organização, é possível modificá-la a partir da conta de administrador delegado. Por exemplo, é possível habilitar padrões ou controles adicionais ou desabilitar controles de FSBP específicos. Para obter instruções sobre como modificar uma política de configuração, consulte [Atualização das políticas de configuração](update-policy.md).

### Política de configuração personalizada
<a name="custom-policy"></a>

Em vez da política recomendada, o administrador delegado pode criar até 20 políticas de configuração personalizadas. Você pode associar uma única política personalizada a toda a sua organização ou políticas personalizadas diferentes a contas diferentes OUs e. Para uma política de configuração personalizada, você especifica as configurações desejadas. Por exemplo, é possível criar uma política personalizada que habilite o FSBP, o Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 e todos os controles nesses padrões, exceto os controles do Amazon Redshift. O nível de granularidade que você usa nas políticas de configuração personalizadas depende do escopo pretendido da cobertura de segurança em toda a organização.

**nota**  
Você não pode associar uma política de configuração que desabilite o CSPM do Security Hub à conta de administrador delegado. Essa política pode ser associada a outras contas, mas ignorará a associação com o administrador delegado. A conta de administrador delegado retém sua configuração atual.

Depois de criar uma política de configuração personalizada, é possível mudar para a política de configuração recomendada atualizando sua política de configuração para refletir a configuração recomendada. Entretanto, você não vê a opção de criar a política de configuração recomendada no console do CSPM do Security Hub após a criação da primeira política.

## Associação de políticas por meio de aplicação e herança
<a name="policy-association"></a>

Quando você faz a adesão à configuração central pela primeira vez, sua organização não tem associações e se comporta da mesma forma que antes da adesão. O administrador delegado pode então estabelecer associações entre uma política de configuração ou um comportamento e contas autogerenciados OUs, ou a raiz. As associações podem ser estabelecidas por meio de *aplicação* ou *herança*.

A partir da conta de administrador delegado, é possível aplicar diretamente uma política de configuração a uma conta, UO ou raiz. Ou então, o administrador delegado pode aplicar diretamente uma designação autogerenciada a uma conta, a uma UO ou à raiz.

Na ausência da aplicação direta, uma conta ou UO herda as configurações da entidade superior mais próxima que tenha uma política de configuração ou um comportamento autogerenciado. Se o pai mais próximo estiver associado a uma política de configuração, o filho herdará essa política e poderá ser configurado somente pelo administrador delegado da região inicial. Se o pai mais próximo for autogerenciado, o filho herda o comportamento autogerenciado e poderá especificar suas próprias configurações em cada um. Região da AWS

A aplicação da política tem precedência sobre a herança. Em outras palavras, a herança não substitui uma política de configuração ou uma designação autogerenciada que o administrador delegado aplicou diretamente a uma conta ou UO.

Se você aplicar uma política de configuração diretamente a uma conta autogerenciada, a política substituirá a designação autogerenciada. A conta passará a ser gerenciada centralmente e adotará as configurações refletidas na política de configuração.

Recomendamos aplicar uma política de configuração diretamente à raiz. Se você aplicar uma política à raiz, as novas contas que ingressarem na sua organização herdarão automaticamente a política da raiz, a menos que você as associe a uma política diferente ou as designe como autogerenciadas.

Somente uma política de configuração pode ser associada a uma conta ou UO em um determinado momento, seja por meio de aplicação ou herança. Isso foi projetado para evitar configurações conflitantes.

O diagrama a seguir ilustra como a aplicação de políticas e a herança funcionam na configuração central.

![\[Aplicação e herança de políticas de configuração do CSPM do Security Hub\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)


Neste exemplo, um nó destacado em verde tem uma política de configuração que foi aplicada a ele. Um nó destacado em azul não tem nenhuma política de configuração aplicada a ele. Um nó destacado em amarelo foi designado como autogerenciado. Cada conta e UO usam a configuração a seguir:
+ **UO:Raiz (verde)**: essa UO usa a política de configuração que foi aplicada a ela.
+ **UO:Prod (azul)**: essa UO herda a política de configuração de UO:Raiz.
+ **UO:Aplicações (verde)**: essa UO usa a política de configuração que foi aplicada a ela.
+ **Conta 1 (verde)**: essa conta usa a política de configuração que foi aplicada a ela.
+ **Conta 2 (azul)**: essa conta herda a política de configuração de UO:Aplicações.
+ **UO:Desenv (amarelo)**: essa UO é autogerenciada.
+ **Conta 3 (verde)**: essa conta usa a política de configuração que foi aplicada a ela.
+ **Conta 4 (azul)**: essa conta herda o comportamento autogerenciado de UO:Desenv.
+ **UO:Teste (azul)**: essa conta herda a política de configuração de UO:Raiz.
+ **Conta 5 (azul)**: essa conta herda a política de configuração de UO:Raiz, pois seu pai imediato, UO:Teste, não está associado a uma política de configuração.

## Testes de uma política de configuração
<a name="test-policy"></a>

Para ter certeza de que entendeu como as políticas de configuração funcionam, recomendamos que você crie uma política e a associe a uma conta ou uma UO de teste.

**Para testar uma política de configuração**

1. Crie uma política de configuração personalizada e verifique se as configurações especificadas para habilitação, padrões e controles do CSPM do Security Hub estão corretas. Para instruções, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

1. Aplique a política de configuração a uma conta de teste ou UO que não tenha nenhuma conta secundária ou OUs.

1. Verifique se a conta de teste ou UO usa a política de configuração da forma esperada em sua região inicial e em todas as regiões vinculadas. Você também pode verificar se todas as outras contas e OUs em sua organização permanecem autogerenciadas e podem alterar suas próprias configurações em cada região.

Depois de testar uma política de configuração em uma única conta ou OU, você pode associá-la a outras contas OUs e.

# Criação e associação de políticas de configuração
<a name="create-associate-policy"></a>

A conta delegada do administrador do AWS Security Hub CSPM pode criar políticas de configuração que especificam como o CSPM, os padrões e os controles do Security Hub são configurados em contas e unidades organizacionais especificadas (). OUs Uma política de configuração entra em vigor somente depois que o administrador delegado a associa a pelo menos uma conta ou unidade organizacional (OUs) ou à raiz. O administrador delegado também pode associar uma configuração autogerenciada às contas ou à raiz. OUs

Se essa for a primeira vez que você está criando uma política de configuração, é recomendável analisar primeiro [Como as políticas de configuração funcionam no CSPM do Security Hub](configuration-policies-overview.md).

Escolha seu método de acesso preferido e siga as etapas para criar e associar uma política de configuração ou uma configuração autogerenciada. Ao usar o console CSPM do Security Hub, você pode associar uma configuração a várias contas ou OUs ao mesmo tempo. Ao usar a API CSPM do Security Hub ou AWS CLI, você pode associar uma configuração a somente uma conta ou OU em cada solicitação.

**nota**  
Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Os outros controles que você escolher habilitar por meio de uma política de configuração serão habilitados em todas as regiões em que estiverem disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem.  
Se um controle habilitado que envolva recursos globais não tiver suporte na região inicial, o CSPM do Security Hub tentará habilitar o controle em uma região vinculada onde haja suporte para o controle. Com a configuração central, não há cobertura para um controle que não esteja disponível na região inicial ou em alguma das regiões vinculadas.  
Para obter uma lista dos controles que envolvem recursos globais, consulte [Controles que usam recursos globais](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Security Hub CSPM console ]

**Para criar e associar políticas de configuração**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configuração** e a guia **Políticas**. Em seguida, selecione **Criar política**.

1. Na página **Configurar organização**, se for a primeira vez que você cria uma política de configuração, você verá três opções em **Tipo de configuração**. Se você já criou pelo menos uma política de configuração, verá somente a opção **Política personalizada**.
   + Escolha **Usar a configuração CSPM AWS recomendada do Security Hub em toda a minha organização** para usar nossa política recomendada. A política recomendada ativa o CSPM do Security Hub em todas as contas da organização, ativa o padrão AWS Foundational Security Best Practices (FSBP) e ativa todos os controles FSBP novos e existentes. Os controles usam valores de parâmetros padrão.
   + Escolha **Ainda não estou pronto para configurar** para criar uma política de configuração mais tarde.
   + Escolha **Política personalizada** para criar uma política de configuração personalizada. Especifique se deseja habilitar ou desabilitar o CSPM do Security Hub, quais padrões habilitar e quais controles habilitar em todos esses padrões. Opcionalmente, especifique [valores de parâmetros personalizados](custom-control-parameters.md) para um ou mais controles habilitados que ofereçam suporte a parâmetros personalizados.

1. Na seção **Contas**, escolha a quais contas de destino ou a raiz às quais você deseja que sua política de configuração se aplique. OUs
   + Escolha **Todas as contas** se quiser aplicar a política de configuração à raiz. Isso inclui todas as contas e OUs na organização que não têm outra política aplicada ou herdada.
   + Escolha **Contas específicas** se quiser aplicar a política de configuração a contas específicas ou OUs. Insira a conta IDs ou selecione as contas e a OUs partir da estrutura organizacional. Você pode aplicar a política a um máximo de 15 alvos (contas ou raiz) ao criá-la. OUs Para especificar um número maior, edite a política após criá-la e aplique-a aos alvos adicionais.
   + Escolha **Somente o administrador delegado** para aplicar a política de configuração à conta atual do administrador delegado.

1. Escolha **Próximo**.

1. Na página **Revisar e aplicar**, revise os detalhes da configuração. Em seguida, escolha **Criar política e aplicar**. Na sua região inicial e em todas as regiões vinculadas, essa ação substituirá as configurações existentes das contas associadas a essa política de configuração. As contas podem ser associadas à política de configuração por meio de aplicação direta ou herança de um nó pai. As contas OUs secundárias e os alvos aplicados herdarão automaticamente essa política de configuração, a menos que sejam especificamente excluídas, autogerenciadas ou usem uma política de configuração diferente.

------
#### [ Security Hub CSPM API ]

**Para criar e associar políticas de configuração**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. Em `Name`, insira um nome exclusivo para a política de configuração. Opcionalmente, em `Description`, forneça uma descrição para a política de configuração.

1. No campo `ServiceEnabled`, especifique se você deseja que o CSPM do Security Hub seja habilitado ou desabilitado nesta política de configuração.

1. No campo `EnabledStandardIdentifiers`, especifique quais padrões do CSPM do Security Hub você deseja habilitar nesta política de configuração.

1. No objeto `SecurityControlsConfiguration`, especifique quais controles você deseja habilitar ou desabilitar nessa política de configuração. Escolher `EnabledSecurityControlIdentifiers` significa que os controles especificados serão habilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão desabilitados. Escolher `DisabledSecurityControlIdentifiers` significa que os controles especificados serão desabilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão habilitados.

1. Opcionalmente, no campo `SecurityControlCustomParameters`, especifique os controles habilitados para os quais você deseja personalizar os parâmetros. Forneça `CUSTOM` para o campo `ValueType` e o valor do parâmetro personalizado para o campo `Value`. O valor deve ser do tipo de dados correto e estar dentro dos intervalos válidos especificados pelo CSPM do Security Hub. Somente controles selecionados oferecem suporte a valores de parâmetros personalizados. Para obter mais informações, consulte [Noções básicas sobre os parâmetros de controles no CSPM do Security Hub](custom-control-parameters.md).

1. Para aplicar sua política de configuração às contas ou OUs, invocar a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API da conta de administrador delegado CSPM do Security Hub na região de origem.

1. No campo `ConfigurationPolicyIdentifier`, forneça o nome do recurso da Amazon (ARN) ou o identificador único universal (UUID) da política. O ARN e o UUID são retornados pela API `CreateConfigurationPolicy`. Para uma configuração autogerenciada, o campo `ConfigurationPolicyIdentifier` é igual a `SELF_MANAGED_SECURITY_HUB`.

1. No campo `Target`, forneça o ID da UO, da conta ou da raiz à qual você deseja que essa política de configuração se aplique. Você só pode fornecer um destino em cada solicitação de API. As contas secundárias e OUs do alvo selecionado herdarão automaticamente essa política de configuração, a menos que sejam autogerenciadas ou usem uma política de configuração diferente.

**Exemplo de solicitação de API para criar uma política de configuração:**

```
{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Exemplo de solicitação de API para associar uma política de configuração:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```

------
#### [ AWS CLI ]

**Para criar e associar políticas de configuração**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. Em `name`, insira um nome exclusivo para a política de configuração. Opcionalmente, em `description`, forneça uma descrição para a política de configuração.

1. No campo `ServiceEnabled`, especifique se você deseja que o CSPM do Security Hub seja habilitado ou desabilitado nesta política de configuração.

1. No campo `EnabledStandardIdentifiers`, especifique quais padrões do CSPM do Security Hub você deseja habilitar nesta política de configuração.

1. No campo `SecurityControlsConfiguration`, especifique quais controles você deseja habilitar ou desabilitar nessa política de configuração. Escolher `EnabledSecurityControlIdentifiers` significa que os controles especificados serão habilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão desabilitados. Escolher `DisabledSecurityControlIdentifiers` significa que os controles especificados serão desabilitados. Outros controles que se apliquem aos seus padrões habilitados (incluindo controles recém-lançados) serão habilitados.

1. Opcionalmente, no campo `SecurityControlCustomParameters`, especifique os controles habilitados para os quais você deseja personalizar os parâmetros. Forneça `CUSTOM` para o campo `ValueType` e o valor do parâmetro personalizado para o campo `Value`. O valor deve ser do tipo de dados correto e estar dentro dos intervalos válidos especificados pelo CSPM do Security Hub. Somente controles selecionados oferecem suporte a valores de parâmetros personalizados. Para obter mais informações, consulte [Noções básicas sobre os parâmetros de controles no CSPM do Security Hub](custom-control-parameters.md).

1. Para aplicar sua política de configuração às contas ou OUs, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando na conta de administrador delegado CSPM do Security Hub na região de origem.

1. No campo `configuration-policy-identifier`, forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração. Esse ARN e ID são retornados pelo comando `create-configuration-policy`.

1. No campo `target`, forneça o ID da UO, da conta ou da raiz à qual você deseja que essa política de configuração se aplique. Você só pode fornecer um destino a cada vez que você executa o comando. Os filhos do destino selecionado herdarão automaticamente esta política de configuração, a menos que sejam autogerenciadas ou usem uma política de configuração diferente.

**Exemplo de comando para criar uma política de configuração:**

```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

**Exemplo de comando para associar uma política de configuração:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```

------

A API `StartConfigurationPolicyAssociation` retorna um campo chamado `AssociationStatus`. Esse campo informa se uma associação de política está pendente ou em um estado de sucesso ou fracasso. Pode demorar até 24 horas para que o status mude de `PENDING` para `SUCCESS` ou `FAILURE`. Para obter mais informações sobre status de associações, consulte [Revisar o status da associação de uma política de configuração](view-policy.md#configuration-association-status).

# Visualização do status e dos detalhes de políticas de configuração
<a name="view-policy"></a>

O administrador delegado do CSPM do AWS Security Hub pode visualizar as políticas de configuração de uma organização e seus detalhes. Isso inclui a quais contas e unidades organizacionais (OUs) uma política está associada.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Escolha seu método preferido e siga as etapas para visualizar suas políticas de configuração.

------
#### [ Security Hub CSPM console ]

**Para visualizar políticas de configuração (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Escolha a guia **Políticas** para ter uma visão geral das políticas de configuração.

1. Selecione uma política de configuração e escolha **Exibir detalhes** para ver detalhes adicionais sobre ela, incluindo a quais contas OUs ela está associada.

------
#### [ Security Hub CSPM API ]

Para visualizar uma lista resumida de todas as suas políticas de configuração, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html) da API do CSPM do Security Hub. Se você usar o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)comando. O administrador delegado do CSPM do Security Hub deve invocar a operação na região inicial.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Para visualizar detalhes sobre uma política de configuração específica, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html). Se você usar o AWS CLI, execute [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html)o. O administrador delegado deve invocar a operação na região inicial. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração cujos detalhes você deseja visualizar.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Para visualizar uma lista resumida de todas as suas políticas de configuração e suas associações de conta, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html). Se você usar o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)comando. O administrador delegado deve invocar a operação na região inicial. Opcionalmente, é possível fornecer parâmetros de paginação ou filtrar os resultados por um ID de política específica, tipo de associação ou status de associação.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Para visualizar as associações de uma conta específica, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html). Se você usar o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)comando. O administrador delegado deve invocar a operação na região inicial. Em `target`, forneça o número da conta, ID da UO ou ID da raiz.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Revisar o status da associação de uma política de configuração
<a name="configuration-association-status"></a>

As operações a seguir da API da configuração central retornam um campo chamado `AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Esse campo é retornado quando a configuração subjacente é uma política de configuração e quando é um comportamento autogerenciado.

O valor de `AssociationStatus` indica se uma associação de política está pendente ou em estado de êxito ou falha para uma conta específica. Pode demorar até 24 horas para que o status mude de `PENDING` para `SUCCESS` ou `FAILED`. Um status `SUCCESS` significa que todas as configurações especificadas na política de configuração estão associadas à conta. Um status `FAILED` significa uma ou mais configurações especificadas na política de configuração falharam ao associar à conta. Apesar do status `FAILED`, a conta pode ser parcialmente configurada de acordo com a política. Por exemplo, você pode tentar associar uma conta a uma política de configuração que habilite o CSPM do Security Hub, habilite as melhores práticas de segurança AWS básicas e desabilite .1. CloudTrail As duas configurações iniciais podem ser bem-sucedidas, mas a configuração CloudTrail .1 pode falhar. Neste exemplo, o status da associação é `FAILED`, mesmo que algumas configurações tenham sido definidas corretamente.

O status da associação de uma UO principal ou da raiz depende do status de seus filhos. Se o status de associação de todos os filhos for `SUCCESS`, o status de associação dos pais será `SUCCESS`. Se o status de associação de um ou mais filhos for `FAILED`, o status de associação dos pais será `FAILED`.

O valor de `AssociationStatus` depende do status de associação da política em todas as regiões relevantes. Se a associação obtiver êxito na região inicial e em todas as regiões vinculadas, o valor de `AssociationStatus` será `SUCCESS`. Se a associação falhar em uma ou mais dessas regiões, o valor de `AssociationStatus` será `FAILED`.

O comportamento a seguir também afeta o valor de `AssociationStatus`:
+ Se o destino for uma UO pai ou a raiz, ela terá um `AssociationStatus` de `SUCCESS` ou `FAILED` somente quando todos os filhos tiverem um status `SUCCESS` ou `FAILED`. Se o status de associação de uma conta secundária ou UO mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você associar o pai a uma configuração pela primeira vez, a alteração não atualizará o status de associação do pai, a menos que você invoque a API `StartConfigurationPolicyAssociation` novamente.
+ Se o destino for uma conta, ela terá um `AssociationStatus` de `SUCCESS` ou `FAILED` somente se a associação tiver um resultado de `SUCCESS` ou `FAILED` na região inicial e em todas as regiões vinculadas. Se o status de associação de uma conta de destino mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você a associar pela primeira vez a uma configuração, seu status de associação será atualizado. Entretanto, a alteração não atualiza o status de associação do pai, a menos que você invoque a API `StartConfigurationPolicyAssociation` novamente.

Se você adicionar uma nova região vinculada, o CSPM do Security Hub replicará suas associações existentes que estiverem em um estado `PENDING`, `SUCCESS` ou `FAILED` na nova região.

Mesmo quando o status da associação for `SUCCESS`, o status de habilitação de um padrão que faz parte da política pode passar para um estado incompleto. Nesse caso, o CSPM do Security Hub não pode gerar descobertas para os controles do padrão. Para obter mais informações, consulte [Verificação do status de um padrão](enable-standards.md#standard-subscription-status).

## Solução de problemas de falha de associação
<a name="failed-association-reasons"></a>

No AWS Security Hub CSPM, uma associação de política de configuração pode falhar pelos seguintes motivos comuns.
+ A **conta de gerenciamento do Organizations não é um membro** — Se você quiser associar uma política de configuração à conta de gerenciamento do Organizations, essa conta já deve ter o CSPM do AWS Security Hub ativado. Isso torna a conta gerencial uma conta de membro na organização.
+ **AWS Config não está habilitado ou configurado corretamente** — Para habilitar padrões em uma política de configuração, AWS Config ela deve estar habilitada e configurada para registrar recursos relevantes.
+ **É necessário associar a partir da conta de administrador delegado** — Você só pode associar uma política às contas de destino e OUs quando estiver conectado à conta de administrador delegada do CSPM do Security Hub.
+ **É necessário associar a partir da região de origem** — Você só pode associar uma política às contas de destino e OUs quando estiver conectado à sua região de origem.
+ **Região de adesão não habilitada**: a associação de políticas falhará para uma conta de membro ou UO em uma região vinculada se for uma região de adesão que o administrador delegado não tenha habilitado. É possível tentar novamente depois de habilitar a região a partir da conta de administrador delegado.
+ **Conta de membro suspensa**: a associação de políticas falhará se você tentar associar uma política a uma conta de membro suspensa.

# Atualização das políticas de configuração
<a name="update-policy"></a>

Depois de criar uma política de configuração, a conta delegada do administrador CSPM do AWS Security Hub pode atualizar os detalhes da política e as associações de políticas. Quando os detalhes da política são atualizados, as contas associadas à política de configuração começam automaticamente a usar a política atualizada.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

O administrador delegado pode atualizar as seguintes configurações de política:
+ Habilitar ou desabilitar o CSPM do Security Hub.
+ Habilitar um ou mais [padrões de segurança](standards-reference.md).
+ Indicar quais [controles de segurança](securityhub-controls-reference.md) estão habilitados dentre todos os padrões habilitados. É possível fazer isso fornecendo uma lista de controles específicos que devem ser habilitados, e o CSPM do Security Hub desabilitará todos os outros controles, incluindo novos controles quando eles forem lançados. De forma alternativa, é possível fornecer uma lista de controles específicos que devem ser desabilitados, e o CSPM do Security Hub habilitará todos os outros controles, incluindo novos controles quando eles forem lançados.
+ Opcionalmente, [personalize os parâmetros](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) para selecionar controles habilitados dentre os padrões habilitados.

Escolha seu método preferido e siga as etapas para atualizar uma política de configuração.

**nota**  
Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Os outros controles que você escolher habilitar por meio de uma política de configuração serão habilitados em todas as regiões em que estiverem disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem.  
Se um controle habilitado que envolva recursos globais não tiver suporte na região inicial, o CSPM do Security Hub tentará habilitar o controle em uma região vinculada onde haja suporte para o controle. Com a configuração central, não há cobertura para um controle que não esteja disponível na região inicial ou em alguma das regiões vinculadas.  
Para obter uma lista dos controles que envolvem recursos globais, consulte [Controles que usam recursos globais](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Console ]

**Para atualizar políticas de configuração**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Escolha a guia **Políticas**.

1. Selecione a política de configuração que deseja editar e escolha **Editar**. Se desejar, edite as configurações da política. Deixe esta seção como está se desejar manter as configurações de políticas inalteradas.

1. Escolha **Avançar**. Se desejar, edite as associações de políticas. Deixe esta seção como está se desejar manter as associações de políticas inalteradas. Você pode associar ou desassociar a política a um máximo de 15 alvos (contas ou raiz) ao atualizá-la. OUs 

1. Escolha **Próximo**.

1. Revise suas alterações e escolha **Salvar e aplicar**. Na sua região inicial e em todas as regiões vinculadas, essa ação substituirá as configurações existentes das contas associadas a essa política de configuração. As contas podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um nó pai.

------
#### [ API ]

**Para atualizar políticas de configuração**

1. Para atualizar as configurações em uma política de configuração, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja atualizar. 

1. Forneça valores atualizados para os campos sob `ConfigurationPolicy`. Opcionalmente, também é possível fornecer um motivo para a atualização.

1. Para adicionar novas associações a essa política de configuração, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) da conta de administrador delegado do CSPM do Security Hub na região inicial. Para remover uma ou mais das associações atuais, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. No campo `ConfigurationPolicyIdentifier`, forneça o ARN ou o ID da política de configuração cujas associações você deseja atualizar.

1. Para o `Target` campo, forneça as contas ou o ID raiz que você deseja associar ou desassociar. OUs Essa ação substitui associações de políticas anteriores para as contas OUs especificadas.

**nota**  
Quando você invoca a API `UpdateConfigurationPolicy`, o CSPM do Security Hub executa uma substituição completa da lista para os campos `EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers`, `DisabledSecurityControlIdentifiers` e `SecurityControlCustomParameters`. Sempre que você invocar essa API, forneça a lista completa dos padrões que você deseja habilitar e a lista completa dos controles para os quais você deseja habilitar ou desabilitar e personalizar os parâmetros.

**Exemplo de solicitação de API para atualizar uma política de configuração:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

------
#### [ AWS CLI ]

**Para atualizar políticas de configuração**

1. Para atualizar as configurações em uma política de configuração, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1.  Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja atualizar.

1. Forneça valores atualizados para os campos sob `configuration-policy`. Opcionalmente, também é possível fornecer um motivo para a atualização.

1. Para adicionar novas associações a essa política de configuração, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial. Para remover uma ou mais das associações atuais, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. No campo `configuration-policy-identifier`, forneça o ARN ou o ID da política de configuração cujas associações você deseja atualizar.

1. Para o `target` campo, forneça as contas ou o ID raiz que você deseja associar ou desassociar. OUs Essa ação substitui associações de políticas anteriores para as contas OUs especificadas.

**nota**  
Quando você executa o comando `update-configuration-policy`, o CSPM do Security Hub executa uma substituição completa da lista para os campos `EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers`, `DisabledSecurityControlIdentifiers` e `SecurityControlCustomParameters`. Sempre que você executar esse comando, forneça a lista completa dos padrões que você deseja habilitar e a lista completa dos controles para os quais você deseja habilitar ou desabilitar e personalizar os parâmetros.

**Exemplo de comando para atualizar uma política de configuração:**

```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

------

A API `StartConfigurationPolicyAssociation` retorna um campo chamado `AssociationStatus`. Esse campo informa se uma associação de política está pendente ou em um estado de sucesso ou fracasso. Pode demorar até 24 horas para que o status mude de `PENDING` para `SUCCESS` ou `FAILURE`. Para obter mais informações sobre status de associações, consulte [Revisar o status da associação de uma política de configuração](view-policy.md#configuration-association-status).

# Exclusão de políticas de configuração
<a name="delete-policy"></a>

Depois de criar uma política de configuração, o administrador delegado do CSPM do AWS Security Hub pode excluí-la. Como alternativa, o administrador delegado pode manter a política, mas desassociá-la de contas ou unidades organizacionais específicas (OUs) ou da raiz. Para obter instruções para desassociar uma política, consulte [Desassociar uma configuração dos seus alvos](disassociate-policy.md).

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Esta seção explica como excluir políticas de configuração.

Quando você exclui uma política de configuração, ela deixa de existir para sua organização. As contas de OUs destino e a raiz da organização não podem mais usar a política de configuração. Os destinos associados a uma política de configuração excluída herdam a política de configuração do pai mais próximo ou se tornam autogerenciados se o pai mais próximo for autogerenciado. Se quiser que um destino use uma configuração diferente, é possível associar o destino a uma nova política de configuração. Para obter mais informações, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

Recomendamos criar e associar pelo menos uma política de configuração à sua organização para fornecer cobertura de segurança adequada.

Antes de excluir uma política de configuração, você deve desassociar a política de qualquer conta ou da raiz à qual ela se aplica atualmente. OUs

Escolha seu método preferido e siga as etapas para excluir uma política de configuração.

------
#### [ Console ]

**Para excluir uma política de configuração**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Escolha a guia **Políticas**. Selecione a política de configuração que você deseja excluir e, em seguida, escolha **Excluir**. Se a política de configuração ainda estiver associada a alguma conta ou OUs se você for solicitado a primeiro desassociar a política desses alvos antes de excluí-la.

1. Revise a mensagem de confirmação. Insira **confirm** e escolha **Excluir**.

------
#### [ API ]

**Para excluir uma política de configuração**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja excluir. Se você receber um `ConflictException` erro, a política de configuração ainda se aplica às contas ou OUs à sua organização. Para resolver o erro, desassocie a política de configuração dessas contas ou OUs antes de tentar excluí-la.

**Exemplo de solicitação de API para excluir uma política de configuração:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```

------
#### [ AWS CLI ]

**Para excluir uma política de configuração**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

 Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja excluir. Se você receber um `ConflictException` erro, a política de configuração ainda se aplica às contas ou OUs à sua organização. Para resolver o erro, desassocie a política de configuração dessas contas ou OUs antes de tentar excluí-la.

```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Desassociar uma configuração dos seus alvos
<a name="disassociate-policy"></a>

Na conta delegada do administrador CSPM do AWS Security Hub, você pode desassociar uma política de configuração ou configuração autogerenciada de uma conta, UO ou raiz. A desassociação retém a política para uso futuro, mas remove as associações existentes de contas específicas ou da raiz. Você pode desassociar somente uma configuração aplicada diretamente OUs, não uma configuração herdada. Para alterar uma configuração herdada, é possível aplicar uma política de configuração ou um comportamento autogerenciado à conta ou UO afetada. Também é possível aplicar uma nova política de configuração, que inclua as modificações desejadas, ao pai mais próximo.

A desassociação *não* exclui uma política de configuração. A política é retida em sua conta, para que você possa associá-la a outras metas em sua organização. Para obter instruções sobre como excluir uma política de configuração, consulte [Exclusão de políticas de configuração](delete-policy.md). Quando a desassociação é concluída, um destino afetado herda a política de configuração ou o comportamento autogerenciado do pai mais próximo. Se não houver uma configuração herdável, o destino reterá as configurações que tinha antes da desassociação, mas se tornará autogerenciado.

Escolha seu método preferido e siga as etapas para desassociar uma conta, UO ou ou a raiz de sua configuração atual.

------
#### [ Console ]

**Para desassociar uma conta ou UO de sua configuração atual**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Na guia **Organizations**, selecione a conta, a UO ou a raiz que você deseja desassociar da configuração atual. Escolha **Editar**.

1. Na página **Definir configuração**, em **Gerenciamento**, escolha **Política aplicada** se quiser que o administrador delegado possa aplicar políticas diretamente ao destino. Escolha **Herdada** se desejar que o destino herde a configuração do pai mais próximo. Em qualquer um desses casos, o administrador delegado controlará as configurações do destino. Escolha **Autogerenciado** se desejar que a conta ou UO controle suas próprias configurações.

1. Depois de revisar suas alterações, escolha **Avançar** e **Aplicar**. Essa ação substitui as configurações existentes de qualquer conta ou OUs que esteja no escopo, se essas configurações entrarem em conflito com suas seleções atuais.

------
#### [ API ]

**Para desassociar uma conta ou UO de sua configuração atual**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1.  Em `ConfigurationPolicyIdentifier`, forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja desassociar. Forneça `SELF_MANAGED_SECURITY_HUB` para esse campo, para desassociar o comportamento autogerenciado.

1.  Para`Target`, forneça as contas ou a raiz que você deseja dissociar dessa política de configuração. OUs

**Exemplo de solicitação de API para desassociar uma política de configuração:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
```

------
#### [ AWS CLI ]

**Para desassociar uma conta ou UO de sua configuração atual**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1.  Em `configuration-policy-identifier`, forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja desassociar. Forneça `SELF_MANAGED_SECURITY_HUB` para esse campo, para desassociar o comportamento autogerenciado.

1.  Para`target`, forneça as contas ou a raiz que você deseja dissociar dessa política de configuração. OUs

**Exemplo de comando para desassociar uma política de configuração:**

```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```

------

# Configuração de um padrão ou controle no contexto
<a name="central-configuration-in-context"></a>

Quando você usa a [configuração central](central-configuration-intro.md) no CSPM do AWS Security Hub, o administrador delegado do CSPM do Security Hub pode criar políticas de configuração que especificam como o CSPM, os padrões de segurança e os controles de segurança do Security Hub são configurados para uma organização. O administrador delegado pode associar políticas a contas e unidades organizacionais (UO) específicas. As políticas entram em vigor na sua região inicial e em todas as regiões vinculadas. O administrador delegado pode atualizar políticas de configuração conforme necessário.

No console do CSPM do Security Hub, o administrador delegado pode atualizar as políticas de configuração de duas maneiras: na página **Configuração** ou no contexto dos fluxos de trabalho existentes. Esse último pode ser vantajoso porque, conforme você visualiza as descobertas de segurança, pode descobrir quais padrões e controles são os mais relevantes para o seu ambiente e configurá-los ao mesmo tempo.

A configuração contextual está disponível somente no console do CSPM do Security Hub. Programaticamente, o administrador delegado deve invocar a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) da API do CSPM do Security Hub para alterar a forma como os padrões ou controles específicos são configurados em sua organização.

Siga estas etapas para configurar um padrão ou controle do CSPM do Security Hub no contexto.

**Para configurar um padrão ou controle no contexto (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha uma das opções a seguir:
   + Para configurar um padrão, escolha **Padrões de segurança** e escolha um padrão específico.
   + Para configurar um controle, escolha **Controles** e escolha um controle específico.

1. O console lista as políticas de configuração existentes do CSPM do Security Hub e o status do padrão ou controle selecionado em cada uma delas. Escolha as opções para habilitar ou desabilitar o padrão ou controle em cada política de configuração existente. Para os controles, também é possível personalizar os [parâmetros de controles](custom-control-parameters.md). Você não pode criar uma nova política durante a configuração no contexto. Para criar uma nova política, é necessário acessar a página **Configuração**, escolher a guia **Políticas** e depois escolher **Criar política**.

1. Depois de fazer suas alterações, escolha **Avançar**.

1. Revise suas alterações e escolha **Aplicar**. As atualizações afetam todas as contas e OUs estão associadas a uma política de configuração alterada. As atualizações também entram em vigor na região inicial e em todas as regiões vinculadas.

# Desabilitação da configuração central no CSPM do Security Hub
<a name="stop-central-configuration"></a>

Quando você desabilita a configuração central no CSPM do AWS Security Hub, o administrador delegado perde a capacidade de configurar o CSPM, os padrões de segurança e os controles de segurança do Security Hub em várias Contas da AWS unidades organizacionais () e. OUs Regiões da AWS Em vez disso, é necessário definir a maioria das configurações de cada conta em cada região separadamente.

**Importante**  
Antes de desativar a configuração central, você deve primeiro [desassociar suas contas e OUs](disassociate-policy.md) da configuração atual, seja uma política de configuração ou um comportamento autogerenciado.  
Para poder desabilitar a configuração central, você também deve [excluir as políticas de configuração existentes](delete-policy.md).

Quando você desabilita a configuração central, as seguintes alterações ocorrem:
+ O administrador delegado não pode mais criar políticas de configuração para a organização.
+ As contas que tiveram uma política de configuração aplicada ou herdada retêm suas configurações atuais, mas se tornam autogerenciadas.
+ Sua organização muda para a *configuração local*. Na configuração local, a maioria das configurações do CSPM do Security Hub deve ser definida separadamente em cada conta da organização e região. O administrador delegado pode optar por habilitar automaticamente o CSPM do Security Hub, os [padrões de segurança padrão](securityhub-auto-enabled-standards.md) e todos os controles que fazem parte dos padrões padrão em novas contas da organização. Os padrões padrão são AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Essas novas configurações entram em vigor somente na região atual, e afetarão somente as novas contas da organização. O administrador delegado não pode alterar quais padrões são padrão. A configuração local não oferece suporte ao uso de políticas de configuração ou de configuração no nível de UO.

A identidade da conta de administrador delegado permanece a mesma quando você para de usar a configuração central. Sua região inicial e as regiões vinculadas também permanecem as mesmas (sua região inicial agora é chamada de região de agregação e pode ser usada para agregar descobertas).

Escolha seu método preferido e siga as etapas para parar de usar a configuração central e mudar para a configuração local.

------
#### [ Security Hub CSPM console ]

**Para desabilitar a configuração central (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Na seção **Visão geral**, selecione **Editar**.

1. Na caixa **Editar configuração da organização**, escolha **Configuração local**. Se ainda não o fez, você será solicitado a desassociar e excluir suas políticas de configuração atuais antes de poder interromper a configuração central. As contas ou OUs que são designadas como autogerenciadas devem ser desassociadas de sua configuração autogerenciada. É possível fazer isso no console [alterando o tipo de gerenciamento](central-configuration-management-type.md#choose-management-type) de cada conta autogerenciada ou UO para **Gerenciado centralmente** e **Herdar da minha organização**.

1. Opcionalmente, selecione as definições padrão da configuração local para novas contas da organização.

1. Escolha **Confirmar**.

------
#### [ Security Hub CSPM API ]

**Para desabilitar a configuração central (API)**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html).

1. Defina o campo `ConfigurationType` no objeto `OrganizationConfiguration` como `LOCAL`. A API retornará um erro se você tiver políticas de configuração ou associações de políticas existentes. Para desassociar uma política de configuração, invoque a API `StartConfigurationPolicyDisassociation`. Para excluir uma política de configuração, invoque a API `DeleteConfigurationPolicy`.

1. Se você desejar habilitar automaticamente o CSPM do Security Hub nas novas contas da organização, defina o campo `AutoEnable` como `true`. Por padrão, o valor desse campo é `false`, e o CSPM do Security Hub não é habilitado automaticamente nas novas contas da organização. Opcionalmente, se você desejar habilitar automaticamente os padrões de segurança padrão nas novas contas da organização, defina o campo `AutoEnableStandards` como `DEFAULT`. Esse é o valor padrão. Se você não desejar habilitar automaticamente os padrões de segurança padrão nas novas contas da organização, defina o campo `AutoEnableStandards` como `NONE`.

**Exemplo de solicitação de API**:

```
{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
```

------
#### [ AWS CLI ]

**Para desabilitar a configuração central (AWS CLI)**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html).

1. Defina o campo `ConfigurationType` no objeto `organization-configuration` como `LOCAL`. O comando retornará um erro se você tiver políticas de configuração ou associações de políticas existentes. Para desassociar uma política de configuração, execute o comando `start-configuration-policy-disassociation`. Para excluir uma política de configuração, execute o comando `delete-configuration-policy`.

1. Se você desejar habilitar automaticamente o CSPM do Security Hub nas novas contas da organização, inclua o parâmetro `auto-enable`. Por padrão, o valor desse parâmetro é `no-auto-enable`, e o CSPM do Security Hub não é habilitado automaticamente nas novas contas da organização. Opcionalmente, se você desejar habilitar automaticamente os padrões de segurança padrão nas novas contas da organização, defina o campo `auto-enable-standards` como `DEFAULT`. Esse é o valor padrão. Se você não desejar habilitar automaticamente os padrões de segurança padrão nas novas contas da organização, defina o campo `auto-enable-standards` como `NONE`.

```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```

------

# Gerenciamento de contas de membro e administrador no CSPM do Security Hub
<a name="securityhub-accounts"></a>

Se seu AWS ambiente tiver várias contas, você poderá tratar as contas que usam o CSPM do AWS Security Hub como contas de membros e associá-las a uma única conta de administrador. O administrador pode monitorar sua postura geral de segurança e realizar ad [ações permitidas](securityhub-accounts-allowed-actions.md) nas contas dos membros. O administrador também pode realizar várias tarefas de gerenciamento e administração de contas em grande escala, como monitorar os custos de uso estimados e avaliar as cotas da conta.

Você pode associar contas de membros a um administrador de duas maneiras: integrando o CSPM do Security Hub AWS Organizations ou enviando e aceitando manualmente convites de associação no CSPM do Security Hub.

## Gerenciando contas com AWS Organizations
<a name="securityhub-orgs-account-management-overview"></a>

AWS Organizations é um serviço global de gerenciamento de contas que permite AWS aos administradores consolidar e gerenciar várias. Contas da AWS Ele fornece os atributos de faturamento consolidado e gerenciamento de contas, projetados para atender às necessidades orçamentárias, de segurança e de conformidade. É oferecido sem custo adicional e se integra a vários, incluindo AWS Security Hub CSPM Serviços da AWS, Amazon Macie e Amazon. GuardDuty Para obter mais informações, consulte o [Guia do usuário do *AWS Organizations *](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

Quando você integra o Security Hub CSPM e AWS Organizations, a conta de gerenciamento do Organizations designa um administrador delegado do CSPM do Security Hub. O CSPM do Security Hub é habilitado automaticamente na conta de administrador delegado Região da AWS na qual foi designado.

Depois de designar um administrador delegado, recomendamos gerenciar contas no CSPM do Security Hub com a [configuração central](central-configuration-intro.md). Essa é a maneira mais eficiente de personalizar o CSPM do Security Hub e garantir uma cobertura de segurança adequada para sua organização.

A configuração central permite que o administrador delegado personalize o CSPM do Security Hub em várias contas e regiões da organização, em vez de configurar. Region-by-Region Você pode criar uma política de configuração para toda a organização ou criar políticas de configuração diferentes para contas e contas diferentes OUs. As políticas especificam se o CSPM do Security Hub está habilitado ou desabilitado nas contas associadas e quais padrões e controles de segurança estão habilitados.

O administrador delegado pode designar contas como sendo gerenciadas centralmente ou autogerenciadas. As contas gerenciadas centralmente só podem ser configuradas pelo administrador delegado. As contas autogerenciadas podem especificar suas próprias configurações.

Se você não fizer a adesão à configuração central, o administrador delegado terá uma capacidade mais limitada de configurar o CSPM do Security Hub, chamada de *configuração local*. Sob a configuração local, o administrador delegado poderá habilitar automaticamente o CSPM do Security Hub e os [padrões de segurança padrão](securityhub-auto-enabled-standards.md) em novas contas da organização na região atual. Contudo, as contas existentes não usam essas configurações, de forma que podem ocorrer desvios na configuração após a entrada de uma conta na organização.

Além dessas novas configurações de conta, a configuração local é específica da conta e específica da região. Cada conta da organização deve configurar o serviço, os padrões e os controles do CSPM do Security Hub separadamente em cada região. A configuração local também não oferece suporte ao uso de políticas de configuração.

## Gerenciamento de contas manualmente por convite
<a name="securityhub-manual-account-management-overview"></a>

Será necessário gerenciar manualmente as contas de membro por convite no CSPM do Security Hub se tiver uma conta autônoma ou se não estiver integrado ao Organizations. Uma conta autônoma não pode ser integrada ao Organizations, então é necessário gerenciá-la manualmente. Recomendamos integrar AWS Organizations e usar a configuração central se você adicionar outras contas no futuro.

Ao usar o gerenciamento manual de contas, você designa uma conta para ser o administrador do CSPM do Security Hub. A conta do administrador pode visualizar dados nas contas dos membros e realizar determinadas ações sobre as descobertas da conta do membro. O administrador do CSPM do Security Hub convida outras contas para serem contas de membro, e o relacionamento administrador-membro é estabelecido quando uma conta de membro em potencial aceita o convite.

O gerenciamento manual de contas não oferece suporte ao uso de políticas de configuração. Sem políticas de configuração, o administrador não pode personalizar centralmente o CSPM do Security Hub definindo configurações variáveis para contas diferentes. Em vez disso, cada conta da organização deve habilitar e configurar o CSPM do Security Hub separadamente em cada região. Isso pode tornar mais difícil e demorado garantir uma cobertura de segurança adequada em todas as contas e regiões nas quais você usa o CSPM do Security Hub. Isso também pode causar desvios na configuração, pois as contas dos membros podem especificar suas próprias configurações sem a intervenção do administrador.

Para gerenciar contas por convite, consulte [Gerenciamento de contas por convites no CSPM do Security Hub](account-management-manual.md).

# Recomendações para o gerenciamento de várias contas no CSPM do Security Hub
<a name="securityhub-account-restrictions-recommendations"></a>

A seção a seguir resume algumas restrições e recomendações que você deve ter em mente ao gerenciar contas de membros no CSPM do AWS Security Hub.

## Número máximo de contas de membro
<a name="admin-maximum-member-accounts"></a>

Se você usar a integração com AWS Organizations, o Security Hub CSPM suporta até 10.000 contas de membros por conta de administrador delegado em cada uma. Região da AWS Se você habilitar e gerenciar o CSPM do Security Hub manualmente, ele oferecerá suporte a até 1.000 convites de contas de membro por conta de administrador em cada região.

## Criar relações administrador-membro
<a name="securityhub-accounts-regions"></a>

**nota**  
Se você usa a integração do Security Hub CSPM com AWS Organizations, e não convidou manualmente nenhuma conta membro, esta seção não se aplica a você.

Uma conta não pode ser uma conta de administrador e uma conta de membro ao mesmo tempo.

Uma conta de membro só pode ser associada a uma conta de administrador. Se uma conta da organização for habilitada pela conta de administrador do CSPM do Security Hub, a conta não poderá aceitar um convite de outra conta. Se uma conta já tiver aceitado um convite, ela não poderá ser habilitada pela conta de administrador do CSPM do Security Hub para a organização. Ela também não pode receber convites de outras contas.

Para o processo de convite manual, aceitar um convite de associação é opcional.

### Filiação por meio de AWS Organizations
<a name="accounts-regions-orgs"></a>

Se você integrar o CSPM do Security Hub com AWS Organizations, a conta de gerenciamento do Organizations poderá designar uma conta de administrador delegado (DA) para o CSPM do Security Hub. A conta gerencial da organização não pode ser definida como o DA no Organizations. Embora isso seja permitido no CSPM do Security Hub, recomendamos que a conta gerencial do Organizations *não* seja a do DA.

Recomendamos que você escolha a mesma conta de DA em todas as regiões. Se você usar a [configuração central](central-configuration-intro.md), o CSPM do Security Hub definirá a mesma conta de DA em todas as regiões nas quais você configurar o CSPM do Security Hub para sua organização.

Também recomendamos que você escolha a mesma conta DA em todos os serviços de AWS segurança e conformidade para ajudá-lo a gerenciar problemas relacionados à segurança em um único painel.

### Associação por convite
<a name="accounts-regions-invitation"></a>

Para contas de membro criadas por convite, a associação entre as contas de administrador e membro é criada somente na região de onde o convite é enviado. A conta de administrador deve habilitar o CSPM do Security Hub em cada região em que você deseja usá-la. A conta de administrador convidará então cada conta a se ternar uma conta de membro nessa região.

**nota**  
Recomendamos usar, AWS Organizations em vez dos convites de CSPM do Security Hub, para gerenciar suas contas de membros.

## Coordenar contas de administrador entre serviços
<a name="securityhub-coordinate-admins"></a>

O Security Hub CSPM agrega descobertas de vários AWS serviços, como Amazon, Amazon GuardDuty Inspector e Amazon Macie. O Security Hub CSPM também permite que os usuários partam de uma GuardDuty descoberta para iniciar uma investigação no Amazon Detective.

No entanto, as relações administrador-membro configuradas nesses outros serviços não se aplicam automaticamente ao CSPM do Security Hub. O CSPM do Security Hub recomenda que você use a mesma conta da conta de administrador para todos esses serviços. Essa conta de administrador deve ser uma conta responsável pelas ferramentas de segurança. A mesma conta também deve ser a conta agregadora do AWS Config.

Por exemplo, um usuário da conta de GuardDuty administrador A pode ver as descobertas das contas de GuardDuty membros B e C no GuardDuty console. Se a conta A ativar o CSPM do Security Hub, os usuários da conta A *não* verão automaticamente GuardDuty as descobertas das contas B e C no CSPM do Security Hub. Uma relação administrador-membro do CSPM do Security Hub também é necessária para essas contas.

Para fazer isso, torne a conta A a conta de administrador do CSPM do Security Hub e habilite as contas B e C para se tornarem contas de membro do CSPM do Security Hub.

# Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations
<a name="securityhub-accounts-orgs"></a>

Você pode integrar o CSPM do AWS Security Hub com e AWS Organizations, em seguida, gerenciar o CSPM do Security Hub para contas em sua organização.

Para integrar o Security Hub CSPM com AWS Organizations, você cria uma organização em. AWS Organizations A conta gerencial do Organizations designa uma conta como administrador delegado do CSPM do Security Hub para a organização. O administrador delegado pode então habilitar o CSPM do Security Hub para outras contas na organização, adicionar essas contas como contas de membro do CSPM do Security Hub e realizar as ações permitidas nas contas de membro. O administrador delegado do CSPM do Security Hub pode habilitar e gerenciar o CSPM do Security Hub com até 10.000 contas de membro.

A extensão das habilidades de configuração do administrador delegado depende de você usar a [configuração central](central-configuration-intro.md). Com a configuração central habilitada, você não precisa configurar o CSPM do Security Hub separadamente em cada conta de membro e Região da AWS. O administrador delegado pode aplicar configurações específicas de CSPM do Security Hub em contas de membros e unidades organizacionais () OUs especificadas em todas as regiões.

A conta de administrador delegado do CSPM do Security Hub pode realizar as ações a seguir em contas de membro:
+ Se estiver usando a configuração central, configure centralmente o CSPM do Security Hub para contas de membros e OUs criando políticas de configuração do CSPM do Security Hub. As políticas de configuração podem ser usadas para habilitar e desabilitar o CSPM do Security Hub, habilitar e desabilitar padrões e habilitar e desabilitar controles.
+ Trate automaticamente as *novas* contas como contas de membro do CSPM do Security Hub quando elas forem adicionadas à organização. Se você usa a configuração central, uma política de configuração associada a uma UO inclui contas novas e existentes que fazem parte da UO.
+ Trate as contas *existentes* da organização como contas de membro do CSPM do Security Hub. Isso acontecerá automaticamente se você usar a configuração central.
+ Desassociar contas de membro que pertencem à organização. Se você usar a configuração central, poderá desassociar uma conta de membro somente depois de designá-la como autogerenciada. Como alternativa, é possível associar uma política de configuração que desabilite o CSPM do Security Hub a contas de membro específicas gerenciadas centralmente.

Se você fizer a opção de usar a configuração central, sua organização usará um tipo de configuração padrão denominado configuração local. Na configuração local, o administrador delegado tem uma capacidade mais limitada de aplicar configurações nas contas de membro. Para obter mais informações, consulte [Noções básicas sobre a configuração local no CSPM do Security Hub](local-configuration.md).

Para obter uma lista completa das ações que o administrador delegado pode realizar nas contas dos membros, consulte [Ações permitidas pelo administrador e contas de membro no CSPM do Security Hub](securityhub-accounts-allowed-actions.md).

Os tópicos desta seção explicam como integrar o CSPM do Security Hub com AWS Organizations e como gerenciar o CSPM do Security Hub para contas em uma organização. Quando relevante, cada seção identifica os benefícios e as diferenças de gerenciamento para os usuários da configuração central.

**Topics**
+ [Integrando o Security Hub CSPM com AWS Organizations](designate-orgs-admin-account.md)
+ [Habilitação automática do CSPM do Security Hub em novas contas da organização](accounts-orgs-auto-enable.md)
+ [Habilitação automática do CSPM do Security Hub em novas contas da organização](orgs-accounts-enable.md)
+ [Desassociação das contas de membro do CSPM do Security Hub da sua organização](accounts-orgs-disassociate.md)

# Integrando o Security Hub CSPM com AWS Organizations
<a name="designate-orgs-admin-account"></a>

Para integrar o AWS Security Hub CSPM e AWS Organizations, você cria uma organização no Organizations e usa a conta de gerenciamento da organização para designar uma conta delegada de administrador do CSPM do Security Hub. Isso habilita o CSPM do Security Hub como um serviço confiável no Organizations. Essa ação também habilita o CSPM do Security Hub na Região da AWS atual para a conta de administrador delegado e permite que o administrador delegado habilite o CSPM do Security Hub para as contas de membro, visualize dados nas contas de membro e realize outras [ações permitidas](securityhub-accounts-allowed-actions.md) nas contas de membro.

Se você usar a [configuração central](central-configuration-intro.md), o administrador delegado também poderá criar políticas de configuração do CSPM do Security Hub que especifiquem como o serviço, os padrões e os controles do CSPM do Security Hub devem ser configurados nas contas da organização.

## Criar uma organização
<a name="create-organization"></a>

Uma organização é uma entidade que você cria para consolidar a sua Contas da AWS , de forma que você possa administrá-la como uma única unidade.

Você pode criar uma organização usando o AWS Organizations console ou usando um comando do SDK AWS CLI APIs ou de um deles. Para obter instruções detalhadas, consulte [Criação de uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) no *Guia do usuário do AWS Organizations *.

Você pode usar AWS Organizations para visualizar e gerenciar centralmente todas as contas em sua organização. Uma organização tem uma conta gerencial primária com zero ou mais contas de membro. Você pode organizar as contas em uma estrutura hierárquica em forma de árvore com uma raiz na parte superior e unidades organizacionais (OUs) aninhadas abaixo da raiz. Cada conta pode estar diretamente abaixo da raiz ou colocada em uma das da OUs hierarquia. Uma UO é um contêiner para contas específicas. Por exemplo, é possível criar uma UO de finanças que inclua todas as contas relacionadas a operações financeiras. 

## Recomendações para a escolha do administrador delegado do CSPM do Security Hub
<a name="designate-admin-recommendations"></a>

Se você tiver uma conta de administrador criada a partir do processo de convite manual e estiver fazendo a transição para o gerenciamento de contas com AWS Organizations, recomendamos designar essa conta como administrador delegado do CSPM do Security Hub.

Embora o CSPM APIs e o console do Security Hub permitam que a conta de gerenciamento da organização seja o administrador delegado do CSPM do Security Hub, recomendamos escolher duas contas diferentes. Isso ocorre porque os usuários que têm acesso à conta gerencial da organização para gerenciar o faturamento provavelmente são diferentes dos usuários que precisam acessar o CSPM do Security Hub para gerenciamento de segurança.

Recomendamos o uso da mesma conta de administrador delegado nas regiões. Se você optar pela configuração central, o CSPM do Security Hub designará automaticamente o mesmo administrador delegado em sua região inicial e em qualquer região vinculada.

## Verificar as permissões para configurar o administrador delegado
<a name="designate-admin-permissions"></a>

Para designar e remover uma conta de administrador delegado do CSPM do Security Hub, a conta gerencial da organização deve ter permissões para as ações `EnableOrganizationAdminAccount` e `DisableOrganizationAdminAccount` no CSPM do Security Hub. A conta gerencial do Organizations também deve ter permissões administrativas para o Organizations.

Para conceder todas as permissões necessárias, anexe as políticas gerenciadas a seguir do Security Hub à entidade principal do IAM na conta gerencial da organização:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## Designar o administrador delegado
<a name="designate-admin-instructions"></a>

Para designar a conta de administrador delegado do CSPM do Security Hub, é possível usar o console do CSPM do Security Hub, a API do CSPM do Security Hub ou a AWS CLI. O CSPM do Security Hub define o administrador delegado Região da AWS somente no atual, e você deve repetir a ação em outras regiões. Se você começar a usar a configuração central, o CSPM do Security Hub definirá automaticamente o mesmo administrador delegado na região inicial e nas regiões vinculadas.

A conta gerencial da organização não precisa habilitar o CSPM do Security Hub para designar a conta de administrador delegado do CSPM do Security Hub.

Recomendamos que a conta gerencial da organização não seja a conta de administrador do CSPM do Security Hub. Porém, se você escolher a conta gerencial da organização como a conta de administrador delegado do CSPM do Security Hub, a conta gerencial deverá ter o CSPM do Security Hub habilitado. Se a conta gerencial não tiver o CSPM do Security Hub habilitado, será necessário habilitar o CSPM do Security Hub para ela manualmente. O CSPM do Security Hub não pode ser habilitado automaticamente para a conta gerencial da organização.

É necessário designar o administrador delegado do CSPM do Security Hub usando um dos métodos a seguir. A designação do administrador delegado do CSPM do Security Hub com Organizations APIs não se reflete no CSPM do Security Hub.

Escolha seu método preferido e siga as etapas para designar a conta de administrador delegado do CSPM do Security Hub.

------
#### [ Security Hub CSPM console ]

**Para designar o administrador delegado durante o onboarding**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Escolha **Ir para o CSPM do Security Hub**. Você será orientado a fazer login na conta gerencial da organização.

1. Na página **Designar administrador delegado**, na seção **Conta de administrador delegado**, especifique a conta de administrador delegado. Recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS .

1. Escolha **Definir administrador delegado**. Será necessário entrar na conta de administrador delegado (se ainda não tiver feito isso) para continuar a integração com a configuração central. Se não quiser iniciar a configuração central, escolha **Cancelar**. Seu administrador delegado está definido, mas você ainda não está usando a configuração central.

**Para designar o administrador delegado na página **Configurações****

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação do CSPM do Security Hub, escolha **Configurações**. Em seguida, escolha **Geral**.

1. Se uma conta de administrador do CSPM do Security Hub estiver atualmente atribuída, então antes de designar uma nova conta, será necessário remover a conta atual.

   Em **Administrador delegado**, para remover a conta atual, escolha **Remover**.

1. Insira o ID da conta que você deseja designar como conta de administrador do **CSPM do Security Hub**.

   É necessário designar a mesma conta de administrador do CSPM do Security Hub em todas as regiões. Se você designar uma conta diferente da conta designada em outras regiões, o console retornará um erro.

1. Selecione **Delegar**.

------
#### [ Security Hub CSPM API, AWS CLI ]

Na conta gerencial da organização, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) da API do CSPM do Security Hub. Se você estiver usando a AWS CLI, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html). Forneça o ID da Conta da AWS do administrador delegado do CSPM do Security Hub.

O exemplo a seguir designa o administrador delegado do CSPM do Security Hub. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# Remover ou alterar o administrador delegado
<a name="remove-admin-overview"></a>

Somente a conta gerencial da organização pode remover uma conta de administrador delegado do CSPM do Security Hub.

Para alterar o administrador delegado do CSPM do Security Hub, é necessário primeiro remover a conta atual do administrador delegado e depois designar outra.

**Atenção**  
Ao usar a [configuração central](central-configuration-intro.md), você não pode usar o console CSPM do Security Hub ou o CSPM do Security Hub APIs para alterar ou remover a conta do administrador delegado. Se a conta de gerenciamento da organização usar o AWS Organizations console ou AWS Organizations APIs para alterar ou remover o administrador delegado do CSPM do Security Hub, o Security Hub CSPM interromperá automaticamente a configuração central e excluirá suas políticas de configuração e associações de políticas. As contas de membro retêm as configurações que tinham antes de o administrador delegado ser alterado ou removido.

Se você usar o console do CSPM do Security Hub para remover o administrador delegado em uma região, ele será removido automaticamente em todas as regiões.

A API do CSPM do Security Hub só remove a conta de administrador delegado do CSPM do Security Hub da região em que o comando ou a chamada de API são emitidos. É necessário repetir a ação em outras regiões.

Se você usar a API do Organizations para remover a conta de administrador delegado do CSPM do Security Hub, ela será removida automaticamente de todas as regiões.

## Removendo o administrador delegado (Organizations API, AWS CLI)
<a name="remove-admin-orgs"></a>

É possível usar o Organizations para remover o administrador delegado do CSPM do Security Hub de todas as regiões.

Se você usar a configuração central para gerenciar contas, a remoção da conta de administrador delegado resultará na exclusão de suas políticas de configuração e associações de políticas. As contas de membro retêm as configurações que tinham antes de o administrador delegado ser alterado ou removido. Entretanto, essas contas não poderão mais ser gerenciadas pela conta de administrador delegado removida. Elas se tornam contas autogerenciadas que devem ser configuradas separadamente em cada região.

Escolha seu método preferido e siga as instruções para remover a conta de administrador delegada do CSPM do Security Hub com. AWS Organizations

------
#### [ Organizations API, AWS CLI ]

**Para remover o administrador delegado do CSPM do Security Hub**

Na conta gerencial da organização, use a operação [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) da API do Organizations. Se você estiver usando a AWS CLI, execute o comando [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html). Forneça o ID da conta do administrador delegado e a entidade principal do serviço para o CSPM do Security Hub, que é `securityhub.amazonaws.com`.

O exemplo a seguir remove o administrador delegado do CSPM do Security Hub. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Remoção do administrador delegado (console do CSPM do Security Hub)
<a name="remove-admin-console"></a>

É possível usar o console do CSPM do Security Hub para remover o administrador delegado do CSPM do Security Hub em todas as regiões.

Quando a conta de administrador delegado do CSPM do Security Hub for removida, as contas de membro serão desassociadas da conta do administrador delegado do CSPM do Security Hub removida.

O CSPM do Security Hub ainda estará habilitado nas contas de membro. Elas se tornam contas autônomas até que um novo administrador do CSPM do Security Hub as habilite como contas de membro.

Se a conta gerencial da organização não for uma conta habilitada no CSPM do Security Hub, use a opção na página **Bem-vindo ao CSPM do Security Hub**.

**Para remover a conta do administrador delegado do CSPM do Security Hub na página **Bem-vindo ao CSPM do Security Hub****

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Escolha **Ir para o Security Hub**.

1. Em **Administrador delegado**, escolha **Remover**.

Se a conta gerencial da organização for uma conta habilitada no **Security Hub**, use a opção na guia **Geral** da página **Configurações**.

**Para remover a conta do administrador delegado do CSPM do Security Hub na página **Configurações****

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação do CSPM do Security Hub, escolha **Configurações**. Em seguida, escolha **Geral**.

1. Em **Administrador delegado**, escolha **Remover**.

## Removendo o administrador delegado (API CSPM do Security Hub) AWS CLI
<a name="remove-admin-api"></a>

Você pode usar a API CSPM do Security Hub ou as operações CSPM do Security Hub AWS CLI para remover o administrador delegado do CSPM do Security Hub. Quando você remove o administrador delegado com um desses métodos, ele só é removido na região onde o comando ou a chamada de API foram emitidos. O Security Hub CSPM não atualiza outras regiões e não remove a conta de administrador delegado em. AWS Organizations

Escolha seu método preferido e siga estas etapas para remover a conta de administrador delegado do CSPM do Security Hub com o CSPM do Security Hub.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Para remover o administrador delegado do CSPM do Security Hub**

Na conta gerencial da organização, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html) da API do CSPM do Security Hub. Se você estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)comando. Forneça o ID da conta de administrador delegado do CSPM do Security Hub.

O exemplo a seguir remove o administrador delegado do CSPM do Security Hub. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# Desativando a integração do Security Hub CSPM com AWS Organizations
<a name="disable-orgs-integration"></a>

Depois que uma AWS Organizations organização é integrada ao CSPM do AWS Security Hub, a conta de gerenciamento do Organizations pode posteriormente desativar a integração. Como um usuário da conta gerencial do Organizations, é possível fazer isso desabilitando o acesso confiável para o CSPM do Security Hub no AWS Organizations.

Quando você desabilita o acesso confiável para o CSPM do Security Hub, ocorre o seguinte:
+ O Security Hub CSPM perde seu status de serviço confiável em. AWS Organizations
+ A conta de administrador delegado do CSPM do Security Hub perde o acesso às configurações, dados e recursos do CSPM do Security Hub para todas as contas de membro do CSPM do Security Hub em todas as Regiões da AWS.
+ Se você estava usando a [configuração central](central-configuration-intro.md), o CSPM do Security Hub automaticamente deixará de usá-la em sua organização. Suas políticas de configuração e associações de políticas são excluídas. As contas retêm as configurações que tinham antes de você desabilitar o acesso confiável.
+ Todas as contas de membro do CSPM do Security Hub se tornam contas autônomas e retêm suas configurações atuais. Se o CSPM do Security Hub tiver sido habilitado para uma conta de membro em uma ou mais regiões, o CSPM do Security Hub continuará habilitado para a conta nessas regiões. Os padrões e controles habilitados também permanecem inalterados. É possível alterar essas configurações separadamente em cada conta e região. Contudo, a conta não estará mais associada a um administrador delegado em nenhuma região.

Para obter informações adicionais sobre os resultados da desativação do acesso a serviços confiáveis, consulte [Usando AWS Organizations com outros Serviços da AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) no *Guia do AWS Organizations Usuário*. 

Para desativar o acesso confiável, você pode usar o AWS Organizations console, a API Organizations ou AWS CLI o. Somente um usuário da conta gerencial do Organizations pode desabilitar o acesso confiável a serviços para o CSPM do Security Hub. Para obter detalhes sobre as permissões necessárias, consulte [Permissões necessárias para desabilitar o acesso confiável](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) no *Guia do Usuário do AWS Organizations *.

Antes de desabilitar o acesso confiável, recomendamos trabalhar com o administrador delegado da sua organização para desabilitar o CSPM do Security Hub em contas de membro e limpar os recursos do CSPM do Security Hub nessas contas.

Escolha seu método preferido e siga as etapas para desabilitar o acesso confiável para o CSPM do Security Hub.

------
#### [ Organizations console ]

**Para desabilitar o acesso confiável para o CSPM do Security Hub**

1. Faça login no Console de gerenciamento da AWS usando as credenciais da conta de AWS Organizations gerenciamento.

1. Abra o console Organizations em [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. No painel de navegação, escolha **Serviços**.

1. Em **Serviços integrados**, escolha **CSPM do AWS Security Hub**.

1. Escolha **Desabilitar acesso confiável**.

1. Confirme que você deseja desativar o acesso confiável.

------
#### [ Organizations API ]

**Para desabilitar o acesso confiável para o CSPM do Security Hub**

Invoque a operação [Disable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) da AWS Organizations API. No parâmetro `ServicePrincipal`, especifique a entidade principal de serviço do CSPM do Security Hub (`securityhub.amazonaws.com`).

------
#### [ AWS CLI ]

**Para desabilitar o acesso confiável para o CSPM do Security Hub**

Execute o [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)comando da AWS Organizations API. No parâmetro `service-principal`, especifique a entidade principal de serviço do CSPM do Security Hub (`securityhub.amazonaws.com`).

**Exemplo:**

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# Habilitação automática do CSPM do Security Hub em novas contas da organização
<a name="accounts-orgs-auto-enable"></a>

Quando novas contas ingressam na sua organização, elas são adicionadas à lista na página **Contas** do console CSPM do AWS Security Hub. Para contas da organização, o **Tipo** é **Por organização**. Por padrão, novas contas não se tornam membros do CSPM do Security Hub quando ingressam na organização. O status delas é **Não é membro**. A conta do administrador delegado pode adicionar automaticamente novas contas como membros e habilitar o CSPM do Security Hub nessas contas quando elas ingressam na organização.

**nota**  
Embora muitas Regiões da AWS estejam ativas por padrão para você Conta da AWS, você deve ativar determinadas regiões manualmente. Essas regiões são chamadas de regiões de adesão opcional neste documento. Para habilitar automaticamente o CSPM do Security Hub em uma nova conta em uma região de adesão opcional, a conta deve primeiro ter essa região habilitada. Apenas o proprietário da conta pode ativar a região de adesão opcional. Para obter mais informações sobre regiões opcionais, consulte [Especificar quais Regiões da AWS sua conta pode usar](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).

Esse processo é diferente dependendo de você usar a configuração central (recomendada) ou a configuração local.

## Habilitação automática de novas contas da organização (configuração central)
<a name="central-configuration-auto-enable"></a>

Se você usar a [configuração central](central-configuration-intro.md), poderá habilitar automaticamente o CSPM do Security Hub em contas novas e existentes da organização criando uma política de configuração na qual o CSPM do Security Hub esteja habilitado. Em seguida, você pode associar a política à raiz da organização ou a unidades organizacionais específicas (OUs).

Se você associar uma política de configuração na qual o CSPM do Security Hub esteja habilitado a uma UO específica, o CSPM do Security Hub será habilitado automaticamente em todas as contas (existentes e novas) que pertençam a essa UO. As novas contas que não pertençam à UO são autogerenciadas e não têm o CSPM do Security Hub habilitado automaticamente. Se você associar uma política de configuração na qual o CSPM do Security Hub esteja habilitado com a raiz, o CSPM do Security Hub será habilitado automaticamente em todas as contas (existentes e novas) que ingressem na organização. As exceções são se uma conta usar uma política diferente por meio de aplicação ou herança, ou se for autogerenciada.

Em sua política de configuração, você também pode definir quais padrões e controles de segurança devem ser habilitados na UO. Para gerar descobertas de controle para padrões habilitados, as contas na OU devem estar AWS Config habilitadas e configuradas para registrar os recursos necessários. Para obter mais informações sobre AWS Config gravação, consulte [Habilitando e configurando. AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)

Para obter instruções sobre como criar uma política de configuração, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

## Habilitação automática de novas contas da organização (configuração local)
<a name="limited-configuration-auto-enable"></a>

Quando você usa a configuração local e ativa a habilitação automática dos padrões, o CSPM do Security Hub adiciona as *novas* contas da organização como membros e habilita nelas o CSPM do Security Hub na região atual. As outras regiões não são afetadas. Além disso, ativar a habilitação automática não habilita o CSPM do Security Hub nas contas *existentes* da organização, a menos que elas já tenham sido adicionadas como contas de membro.

Depois de ativar a habilitação automática, os padrões de segurança também são habilitados automaticamente para as novas contas da região atual ao ingressarem na organização. Os padrões padrão são AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Não é possível alterar os padrões padrão. Se você quiser habilitar outros padrões em toda a sua organização ou habilitar padrões para contas selecionadas OUs, recomendamos usar a configuração central.

Para gerar descobertas de controle para os padrões padrão (e outros padrões habilitados), as contas em sua organização devem estar AWS Config habilitadas e configuradas para registrar os recursos necessários. Para obter mais informações sobre AWS Config gravação, consulte [Habilitando e configurando. AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)

Escolha seu método preferido e siga as etapas para habilitar automaticamente o CSPM do Security Hub em novas contas da organização. Essas instruções se aplicam somente se você usar a configuração local.

------
#### [ Security Hub CSPM console ]

**Para habilitar automaticamente novas contas da organização como membros do CSPM do Security Hub**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador delegado.

1. No painel de navegação do CSPM do Security Hub, em **Configurações**, escolha **Configuração**.

1. Na seção **Contas**, ative a **Habilitação automática de contas**.

------
#### [ Security Hub CSPM API ]

**Para habilitar automaticamente novas contas da organização como membros do CSPM do Security Hub**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) a partir da conta do administrador delegado. Defina o campo `AutoEnable` como `true` para habilitar automaticamente o CSPM do Security Hub nas novas contas da organização.

------
#### [ AWS CLI ]

**Para habilitar automaticamente novas contas da organização como membros do CSPM do Security Hub**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) a partir da conta do administrador delegado. Inclua o parâmetro `auto-enable` para habilitar automaticamente o CSPM do Security Hub em novas contas da organização.

```
aws securityhub update-organization-configuration --auto-enable
```

------

# Habilitação automática do CSPM do Security Hub em novas contas da organização
<a name="orgs-accounts-enable"></a>

Se você não habilitar automaticamente o CSPM do Security Hub nas novas contas quando elas ingressarem na organização, será possível habilitar o CSPM do Security Hub nessas contas manualmente depois que elas ingressarem na organização. Você também deve habilitar manualmente o CSPM do Security Hub, pois você Contas da AWS se desassociou anteriormente de uma organização.

**nota**  
Esta seção não se aplica a você se você usar a [configuração central](central-configuration-intro.md). Se você usar a configuração central, poderá criar políticas de configuração que habilitem o CSPM do Security Hub em contas de membros e unidades organizacionais especificadas ()OUs. Você também pode ativar padrões e controles específicos nessas contas OUs e.

Você não pode habilitar o CSPM do Security Hub em uma conta se ela já for uma conta de membro em uma organização diferente.

Você também não pode habilitar o CSPM do Security Hub em uma conta que esteja suspensa no momento. Se você tentar habilitar o serviço em uma conta suspensa, o status da conta mudará para **Conta suspensa**.
+ Se a conta não tiver o CSPM do Security Hub habilitado, o CSPM do Security Hub será habilitado nessa conta. O padrão AWS Foundational Security Best Practices (FSBP) e o CIS AWS Foundations Benchmark v1.2.0 também estão habilitados na conta, a menos que você desative os padrões de segurança padrão.

  A exceção é a conta gerencial do Organizations. O CSPM do Security Hub não pode ser habilitado automaticamente na conta gerencial do Organizations. É necessário habilitar manualmente o CSPM do Security Hub na conta gerencial do Organization antes de poder adicioná-lo como uma conta de membro.
+ Se a conta já tiver o CSPM do Security Hub habilitado, o CSPM do Security Hub não fará nenhuma outra alteração na conta. Ele só habilita a participação como membro.

Para que o Security Hub CSPM gere descobertas de controle, as contas dos membros devem estar AWS Config habilitadas e configuradas para registrar os recursos necessários. Para obter mais informações, consulte [Habilitar e configurar a AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Escolha seu método preferido e siga as etapas para habilitar uma conta da organização como conta de membro do CSPM do Security Hub.

------
#### [ Security Hub CSPM console ]

**Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador delegado.

1. No painel de navegação do CSPM do Security Hub, em **Configurações**, escolha **Configuração**.

1. Na lista **Contas**, selecione cada conta da organização que você deseja habilitar.

1. Escolha **Ações** e, em seguida, escolha **Adicionar membro**.

------
#### [ Security Hub CSPM API ]

**Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) a partir da conta do administrador delegado. Para que cada conta seja habilitada, forneça o ID da conta.

Ao contrário do processo de convite manual, quando você invocar `CreateMembers` para habilitar uma conta da organização, você não precisará enviar um convite.

------
#### [ AWS CLI ]

**Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) a partir da conta do administrador delegado. Para que cada conta seja habilitada, forneça o ID da conta.

Ao contrário do processo de convite manual, quando você executar `create-members` para habilitar uma conta da organização, você não precisará enviar um convite.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**Exemplo**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# Desassociação das contas de membro do CSPM do Security Hub da sua organização
<a name="accounts-orgs-disassociate"></a>

Para parar de receber e visualizar descobertas de uma conta de membro do CSPM do AWS Security Hub, você pode desassociar a conta membro da sua organização.

**nota**  
Se você usar a [configuração central](central-configuration-intro.md), a desassociação funcionará de forma diferente. É possível criar uma política de configuração que desabilite o CSPM do Security Hub em uma ou mais contas de membro gerenciadas centralmente. Depois disso, essas contas ainda farão parte da organização, mas não gerarão descobertas do CSPM do Security Hub. Se você usar a configuração central, mas também tiver contas de membro convidadas manualmente, será possível desassociar uma ou mais contas convidadas manualmente.

As contas de membros que são gerenciadas usando não AWS Organizations podem desassociar suas contas da conta de administrador. Somente a conta do administrador pode desassociar uma conta de membro.

A desassociação de uma conta de membro não fecha a conta. Em vez disso, ela remove a conta de membro da organização. A conta de membro desassociada se torna autônoma Conta da AWS e não é mais gerenciada pela integração do CSPM do Security Hub com. AWS Organizations

Escolha seu método preferido e siga as etapas para desassociar uma conta de membro da organização.

------
#### [ Security Hub CSPM console ]

**Para desassociar uma conta de membro de uma organização**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador delegado.

1. No painel de navegação, em **Configurações**, selecione **Configuração**.

1. Na seção **Contas**, selecione as contas que você deseja desassociar. Se você usar a configuração central, poderá selecionar uma conta convidada manualmente para se dissociar na guia `Invitation accounts`. Essa guia ficará visível apenas se você usar a configuração central.

1. Escolha **Ações** e, em seguida, escolha **Desassociar conta**.

------
#### [ Security Hub CSPM API ]

**Para desassociar uma conta de membro de uma organização**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) a partir da conta do administrador delegado. Você deve fornecer o Conta da AWS IDs para que as contas dos membros se desassociem. Para ver uma lista de contas de membro, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).

------
#### [ AWS CLI ]

**Para desassociar uma conta de membro de uma organização**

Execute o comando [ >`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) a partir da conta do administrador delegado. Você deve fornecer o Conta da AWS IDs para que as contas dos membros se desassociem. Para ver uma lista de contas de membro, execute o comando [ >`list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**Exemplo**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 Você também pode usar o AWS Organizations console, AWS CLI, ou AWS SDKs para desassociar uma conta de membro da sua organização. Para obter mais informações, consulte [Remoção de uma conta de membro da sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) no *Guia do usuário do AWS Organizations *.

# Gerenciamento de contas por convites no CSPM do Security Hub
<a name="account-management-manual"></a>

Você pode gerenciar centralmente várias contas CSPM do AWS Security Hub de duas maneiras: integrando o CSPM do Security Hub ou enviando e aceitando manualmente os AWS Organizations convites de associação. Você deve usar o processo manual se tiver uma conta independente ou não se integrar à AWS Organizations. No gerenciamento manual de contas, o administrador do CSPM do Security Hub convida as contas a se tornar membros. A relação administrador-membro é estabelecida quando uma conta de membro em potencial aceita o convite. Uma conta de administrador do CSPM do Security Hub pode gerenciar o CSPM do Security Hub para até 1.000 contas de membro baseadas em convites. 

**nota**  
Se você criar uma organização baseada em convites no CSPM do Security Hub, poderá, posteriormente, fazer a [transição para uso do AWS Organizations](accounts-transition-to-orgs.md) em vez disso. Se você tiver mais de uma conta de membro, recomendamos usar AWS Organizations em vez dos convites do CSPM do Security Hub para gerenciar suas contas de membros. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

A agregação entre regiões de descobertas e outros dados está disponível para contas que você convida por meio do processo de convite manual. Porém, o administrador deve convidar a conta de membro da região de agregação e de todas as regiões vinculadas para que a agregação entre regiões funcione. Além disso, a conta de membro deve ter o CSPM do Security Hub habilitado na região de agregação e em todas as regiões vinculadas para que o administrador possa visualizar descobertas na conta de membro.

As políticas de configuração não são compatíveis com contas de membro convidadas manualmente. Em vez disso, você deve definir as configurações de CSPM do Security Hub separadamente em cada conta de membro e Região da AWS ao usar o processo de convite manual.

Você também deve usar o processo manual baseado em convites para contas que não pertençam à sua organização. Por exemplo, talvez não inclua uma conta de teste na sua organização. Ou talvez você queira consolidar contas de várias organizações em uma única conta de administrador do CSPM do Security Hub. A conta de administrador do CSPM do Security Hub deve enviar convites para contas pertencentes a outras organizações.

Na página **Configuração** do console do CSPM do Security Hub, as contas que foram adicionadas por convite são listadas na guia **Contas de convite**. Se você usa a [configuração central](central-configuration-intro.md), mas também convida contas fora da sua organização, será possível ver as descobertas de contas baseadas em convites nesta guia. Entretanto, o administrador do CSPM do Security Hub não pode configurar contas baseadas em convites em todas as regiões por meio do uso de políticas de configuração.

Os tópicos desta seção explicam como gerenciar as contas membro por meio de convites.

**Topics**
+ [Adição e convite de contas de membro no CSPM do Security Hub](securityhub-accounts-add-invite.md)
+ [Respostas a um convite para ser uma conta de membro do CSPM do Security Hub](securityhub-invitation-respond.md)
+ [Desassociação de contas de membro no CSPM do Security Hub](securityhub-disassociate-members.md)
+ [Exclusão de contas de membro no CSPM do Security Hub](securityhub-delete-member-accounts.md)
+ [Desassociação de uma conta de administrador do CSPM do Security Hub](securityhub-disassociate-from-admin.md)
+ [Transição para o Organizations para gerenciamento de contas no CSPM do Security Hub](accounts-transition-to-orgs.md)

# Adição e convite de contas de membro no CSPM do Security Hub
<a name="securityhub-accounts-add-invite"></a>

**nota**  
Recomendamos usar, AWS Organizations em vez dos convites de CSPM do Security Hub, para gerenciar suas contas de membros. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

Sua conta se torna a administradora do CSPM do AWS Security Hub para contas que aceitam seu convite para se tornarem uma conta membro do CSPM do Security Hub.

Quando você aceita um convite de outra conta, sua conta se torna uma conta de membro e essa conta se torna seu administrador.

Se sua conta for uma conta de administrador, você não poderá aceitar um convite para se tornar uma conta de membro.

Adicionar uma conta de membro consiste nas seguintes etapas:

1. A conta do administrador adiciona a conta do membro à lista de contas de membro.

1. A conta de administrador envia um convite para a conta de membro.

1. A conta de membro aceita o convite. 

## Adicionando contas de membro
<a name="securityhub-add-accounts"></a>

No console do CSPM do Security Hub, é possível adicionar contas de membro para adicionar contas de membro. No console do CSPM do Security Hub, é possível selecionar contas individualmente ou fazer upload de um arquivo `.csv` que contenha as informações das contas.

Para cada conta, é necessário fornecer o ID da conta e um endereço de email. O endereço de e-mail deve ser o endereço de e-mail para contato sobre problemas de segurança na conta. Esse email não é usado para verificar a conta.

Escolha seu método preferido e siga as etapas para adicionar contas de membro.

------
#### [ Security Hub CSPM console ]

**Para adicionar contas à sua lista de contas de membro**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta de administrador.

1. No painel esquerdo, escolha **Settings (Configurações)**.

1. Na página **Configurações**, selecione **Contas** e em seguida **Adicionar contas**. Em seguida, você pode adicionar contas individualmente ou fazer upload de um arquivo `.csv`contendo a lista de contas.

1. Para selecionar as contas, siga um destes procedimentos:
   + Para adicionar as contas individualmente, em **Inserir contas**, insira o ID da conta e o endereço de e-mail da conta a ser adicionada e selecione **Adicionar**.

     Repita este processo para cada conta.
   + Para usar um arquivo com valores separados por vírgula (.csv) para adicionar várias contas de membro, primeiro crie o arquivo. O arquivo deve conter o ID da conta e o endereço de e-mail de cada conta a ser adicionada.

     Na sua lista `.csv`, as contas devem aparecer uma por linha. A primeira linha do arquivo `.csv` deve conter o cabeçalho. No cabeçalho, a primeira coluna é **Account ID** e a segunda coluna é **Email**.

     Cada linha subsequente precisa conter um ID de conta válido e um endereço de email da conta a ser adicionada.

     Aqui está um exemplo de um arquivo `.csv` quando visualizado em um editor de texto.

     ```
     Account ID,Email
     111111111111,user@example.com
     ```

     Em um programa de planilhas, os campos aparecem em colunas separadas. O formato subjacente ainda está separado por vírgula. Você deve formatar a conta IDs como números não decimais. Por exemplo, a ID da conta 444455556666 não pode ser formatada como 444455556666.0. Além disso, certifique-se de que a formatação numérica não remova nenhum zero à esquerda do ID da conta.

     Para selecionar o arquivo, no console, selecione **Lista de upload (.csv)**. Em seguida, selecione **Procurar**.

     Depois de selecionar o arquivo, selecione **Adicionar contas**.

1. Depois de terminar de adicionar contas, em **Contas a serem adicionadas**, selecione **Avançar**.

------
#### [ Security Hub CSPM API ]

**Para adicionar contas à sua lista de contas de membro**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) a partir da conta do administrador. Para que cada conta de membro seja adicionada, você deve fornecer o Conta da AWS ID.

------
#### [ AWS CLI ]

**Para adicionar contas à sua lista de contas de membro**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) a partir da conta do administrador. Para que cada conta de membro seja adicionada, você deve fornecer o Conta da AWS ID.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountID1>"}]'
```

**Exemplo**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

## Convidar contas de membros
<a name="securityhub-invite-accounts"></a>

Depois de adicionar contas de membro, você envia um convite para essas contas. Também é possível reenviar um convite para uma conta que já tenha desassociado do administrador.

------
#### [ Security Hub CSPM console ]

**Para convidar contas de membro em potencial**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta de administrador.

1. No painel de navegação, selecione **Configurações** e em seguida **Contas**. 

1. Para a conta a ser convidada, escolha **Invite (Convidar)** na coluna **Status**.

1. Quando solicitado, selecione **Convidar** para confirmar.

**nota**  
Para reenviar convites a contas desassociadas, selecione cada conta desassociada na página **Contas**. Em **Ações**, selecione **Reenviar convite**.

------
#### [ Security Hub CSPM API ]

**Para convidar contas de membro em potencial**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html) a partir da conta do administrador. Para cada conta convidada, você deve fornecer o Conta da AWS ID.

------
#### [ AWS CLI ]

**Para convidar contas de membro em potencial**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html) a partir da conta do administrador. Para cada conta convidada, você deve fornecer o Conta da AWS ID.

```
aws securityhub invite-members --account-ids <accountIDs>
```

**Exemplo**

```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```

------

# Respostas a um convite para ser uma conta de membro do CSPM do Security Hub
<a name="securityhub-invitation-respond"></a>

**nota**  
Recomendamos usar, AWS Organizations em vez dos convites de CSPM do Security Hub, para gerenciar suas contas de membros. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

Você pode aceitar ou recusar um convite para ser uma conta membro do CSPM do AWS Security Hub.

Depois que você aceita um convite, sua conta se torna uma conta de membro do CSPM do Security Hub. A conta que enviou o convite se torna sua conta de administrador do CSPM do Security Hub. O usuário da conta de administrador pode visualizar as descobertas da sua conta de membro no CSPM do Security Hub.

Se você recusar o convite, sua conta será marcada como **Renunciada** na lista de contas de membros da conta do administrador.

É possível aceitar apenas um convite para ser uma conta de membro.

Antes de poder aceitar ou recusar um convite, será necessário habilitar o CSPM do Security Hub.

Lembre-se de que todas as contas CSPM do Security Hub devem estar AWS Config habilitadas e configuradas para registrar todos os recursos. Para obter detalhes sobre a exigência de AWS Config, consulte [Habilitando e configurando. AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)

## Aceitar um convite
<a name="securityhub-accept-invitation"></a>

É possível enviar, da conta de administrador, um convite para ser uma conta de membro do CSPM do Security Hub. Em seguida, após fazer login na conta de membro, é possível aceitar o convite.

Escolha seu método preferido e siga as etapas para aceitar um convite para se tornar uma conta de membro.

------
#### [ Security Hub CSPM console ]

**Para aceitar um convite para se tornar membro**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, selecione **Configurações** e em seguida **Contas**.

1. Na seção **Conta do administrador**, ative **Aceitar** e, em seguida, escolha **Aceitar convite**.

------
#### [ Security Hub CSPM API ]

**Para aceitar um convite para se tornar membro**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html). Você deve fornecer o identificador do convite e o Conta da AWS ID da conta do administrador. Para recuperar detalhes sobre o convite, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html).

------
#### [ AWS CLI ]

**Para aceitar um convite para se tornar membro**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html). Você deve fornecer o identificador do convite e o Conta da AWS ID da conta do administrador. Para recuperar detalhes sobre o convite, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html).

```
aws securityhub accept-administrator-invitation --administrator-id <administratorAccountID> --invitation-id <invitationID>
```

**Exemplo**

```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```

------

**nota**  
O console do CSPM do Security Hub continua usando `AcceptInvitation`. Eventualmente, ele mudará para usar `AcceptAdministratorInvitation`. Todas as políticas do IAM que controlam especificamente o acesso a essa função devem continuar usando `AcceptInvitation`. Você também deve adicionar `AcceptAdministratorInvitation` às suas políticas para garantir que as permissões corretas estejam em vigor após o início do uso do console `AcceptAdministratorInvitation`.

## Recusar um convite
<a name="securityhub-decline-invitation"></a>

É possível recusar um convite para ser uma conta de membro do CSPM do Security Hub. Quando você recusa um convite no console do CSPM do Security Hub, sua conta é marcada como **Renunciada** na lista de contas de membro da conta do administrador. O status **Renunciada** só aparece quando você faz login no console do CSPM do Security Hub usando a conta de administrador. Porém, o convite permanece inalterado no console da conta de membro até você fazer login na conta do administrador e excluir o convite.

Para recusar um convite, é necessário fazer login na conta de membro que recebeu o convite.

Escolha seu método preferido e siga as etapas para recusar um convite para se tornar uma conta de membro.

------
#### [ Security Hub CSPM console ]

**Para recusar um convite para se tornar membro**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, selecione **Configurações** e em seguida **Contas**.

1. Na seção **Conta do administrador**, selecione **Recusar convite**.

------
#### [ Security Hub CSPM API ]

**Para recusar um convite para se tornar membro**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html). Você deve fornecer a Conta da AWS ID da conta do administrador que emitiu o convite. Para ver informações sobre seus convites, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html).

------
#### [ AWS CLI ]

**Para recusar um convite para se tornar membro**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html). Você deve fornecer a Conta da AWS ID da conta do administrador que emitiu o convite. Para ver informações sobre seus convites, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html).

```
aws securityhub decline-invitations --account-ids "<administratorAccountId>"
```

**Exemplo**

```
aws securityhub decline-invitations --account-ids "123456789012"
```

------

# Desassociação de contas de membro no CSPM do Security Hub
<a name="securityhub-disassociate-members"></a>

**nota**  
Recomendamos usar, AWS Organizations em vez dos convites de CSPM do Security Hub, para gerenciar suas contas de membros. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

Uma conta de administrador do AWS Security Hub CSPM pode desassociar uma conta de membro para parar de receber e visualizar descobertas dessa conta. É necessário desassociar uma conta de membro antes de excluí-la.

Quando você desassocia uma conta de membro, ela permanece na sua lista de contas de membros com o status de **Removida (Desassociada**). Sua conta é removida das informações da conta do administrador da conta de membro.

Para continuar recebendo as descobertas da conta, você pode reenviar o convite. Para remover totalmente a conta de membro, é possível excluí-la.

Escolha seu método preferido e siga as etapas para desassociar uma conta de membro convidada manualmente da conta de administrador.

------
#### [ Security Hub CSPM console ]

**Para desassociar uma conta de membro convidada manualmente**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta de administrador.

1. No painel de navegação, em **Configurações**, selecione **Configuração**.

1. Na seção **Contas**, selecione as contas que você deseja desassociar.

1. Escolha **Ações** e, em seguida, escolha **Desassociar conta**.

------
#### [ Security Hub CSPM API ]

**Para desassociar uma conta de membro convidada manualmente**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) a partir da conta do administrador. Você deve fornecer as contas Conta da AWS IDs dos membros que deseja desassociar. Para ver uma lista de contas de membro, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).

------
#### [ AWS CLI ]

**Para desassociar uma conta de membro convidada manualmente**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) a partir da conta do administrador. Você deve fornecer as contas Conta da AWS IDs dos membros que deseja desassociar. Para ver uma lista de contas de membro, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub disassociate-members --account-ids <accountIds>
```

**Exemplo**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

# Exclusão de contas de membro no CSPM do Security Hub
<a name="securityhub-delete-member-accounts"></a>

**nota**  
Recomendamos usar, AWS Organizations em vez dos convites de CSPM do Security Hub, para gerenciar suas contas de membros. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

Como conta de administrador do AWS Security Hub CSPM, você pode excluir contas de membros que foram adicionadas por convite. Antes de poder excluir uma conta ativada, é necessário desassociá-la.

Quando você exclui uma conta de membro, ela é completamente removida da lista. Para restaurar a associação da conta de membro, será necessário adicioná-la e convidá-la novamente, como se fosse uma conta de membro completamente nova.

Você não pode excluir contas que pertencem a uma organização e que são gerenciadas usando a integração com AWS Organizations.

Escolha seu método preferido e siga as etapas para excluir contas de membro manualmente convidadas.

------
#### [ Security Hub CSPM console ]

**Para excluir uma conta de membro manualmente convidada**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login com sua conta de administrador.

1. No painel de navegação, escolha **Configurações** e, em seguida, **Configuração**.

1. Escolha a guia **Contas de convite**. Em seguida, selecione as contas a serem excluídas.

1. Escolha **Ações** e, em seguida, escolha **Excluir**. Essa opção só estará disponível se você tiver desassociado a conta. É necessário desassociar uma conta de membro antes que ela possa ser excluída.

------
#### [ Security Hub CSPM API ]

**Para excluir uma conta de membro manualmente convidada**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html) a partir da conta do administrador. Você deve fornecer as contas Conta da AWS IDs dos membros que deseja excluir. Para recuperar a lista de contas de membro, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).

------
#### [ AWS CLI ]

**Para excluir uma conta de membro manualmente convidada**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html) a partir da conta do administrador. Você deve fornecer as contas Conta da AWS IDs dos membros que deseja excluir. Para recuperar a lista de contas de membro, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub delete-members --account-ids <memberAccountIDs>
```

**Exemplo**

```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```

------

# Desassociação de uma conta de administrador do CSPM do Security Hub
<a name="securityhub-disassociate-from-admin"></a>

**nota**  
Recomendamos usar, AWS Organizations em vez dos convites de CSPM do Security Hub, para gerenciar suas contas de membros. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

Se sua conta foi adicionada como uma conta de membro do CSPM do AWS Security Hub por convite, você pode desassociar a conta de membro da conta de administrador. Depois que você desassocia uma conta de membro, o CSPM do Security Hub não envia as descobertas dessa conta para a conta do administrador.

As contas de membros que são gerenciadas usando a integração com não AWS Organizations podem dissociar suas contas da conta de administrador. Somente o administrador delegado do CSPM do Security Hub pode desassociar contas de membro que sejam gerenciadas pelo Organizations.

Quando você se desassocia da sua conta de administrador, sua conta permanece na lista de membros da conta de administrador com o status de **Renunciado**. Entretanto, a conta do administrador não recebe nenhuma descoberta para sua conta.

Depois de você se dissociar da conta de administrador, o convite para ser membro ainda permanecerá. É possível aceitar o convite novamente no futuro.

------
#### [ Security Hub CSPM console ]

**Para se dissociar da sua conta de administrador**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, selecione **Configurações** e em seguida **Contas**.

1. Na seção **Conta do administrador**, desative **Aceitar** e, em seguida, escolha **Atualizar**.

------
#### [ Security Hub CSPM API ]

**Para se dissociar da sua conta de administrador**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html).

------
#### [ AWS CLI ]

**Para se dissociar da sua conta de administrador**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html).

```
aws securityhub disassociate-from-administrator-account
```

------

**nota**  
O console do CSPM do Security Hub continua usando `DisassociateFromMasterAccount`. Eventualmente, ele mudará para usar `DisassociateFromAdministratorAccount`. Todas as políticas do IAM que controlam especificamente o acesso a essa função devem continuar usando `DisassociateFromMasterAccount`. Você também deve adicionar `DisassociateFromAdministratorAccount` às suas políticas para garantir que as permissões corretas estejam em vigor após o início do uso do console `DisassociateFromAdministratorAccount`.

# Transição para o Organizations para gerenciamento de contas no CSPM do Security Hub
<a name="accounts-transition-to-orgs"></a>

Ao gerenciar contas manualmente no CSPM do AWS Security Hub, você deve convidar contas de membros em potencial e configurar cada conta de membro separadamente em cada uma. Região da AWS

Ao integrar o Security Hub CSPM e AWS Organizations, você pode eliminar a necessidade de enviar convites e obter mais controle sobre como o CSPM do Security Hub é configurado e personalizado em sua organização. Por isso, recomendamos usar o AWS Organizations em vez de convites do CSPM do Security Hub para gerenciar as contas de membro. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

É possível usar uma abordagem combinada na qual você usa a AWS Organizations integração, mas também convida manualmente contas fora da sua organização. Entretanto, recomendamos usar exclusivamente a integração do Organizations. A [configuração central](central-configuration-intro.md), um recurso que ajuda você a gerenciar o CSPM do Security Hub em várias contas e regiões, só está disponível quando você se integra ao Organizations.

Esta seção aborda como é possível fazer a transição do gerenciamento manual de contas baseado em convites para o gerenciamento de contas com o AWS Organizations.

## Integrando o Security Hub CSPM com AWS Organizations
<a name="transition-activate-orgs-integration"></a>

Primeiro, você deve integrar o Security Hub CSPM e. AWS Organizations

É possível integrar esses serviços concluindo as etapas a seguir:
+ Crie uma organização no AWS Organizations. Para obter instruções, consulte [Criação de uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org) no *Guia do usuário do AWS Organizations *.
+ A partir da conta gerencial do Organizations, designe uma conta de administrador delegado do CSPM do Security Hub.

**nota**  
A conta gerencial da organização *não pode* ser definida como conta de DA.

Para obter instruções detalhadas, consulte [Integrando o Security Hub CSPM com AWS Organizations](designate-orgs-admin-account.md).

Ao concluir as etapas anteriores, você concede [acesso confiável ao](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub) CSPM do Security Hub em. AWS Organizations Isso também ativa o CSPM do Security Hub na conta atual Região da AWS do administrador delegado.

O administrador delegado pode gerenciar a organização no CSPM do Security Hub, principalmente adicionando as contas da organização como contas de membro do CSPM do Security Hub. O administrador também pode acessar determinadas configurações, dados e recursos do CSPM do Security Hub para essas contas.

Quando você faz a transição para o gerenciamento de contas usando o Organizations, as contas baseadas em convites não se tornam automaticamente membros do CSPM do Security Hub. Somente as contas que você adicionar à sua nova organização podem se tornar membros do CSPM do Security Hub.

Depois de ativar a integração, será possível gerenciar contas com o Organizations. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md). O gerenciamento de contas varia de acordo com o tipo de configuração da sua organização.

# Ações permitidas pelo administrador e contas de membro no CSPM do Security Hub
<a name="securityhub-accounts-allowed-actions"></a>

As contas de administrador e membro têm acesso às ações CSPM do AWS Security Hub anotadas nas tabelas a seguir. Nas tabelas, os valores têm os significados a seguir:
+ **Qualquer:** a conta pode realizar a ação para qualquer conta sob o mesmo administrador ou conta.
+ **Atual:** a conta pode realizar a ação somente por si mesma (a conta com a qual você se conectou).
+ **Traço:** indica que a conta não pode realizar a ação.

Conforme observado nas tabelas, as ações permitidas diferem com base na integração AWS Organizations e no tipo de configuração que sua organização usa. Para obter informações sobre a diferença entre a configuração central e local, consulte [Gerenciando contas com AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview).

O CSPM do Security Hub não copia as descobertas da conta de membro para a conta do administrador. No CSPM do Security Hub, todas as descobertas são inseridas em uma região específica para uma conta específica. Em cada região, a conta do administrador pode visualizar e gerenciar as descobertas de suas contas de membro nessa região.

Se você definir uma região de agregação, a conta do administrador poderá visualizar e gerenciar as descobertas da conta de membro de regiões vinculadas que sejam replicadas para a região de agregação. Para obter mais informações sobre agregação entre regiões, consulte [Agregação entre regiões](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html).

A tabela a seguir reflete as permissões padrão para contas de administrador e contas de membro. É possível usar políticas do IAM personalizadas para restringir ainda mais o acesso aos atributos e funções do CSPM do Security Hub. Para obter orientação e exemplos, consulte a postagem do blog [Alinhando as políticas do IAM às personas dos usuários do AWS Security Hub](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/) CSPM.

## Ações permitidas se você se integrar ao Organizations e usar a configuração central
<a name="central-configuration-allowed-actions"></a>

As contas de membro e de administrador podem acessar as ações do CSPM do Security Hub da forma a seguir caso você se integre ao Organizations e use a configuração central.


|  Ação  |  Conta de administrador delegado do CSPM do Security Hub  |  Conta de membro gerenciada centralmente  |  Conta de membro autogerenciada  | 
| --- | --- | --- | --- | 
|  Criação e gerenciamento de políticas de configuração do CSPM do Security Hub  |  Para contas gerenciadas automaticamente e centralmente  |  –  |  –  | 
|  Visualizar contas da organização  |  Any  |  –  |  –  | 
|  Desassociar conta de membro  |  Any  |  –  |  –  | 
|  Excluir conta de membro  |  Qualquer conta que não seja da organização  |  –  |  –  | 
|  Desabilitação do CSPM do Security Hub  |  Para a conta atual e contas gerenciadas centralmente  |  –  |  Atual (deve primeiro ser desassociada da conta de administrador)  | 
|  Veja as descobertas e o histórico de descobertas  |  Any  |  Atual  |  Atual  | 
|  Atualizar as descobertas  |  Any  |  Atual  |  Atual  | 
|  Visualizar resultados do insight  |  Any  |  Atual  |  Atual  | 
|  Visualizar detalhes do controle  |  Any  |  Atual  |  Atual  | 
|  Ative ou desative as descobertas de controle consolidadas  |  Any  |  –  |  –  | 
|  Habilitar e desabilitar padrões  |  Para a conta atual e contas gerenciadas centralmente  |  –  |  Atual  | 
|  Habilitar e desabilitar controles  |  Para a conta atual e contas gerenciadas centralmente  |  –  |  Atual  | 
|  Habilitar e desabilitar integrações  |  Atual  |  Atual  |  Atual  | 
|  Configurar uma agregação entre regiões  |  Any  |  –  |  –  | 
|  Selecione a região inicial e as regiões vinculadas  |  Qualquer (é necessário parar e reiniciar a configuração central para alterar a região inicial)  |  –  |  –  | 
|  Configurar ações personalizadas  |  Atual  |  Atual  |  Atual  | 
|  Configurar regras de automação  |  Any  |  –  |  –  | 
|  Configurar insights personalizados  |  Atual  |  Atual  |  Atual  | 

## Ações permitidas se você se integrar ao Organizations e usar a configuração local
<a name="orgs-allowed-actions"></a>

As contas de membro e de administrador podem acessar as ações do CSPM do Security Hub da forma a seguir caso você se integre ao Organizations e use a configuração local.


|  Ação  |  Conta de administrador delegado do CSPM do Security Hub  |  Conta de membro  | 
| --- | --- | --- | 
|  Criação e gerenciamento de políticas de configuração do CSPM do Security Hub  |  –  |  –  | 
|  Visualizar contas da organização  |  Any  |  –  | 
|  Desassociar conta de membro  |  Any  |  –  | 
|  Excluir conta de membro  |  –  |  –  | 
|  Desabilitação do CSPM do Security Hub  |  –  |  Atual (se a conta for desassociada do administrador delegado)  | 
|  Veja as descobertas e o histórico de descobertas  |  Any  |  Atual  | 
|  Atualizar as descobertas  |  Any  |  Atual  | 
|  Visualizar resultados do insight  |  Any  |  Atual  | 
|  Visualizar detalhes do controle  |  Any  |  Atual  | 
|  Ative ou desative as descobertas de controle consolidadas  |  Any  |  –  | 
|  Habilitar e desabilitar padrões  |  Atual  |  Atual  | 
|  Habilitação automática do CSPM do Security Hub e padrões padrão em novas contas da organização  |  Para a conta atual e novas contas da organização  |  –  | 
|  Habilitar e desabilitar controles  |  Atual  |  Atual  | 
|  Habilitar e desabilitar integrações  |  Atual  |  Atual  | 
|  Configurar uma agregação entre regiões  |  Any  |  –  | 
|  Configurar ações personalizadas  |  Atual  |  Atual  | 
|  Configurar regras de automação  |  Any  |  –  | 
|  Configurar insights personalizados  |  Atual  |  Atual  | 

## Ações permitidas para contas baseadas em convites
<a name="manual-allowed-actions"></a>

As contas de administrador e membro podem acessar as ações do CSPM do Security Hub da seguinte forma se você usar o método baseado em convite para gerenciar contas manualmente em vez de integrá-las com. AWS Organizations


|  Ação  |  Conta de administrador do CSPM do Security Hub  |  Conta de membro  | 
| --- | --- | --- | 
|  Criação e gerenciamento de políticas de configuração do CSPM do Security Hub  |  –  |  –  | 
|  Visualizar contas da organização  |  Any  |  –  | 
|  Desassociar conta de membro  |  Any  |  Atual  | 
|  Excluir conta de membro  |  Any  |  –  | 
|  Desabilitação do CSPM do Security Hub  |  Atual (se não houver contas de membro habilitadas)  |  Atual (se a conta for desassociada da conta do administrador)  | 
|  Veja as descobertas e o histórico de descobertas  |  Any  |  Atual  | 
|  Atualizar as descobertas  |  Any  |  Atual  | 
|  Visualizar resultados do insight  |  Any  |  Atual  | 
|  Visualizar detalhes do controle  |  Any  |  Atual  | 
|  Ative ou desative as descobertas de controle consolidadas  |  Any  |  –  | 
|  Habilitar e desabilitar padrões  |  Atual  |  Atual  | 
|  Habilitação automática do CSPM do Security Hub e padrões padrão em novas contas da organização  |  –  |  –  | 
|  Habilitar e desabilitar controles  |  Atual  |  Atual  | 
|  Habilitar e desabilitar integrações  |  Atual  |  Atual  | 
|  Configurar uma agregação entre regiões  |  Any  |  –  | 
|  Configurar ações personalizadas  |  Atual  |  Atual  | 
|  Configurar regras de automação  |  Any  |  –  | 
|  Configurar insights personalizados  |  Atual  |  Atual  | 

# Efeito das ações da conta nos dados do CSPM do Security Hub
<a name="securityhub-data-retention"></a>

Essas ações da conta têm os seguintes efeitos nos dados CSPM do AWS Security Hub.

## CSPM do Security Hub desabilitado
<a name="securityhub-effects-disable-securityhub"></a>

Se você usar a [configuração central](central-configuration-intro.md), o administrador delegado (DA) poderá criar políticas de configuração do CSPM do Security Hub que desabilitem o CSPM do AWS Security Hub em contas e unidades organizacionais específicas (). OUs Nesse caso, o CSPM do Security Hub está desativado nas contas especificadas, OUs na sua região de origem e em qualquer região vinculada. Se você não usa a configuração central, deverá desabilitar o CSPM do Security Hub separadamente em cada conta e região onde ele tenha sido habilitado. Você não poderá usar a configuração central se o CSPM do Security Hub estiver desabilitado na conta do DA.

Nenhuma descoberta será gerada ou atualizada para a conta de administrador se o CSPM do Security Hub estiver desabilitado na conta do administrador. As descobertas existentes arquivadas serão excluídas após 30 dias. As descobertas existentes ativas serão excluídas após 90 dias.

As integrações com outros Serviços da AWS são removidas.

Os padrões e controles de segurança habilitados são desabilitados.

Outros dados e configurações do CSPM do Security Hub, inclusive ações personalizadas, insights e assinaturas de produtos de terceiros serão retidas por 90 dias.

## Conta de membro desassociada da conta de administrador
<a name="securityhub-effects-member-disassociation"></a>

Quando uma conta de membro é desassociada da conta de administrador, esta perde a permissão para visualizar as descobertas na conta de membro. Contudo, o CSPM do Security Hub ainda estará habilitado em ambas as contas.

Se você usar a configuração central, o DA não poderá configurar o CSPM do Security Hub para uma conta de membro que esteja desassociada da conta do DA.

Configurações personalizadas ou integrações definidas para a conta de administrador não são aplicadas às descobertas da conta de membro antiga. Por exemplo, depois que as contas forem desassociadas, você poderá ter uma ação personalizada na conta do administrador usada como padrão de evento em uma EventBridge regra da Amazon. Entretanto, essa ação personalizada não pode ser usada na conta de membro.

Na lista **Contas** da conta de administrador do CSPM do Security Hub, uma conta removida tem o status de **Desassociada**.

## A conta de membro é removida de uma organização
<a name="securityhub-effects-member-leaves-org"></a>

Quando uma conta de membro é removida de uma organização, a conta de administrador do CSPM do Security Hub perde a permissão para visualizar as descobertas na conta de membro. Entretanto, o CSPM do Security Hub ainda estará habilitado em ambas as contas com as mesmas configurações que tinham antes da remoção.

Se você usar a configuração central, não poderá configurar o CSPM do Security Hub para uma conta de membro depois que ela for removida da organização à qual o administrador delegado pertence. Entretanto, a conta reterá as configurações que tinha antes da remoção, a menos que você as altere manualmente.

Na lista **Contas** da conta de administrador do CSPM do Security Hub, uma conta removida tem o status de **Excluída**.

## A conta é suspensa
<a name="securityhub-effects-account-suspended"></a>

Quando um Conta da AWS é suspenso, a conta perde a permissão para visualizar suas descobertas no CSPM do Security Hub. Nenhuma descoberta será gerada ou atualizada para essa conta. A conta de administrador de uma conta suspensa pode ver as descobertas da conta.

Para uma conta da organização, o status da conta de membro também pode mudar para **Conta suspensa**. Isso acontece se a conta for suspensa ao mesmo tempo em que a conta de administrador tenta habilitá-la. A conta de administrador de uma **conta suspensa** pode ver as descobertas da conta existente. Do contrário, o status de suspensa não afetará o status da conta de membro.

Se você usar a configuração central, a associação de políticas falhará se o administrador delegado tentar associar uma política de configuração a uma conta suspensa.

Após 90 dias, a conta é encerrada ou reabilitada. Quando a conta é reativada, suas permissões do CSPM do Security Hub são restauradas. Se o status da conta de membro for **Conta suspensa**, a conta de administrador deverá habilitar a conta manualmente.

## A conta é fechada
<a name="securityhub-effects-account-deletion"></a>

Quando um Conta da AWS é fechado, o Security Hub CSPM responde ao fechamento da seguinte forma.

Se a conta for uma conta de administrador do CSPM do Security Hub, ela será removida como conta de administrador e todas as contas de membro serão removidas. Se a conta for uma conta de membro, ela será desassociada e removida como membro da conta de administrador do CSPM do Security Hub.

O CSPM do Security Hub retém as descobertas arquivadas existentes na conta por 30 dias. Para uma descoberta de controle, o cálculo de 30 dias é baseado no valor do campo `UpdatedAt` da descoberta. Para outro tipo de descoberta, o cálculo é baseado no valor do campo `UpdatedAt` ou `ProcessedAt` da descoberta, o que tiver a data mais recente. Ao final do período de 30 dias, o CSPM do Security Hub excluirá permanentemente todas as descobertas da conta.

O CSPM do Security Hub retém as descobertas ativas existentes na conta por 90 dias. Para uma descoberta de controle, o cálculo de 90 dias é baseado no valor do campo `UpdatedAt` da descoberta. Para outro tipo de descoberta, o cálculo é baseado no valor do campo `UpdatedAt` ou `ProcessedAt` da descoberta, o que tiver a data mais recente. Ao final do período de 90 dias, o CSPM do Security Hub excluirá permanentemente todas as descobertas da conta.

Para uma retenção de longo prazo das descobertas existentes, é possível exportar as descobertas para um bucket do S3. Você pode fazer isso usando uma ação personalizada com uma EventBridge regra da Amazon. Para obter mais informações, consulte [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md).

**Importante**  
Para clientes em AWS GovCloud (US) Regions, faça backup e exclua os dados da apólice e outros recursos da conta antes de fechar sua conta. Você não terá acesso aos recursos e dados depois de fechar sua conta.

Para obter mais informações, consulte [Fechamento de uma Conta da AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) no *Guia de referência do AWS Gerenciamento de contas *.

# Noções básicas sobre a agregação entre regiões no CSPM do Security Hub
<a name="finding-aggregation"></a>

**nota**  
A *região de agregação* agora é denominada *região inicial*. Algumas operações da API do CSPM do Security Hub ainda usam o termo antigo região de agregação.

Ao usar a agregação entre regiões no AWS Security Hub CSPM, você pode agregar descobertas, encontrar atualizações, insights, controlar status de conformidade e pontuações de segurança de várias Regiões da AWS para uma única região de origem. Assim, você pode gerenciar todos esses dados na região inicial.

Suponha que você defina Leste dos EUA (Norte da Virgínia) como a região inicial e Oeste dos EUA (Oregon) e Oeste dos EUA (N. da Califórnia) como regiões vinculadas. Ao visualizar a página de **Descobertas** no Leste dos EUA (Norte da Virgínia), você vê as descobertas de todas as três regiões. As atualizações dessas descobertas também se refletem nas três regiões.

**nota**  
Em AWS GovCloud (US), a agregação entre regiões é suportada somente para descobertas, atualizações e insights transversais. AWS GovCloud (US) Especificamente, você só pode agregar descobertas, atualizações e insights entre AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA). Nas regiões da China, a agregação entre regiões é compatível somente com descobertas, atualizações de descobertas e insights das regiões da China. Especificamente, você só pode agregar descobertas, atualizações de descobertas e insights entre a China (Pequim) e a China (Ningxia).

Se um controle estiver habilitado em uma região vinculada, mas desabilitado na região inicial, você poderá ver o status de conformidade do controle na região inicial, mas não poderá habilitar ou desabilitar esse controle na região inicial. A exceção é se você usar a [configuração central](central-configuration-intro.md). Se você usar a configuração central, o administrador delegado do CSPM do Security Hub poderá configurar os controles da região inicial e das regiões vinculadas na região inicial.

Se você definiu uma região inicial, as [pontuações de segurança](standards-security-score.md) refletirão o status dos controles em todas as regiões vinculadas. Para ver as pontuações de segurança e os status de conformidade entre regiões, adicione as permissões a seguir ao seu perfil do IAM que usa o CSPM do Security Hub:
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`

## Tipos de dados que são agregados
<a name="finding-aggregation-overview"></a>

Quando a agregação entre regiões está habilitada com uma ou mais regiões vinculadas, o CSPM do Security Hub replica os dados a seguir das regiões vinculadas na região inicial. Isso ocorre em todas as contas que têm a agregação entre regiões habilitada.
+ Conclusões
+ Insights
+ Status de conformidade de controle
+ Pontuações de segurança

Além dos novos dados da lista anterior, o CSPM do Security Hub também replica as atualizações desses dados entre as regiões vinculadas e a região inicial. As atualizações que ocorrem em uma região vinculada são replicadas na região inicial. As atualizações que ocorrem na região inicial são replicadas de volta para a região vinculada. Se houver atualizações conflitantes entre a região inicial e a região vinculada, a atualização mais recente será usada.

![\[Quando a agregação entre regiões é habilitada, o CSPM do Security Hub replica as descobertas novas e atualizadas entre as regiões vinculadas e a região inicial.\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/diagram-finding-aggregation.png)


A agregação entre regiões não aumenta o custo do CSPM do Security Hub. Você não é cobrado quando o CSPM do Security Hub replica novos dados ou atualizações.

Na região inicial, a página **Resumo** fornece uma visão das descobertas ativas nas várias regiões vinculadas. Para obter informações, consulte [Visualização de um resumo de descobertas entre regiões por gravidade](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-view-summary.html). Outros painéis da página de **Resumo** que analisam as descobertas também exibem informações de todas as regiões vinculadas.

As pontuações de segurança da região inicial são calculadas comparando o número de controles aprovados com o número de controles habilitados em todas as regiões vinculadas. Além disso, se um controle estiver habilitado em pelo menos uma região vinculada, ele estará visível nas páginas de detalhes **Padrões de segurança** da região inicial. O status de conformidade dos controles nas páginas de detalhes dos padrões reflete as descobertas nas regiões vinculadas. Se uma verificação de segurança associada a um controle falhar em uma ou mais regiões vinculadas, o status de conformidade desse controle será exibido como **Reprovado** nas páginas de detalhes dos padrões da região inicial. O número de verificações de segurança inclui descobertas de todas as regiões vinculadas.

O CSPM do Security Hub agrega apenas dados de regiões em que uma conta tem o CSPM do Security Hub habilitado. O CSPM do Security Hub não é habilitado automaticamente para uma conta com base na configuração de agregação entre regiões.

É possível habilitar a agregação entre regiões sem que nenhuma região vinculada seja selecionada. Nesse caso, nenhuma replicação de dados ocorrerá.

## Agregação para contas de administrador e contas de membro
<a name="finding-aggregation-admin-member"></a>

Contas autônomas, contas de membro e contas de administrador podem configurar a agregação entre regiões. Se for configurada por um administrador, a presença da conta de administrador é essencial para que a agregação entre regiões funcione nas contas administradas. Se a conta de administrador for removida ou desassociada de uma conta de membro a agregação entre regiões será interrompida na conta de membro. Isso acontece mesmo que a conta tenha a agregação entre regiões habilitada antes que a relação de adminstrador-membro comece.

Quando uma conta de administrador habilita a agregação entre regiões, o CSPM do Security Hub replica na região inicial os dados gerados pela conta de administrador em todas as regiões vinculadas. Além disso, o CSPM do Security Hub identifica as contas de membro associadas a esse administrador, e todas elas herdam as configurações de agregação entre regiões da conta de administrador. O CSPM do Security Hub replica os dados que uma conta de membro gera em todas as regiões vinculadas à região inicial.

O administrador pode acessar e gerenciar as descobertas de segurança de todas as contas de membro nas regiões administradas. Porém, como administrador do CSPM do Security Hub, é necessário estar conectado à região inicial para visualizar os dados agregados de todas as contas de membro e todas as regiões vinculadas.

Como uma conta de membro do CSPM do Security Hub, é necessário estar conectado à região inicial para visualizar na sua conta os dados agregados de todas as regiões vinculadas. As contas de membros não têm permissão para visualizar os dados de outras contas de membro.

Uma conta de administrador pode convidar manualmente contas de membros ou servir como administrador delegado de uma organização integrada à AWS Organizations. Para uma [conta de membro convidada manualmente](account-management-manual.md), o administrador deve convidar a conta na região inicial e em todas as regiões vinculadas para que a agregação entre regiões funcione. Além disso, a conta de membro deve ter o CSPM do Security Hub habilitado na região inicial e em todas as regiões vinculadas para que o administrador possa visualizar as descobertas na conta de membro. Se você não usar a região inicial para outras finalidades, poderá desabilitar os padrões e as integrações do CSPM do Security Hub nessa região para evitar custos.

Se você planejar usar a agregação entre regiões e tiver várias contas de administrador, recomendado as seguintes práticas:
+ Cada conta de administrador tem contas de membro diferentes.
+ Cada conta de administrador tem as mesmas contas de membro em todas as regiões.
+ Cada conta de administrador usa uma região inicial diferente.

**nota**  
Para entender como a configuração central afeta a agregação entre regiões, consulte [Efeito da configuração central na agregação entre regiões](aggregation-central-configuration.md).

# Efeito da configuração central na agregação entre regiões
<a name="aggregation-central-configuration"></a>

A configuração central é um recurso opcional no AWS Security Hub CSPM que você pode usar se fizer a integração com o. AWS Organizations Se você usar a configuração central, a conta de administrador delegado poderá configurar o serviço, os padrões e os controles do CSPM do Security Hub para contas e unidades organizacionais (UO) na organização. Para configurar contas e OUs, o administrador delegado cria políticas de configuração CSPM do Security Hub. As políticas de configuração podem ser usadas para definir se o CSPM do Security Hub está habilitado ou desabilitado, e quais padrões e controles estão habilitados. O administrador delegado associa políticas de configuração a contas específicas ou à raiz (toda a organização). OUs

O administrador delegado pode criar e gerenciar políticas de configuração para a organização somente na região inicial. Além disso, as políticas de configuração têm efeito na região inicial e em todas as regiões vinculadas. Você não pode criar uma política de configuração que se aplique somente a algumas regiões vinculadas e não a outras. Para obter informações sobre agregação entre regiões, consulte [Agregação entre regiões](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html).

Para usar a configuração central, é necessário designar uma região inicial. Ou então, você pode escolher uma ou mais regiões como regiões vinculadas. Também é possível escolher designar uma região inicial sem nenhuma região vinculada.

Alterar suas configurações de agregação entre regiões pode afetar suas políticas de configuração. Quando você adiciona uma região vinculada, suas políticas de configuração entram em vigor nessa região. Se a região for uma [região de adesão](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html), ela deverá estar habilitada para que suas políticas de configuração entrem em vigor nela. Por outro lado, quando você remove uma região vinculada, as políticas de configuração não têm mais efeito nessa região. Nessa região, as contas mantêm as configurações que tinham quando a região vinculada foi removida. É possível alterar essas configurações, mas isso deve ser feito separadamente em cada conta e região.

Se você remover ou alterar a região inicial, suas políticas de configuração e associações de políticas serão excluídas. Não será mais possível usar a configuração central nem criar políticas de configuração em nenhuma região. As contas manterão as configurações que tinham antes de a região inicial ser alterada ou removida. É possível alterar essas configurações a qualquer momento, mas como a configuração central não é mais usada, as configurações devem ser modificadas separadamente em cada conta e região. É possível usar a configuração central e criar políticas de configuração novamente se uma nova região inicial for designada.

Para obter mais informações sobre a configuração central, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

# Habilitar a agregação entre regiões
<a name="finding-aggregation-enable"></a>

**nota**  
A *região de agregação* agora é denominada *região inicial*. Algumas operações da API do CSPM do Security Hub ainda usam o termo antigo região de agregação.

Você deve habilitar a agregação entre regiões a partir da Região da AWS que você deseja designar como a região de origem.

Para habilitar a agregação entre regiões, você cria um recurso do CSPM do Security Hub denominado agregador de descobertas. O recurso agregador de descobertas especifica a região inicial e as regiões vinculadas (se for o caso).

Você não pode usar uma Região da AWS que esteja desativada por padrão como sua região de origem. Para obter uma lista de regiões desabilitadas por padrão, consulte [Habilitar uma região](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) no *Referência geral da AWS*.

Ao habilitar a agregação entre regiões, você escolhe se deseja especificar uma ou mais regiões vinculadas. Também é possível escolher se você deseja vincular automaticamente novas regiões às quais você optou por aderir quando o CSPM do Security Hub passar a oferecer suporte a elas.

------
#### [ Security Hub CSPM console ]

**Habilitar a agregação entre regiões**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Usando o Região da AWS seletor, faça login na região que você deseja usar como região de agregação.

1. No menu de navegação do CSPM do Security Hub, escolha **Configurações** e, em seguida, **Regiões**.

1. Em **Agregação de descoberta**, escolha **Configurar agregação de descoberta**.

   Por padrão, a região inicial é definida como **Região não de agregação**.

1. Em **Região de agregação**, selecione a opção para designar a região atual como a região inicial.

1. Opcionalmente, em **Regiões vinculadas**, selecione as regiões das quais agregar dados.

1. Para agregar automaticamente dados de novas regiões na partição caso o CSPM do Security Hub ofereça suporte a eles e você queira escolher esses dados, selecione **Vincular regiões futuras**.

1. Escolha **Salvar**.

------
#### [ Security Hub CSPM API ]

Na região que você deseja usar como região inicial, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html) da API do CSPM do Security Hub. Se você usar o AWS CLI, execute o [create-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-finding-aggregator.html)comando.

Para `RegionLinkingMode`, selecione uma das seguintes opções:
+ `ALL_REGIONS`: o CPSM do Security Hub agrega dados de todas as regiões. O CSPM do Security Hub também agrega dados de novas regiões à medida que elas tenham suporte e você escolha usá-las.
+ `ALL_REGIONS_EXCEPT_SPECIFIED`: o CSPM do Security Hub agrega dados de todas as regiões, exceto as que você deseja excluir. O CSPM do Security Hub também agrega dados de novas regiões à medida que elas tenham suporte e você escolha usá-las. Use `Regions` para fornecer a lista de regiões a serem excluídas da agregação.
+ `SPECIFIED_REGIONS`: o CSPM do Security Hub agrega dados de uma lista selecionada de regiões. O CSPM do Security Hub não agrega dados automaticamente de novas regiões. Use `Regions` para fornecer a lista de regiões das quais agregar.
+ `NO_REGIONS`: o CSPM do Security Hub não agrega dados porque você não seleciona nenhuma região vinculada.

O exemplo a seguir configura a agregação entre regiões. A região inicial é Leste dos EUA (Norte da Virgínia) . As regiões vinculadas são Oeste dos EUA (Norte da Califórnia) e Oeste dos EUA (Oregon). Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub create-finding-aggregator --region us-east-1 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# Análise de configurações de agregação entre regiões
<a name="finding-aggregation-view-config"></a>

**nota**  
A *região de agregação* agora é denominada *região inicial*. Algumas operações da API do CSPM do Security Hub ainda usam o termo antigo região de agregação.

Você pode visualizar a configuração atual de agregação entre regiões no CSPM do AWS Security Hub a partir de qualquer um. Região da AWS A configuração inclui a região inicial, as regiões vinculadas (se for o caso) e se as novas regiões devem ser vinculadas automaticamente à medida que oferecerem suporte ao CSPM do Security Hub.

As contas de membro também podem visualizar a agregação entre regiões que a conta de administrador configurou.

Escolha seu método preferido e siga as etapas para visualizar as configurações atuais de agregação entre regiões.

------
#### [ Security Hub CSPM console ]

**Para visualizar as configurações de agregação entre regiões (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Configurações** e depois escolha a guia **Regiões**.

Se a agregação entre regiões não estiver habilitada, a guia **Regiões** exibirá a opção de habilitar a agregação entre regiões. Somente contas de administrador e contas autônomas podem habilitar a agregação entre regiões.

Se a agregação entre regiões estiver ativada, a guia **Regiões** exibirá as seguintes informações:
+ A região inicial
+ Se você deseja agregar automaticamente descobertas, insights, status de controle e pontuações de segurança de novas regiões que o CSPM do Security Hub oferece suporte e que você escolhe
+ A lista de regiões vinculadas (se alguma estiver selecionada)

------
#### [ Security Hub CSPM API ]

**Para analisar as configurações de agregação entre regiões (API do CSPM do Security Hub)**

Use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) da API do CSPM do Security Hub. Se você usar o AWS CLI, execute o [get-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-aggregator.html)comando.

Quando fizer a solicitação, forneça o ARN do agregador de descobertas. Para obter o ARN do agregador de descobertas, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html) ou comando [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html).

O exemplo a seguir mostra as configurações de agregação entre regiões para o ARN do agregador de descobertas especificado. Esse exemplo é formatado para Linux, macOS ou Unix e usa o caractere barra invertida (\$1) de continuação de linha para melhorar a legibilidade

```
$aws securityhub get-finding-aggregator --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
```

------

# Atualizar as configurações de agregação entre regiões
<a name="finding-aggregation-update"></a>

**nota**  
A *região de agregação* agora é denominada *região inicial*. Algumas operações da API do CSPM do Security Hub ainda usam o termo antigo região de agregação.

Você pode atualizar suas configurações atuais de agregação entre regiões no CSPM do AWS Security Hub alterando as regiões vinculadas ou a região de origem atual. Você também pode alterar se deseja agregar automaticamente dados de novos Regiões da AWS dados nos quais o Security Hub CSPM é suportado.

Alterações na agregação entre regiões não são implementadas em uma região de adesão opcional até que você a habilite na sua Conta da AWS. As regiões que AWS foram introduzidas em ou após 20 de março de 2019 são regiões optativas.

Quando você para de agregar dados de uma região vinculada, o AWS Security Hub CSPM não remove nenhum dado agregado existente dessa região que esteja acessível na região de origem.

Você não pode usar os procedimentos de atualização desta seção para alterar a região inicial. Para alterar a região inicial, é necessário fazer o seguinte:

1. Interrompa a agregação entre regiões. Para instruções, consulte [Interromper a agregação entre regiões](finding-aggregation-stop.md).

1. Altere para a região que você quer que seja a nova região inicial.

1. Habilitar a agregação entre regiões. Para instruções, consulte [Habilitar a agregação entre regiões](finding-aggregation-enable.md).

É necessário atualizar a configuração de agregação entre regiões na região inicial atual.

------
#### [ Security Hub CSPM console ]

**Para alterar as regiões vinculadas**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login na região de agregação atual.

1. No menu de navegação do CSPM do Security Hub, escolha **Configurações** e, em seguida, selecione **Regiões**.

1. Em **Agregação de descobertas**, escolha **Editar**.

1. Em **Regiões vinculadas**, atualize as regiões vinculadas selecionadas.

1. Se necessário, altere se a opção **Vincular regiões futuras** estiver selecionada. Essa configuração determina se o CSPM do Security Hub vincula automaticamente novas regiões à medida que adiciona suporte a elas e você as escolhe.

1. Escolha **Salvar**.

------
#### [ Security Hub CSPM API ]

Use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html). Se você usar o AWS CLI, execute o [update-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-finding-aggregator.html)comando. Para identificar o agregador de descoberta, é necessário fornecer o ARN do agregador de descoberta. Para obter o ARN do agregador de localização, use [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)a operação [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)ou o comando.

Se o modo de vinculação for `ALL_REGIONS_EXCEPT_SPECIFIED` ou `SPECIFIED_REGIONS`, você poderá alterar a lista de regiões excluídas ou incluídas. Se você quiser alterar o modo de vinculação de regiões para `NO_REGIONS`, não forneça uma lista de regiões.

Ao alterar a lista de regiões excluídas ou incluídas, é necessário fornecer a lista completa com as atualizações. Por exemplo, suponha que você atualmente agrega descobertas do Leste dos EUA (Ohio) e queira agregar também descobertas do Oeste dos EUA (Oregon). É necessário fornecer uma lista de `Regions` que contenha Leste dos EUA (Ohio) e Oeste dos EUA (Oregon).

O exemplo a seguir atualiza a agregação entre regiões para as regiões selecionadas. O comando é executado na região inicial atual, que é Leste dos EUA (Norte da Virgínia). As regiões vinculadas são Oeste dos EUA (Norte da Califórnia) e Oeste dos EUA (Oregon). Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
aws securityhub update-finding-aggregator --region us-east-1 --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# Interromper a agregação entre regiões
<a name="finding-aggregation-stop"></a>

**nota**  
A *região de agregação* agora é denominada *região inicial*. Algumas operações da API do CSPM do Security Hub ainda usam o termo antigo região de agregação.

Se você não quiser que o AWS Security Hub CSPM agregue dados, você pode excluir seu agregador de descoberta. Como alternativa, você pode manter seu agregador de localização, mas não vincular nenhum Regiões da AWS à região de origem, atualizando o agregador existente para o modo de `NO_REGIONS` vinculação.

Para alterar a região inicial, é necessário excluir o agregador de descobertas atual e criar outro.

Quando você exclui o agregador de descobertas, o CSPM do Security Hub para de agregar dados. Ele não remove nenhum dado agregado existente da região inicial.

## Excluir o agregador de descobertas (console)
<a name="finding-aggregation-stop-console"></a>

É possível excluir o agregador de descobertas somente da região inicial atual.

Nas outras regiões, que não a região inicial, o painel **Agregação de descobertas** no console do CSPM do Security Hub exibe uma mensagem informando que é necessário editar a configuração na região inicial. Escolha essa mensagem para exibir um link e alternar para a região inicial.

------
#### [ Security Hub CSPM console ]

**Para interromper a agregação entre regiões (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Certifique-se de ter feito login na região inicial atual.

1. No menu de navegação do CSPM do Security Hub, escolha **Configurações** e, em seguida, selecione **Regiões**.

1. Em **Agregação de descoberta**, escolha **Editar**.

1. Em **Região de agregação**, escolha **Nenhuma região de agregação**.

1. Escolha **Salvar**.

1. Na caixa de diálogo de confirmação, no campo de confirmação, digite **Confirm**.

1. Escolha **Confirmar**.

------
#### [ Security Hub CSPM API ]

Use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html) da API do CSPM do Security Hub. Se você estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html)comando.

Para identificar o agregador de descobertas a ser excluído, forneça o ARN do agregador de descobertas. Para obter o ARN do agregador de descobertas, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html) ou comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html).

O exemplo a seguir exclui o agregador de descobertas. O comando é executado na região inicial atual, que é Leste dos EUA (Norte da Virgínia). Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$aws securityhub delete-finding-aggregator arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region us-east-1
```

------

# Noções básicas dos padrões de segurança no CSPM do Security Hub
<a name="standards-view-manage"></a>

No AWS Security Hub CSPM, um *padrão de segurança* é um conjunto de requisitos baseado em estruturas regulatórias, melhores práticas do setor ou políticas da empresa. Para obter detalhes sobre os padrões aos quais o CSPM do Security Hub oferece suporte no momento, incluindo os controles de segurança que se aplicam a cada um, consulte a [Referência de padrões para o CSPM do Security Hub](standards-reference.md).

Quando você habilita um padrão, o CSPM do Security Hub habilita automaticamente todos os controles que se aplicam ao padrão. Em seguida, o CSPM do Security Hub executa verificações de segurança nos controles, o que gera as descobertas do CSPM do Security Hub. É possível desabilitar e posteriormente reabilitar os controles individuais conforme necessário. Também é possível desabilitar um padrão completamente. Se você desabilitar um padrão, o CSPM do Security Hub parará de executar verificações de segurança nos controles que se aplicam a esse padrão. Não são mais geradas descobertas para os controles.

Além das descobertas, o CSPM do Security Hub gera uma pontuação de segurança para cada padrão habilitado. A pontuação é baseada no status dos controles que se aplicam ao padrão. Se você definiu uma região de agregação, suas pontuações de segurança refletirão o status dos controles em todas as regiões vinculadas. Se você for o administrador do CSPM do Security Hub de uma organização, a pontuação refletirá o status dos controles de todas as contas da sua organização. Para obter mais informações, consulte [Calcular pontuações de segurança](standards-security-score.md).

Para revisar e gerenciar padrões, é possível usar o console ou a API do CSPM do Security Hub. No console, a página **padrões de segurança** lista todos os padrões de segurança atualmente com suporte no CSPM do Security Hub. Isso inclui uma descrição de cada padrão e o status atual do padrão. Se você habilitar um padrão, também poderá usar essa página para acessar detalhes adicionais do padrão. Por exemplo, é possível analisar:
+ A pontuação de segurança atual do padrão.
+ Estatísticas agregadas para controles que se aplicam ao padrão.
+ Uma lista de controles que se aplicam ao padrão e estão atualmente habilitados, incluindo o status de conformidade de cada um.
+ Uma lista de controles que se aplicam ao padrão, mas que estão desabilitados no momento.

Para uma análise mais profunda, é possível filtrar e classificar os dados e detalhar para analisar os detalhes dos controles individuais que se aplicam ao padrão.

Você pode habilitar padrões individualmente para uma única conta Região da AWS e. Porém, para poupar tempo e reduzir desvios de configuração em ambientes com várias contas ou várias regiões, recomendamos o uso da [configuração central](central-configuration-intro.md) para habilitar e gerenciar os padrões. Com a configuração central, o administrador delegado do CSPM do Security Hub pode criar políticas que especificam como configurar um padrão em várias contas e regiões.

**Topics**
+ [Referência de padrões](standards-reference.md)
+ [Habilitar um padrão](enable-standards.md)
+ [Análise dos detalhes de um padrão](securityhub-standards-view-controls.md)
+ [Desativar padrões habilitados automaticamente](securityhub-auto-enabled-standards.md)
+ [Desabilitar um padrão](disable-standards.md)

# Referência de padrões para o CSPM do Security Hub
<a name="standards-reference"></a>

No AWS Security Hub CSPM, um *padrão de segurança* é um conjunto de requisitos baseado em estruturas regulatórias, melhores práticas do setor ou políticas da empresa. O CSPM do Security Hub mapeia esses requisitos para controles e executa verificações de segurança nos controles para avaliar se os requisitos de um padrão estão sendo atendidos. Cada padrão inclui vários controles.

Atualmente, o CSPM do Security Hub oferece suporte aos padrões a seguir:
+ **AWS Melhores práticas básicas de segurança** — Desenvolvido por profissionais do setor AWS e por profissionais do setor, esse padrão é uma compilação das melhores práticas de segurança para organizações, independentemente do setor ou tamanho. Ele fornece um conjunto de controles que detectam quando seus recursos Contas da AWS e recursos se desviam das melhores práticas de segurança. Ele também fornece orientações prescritivas sobre como aprimorar e manter sua postura de segurança.
+ **AWS Marcação de recursos** — Desenvolvido pelo Security Hub CSPM, esse padrão pode ajudá-lo a determinar se seus AWS recursos têm tags. Uma *tag* é um par de valores-chave que atua como metadados para um recurso. AWS As tags podem ajudar você a identificar, categorizar, gerenciar e pesquisar AWS recursos. Por exemplo, é possível usar as tags para categorizar recursos por finalidade, proprietário ou ambiente.
+ **CIS AWS Foundations Benchmark** — Desenvolvido pelo Center for Internet Security (CIS), esse padrão fornece diretrizes de configuração segura para. AWS Ele especifica um conjunto de diretrizes de configuração de segurança e melhores práticas para um subconjunto de Serviços da AWS recursos, com ênfase em configurações básicas, testáveis e independentes de arquitetura. As diretrizes incluem procedimentos claros de step-by-step implementação e avaliação.
+ **NIST SP 800-53 Revisão 5**: este padrão está alinhado aos requisitos do National Institute of Standards and Technology (NIST) para proteger a confidencialidade, integridade e disponibilidade dos sistemas de informação e recursos críticos. A estrutura associada geralmente se aplica a agências ou organizações federais dos EUA que trabalham com agências federais ou sistemas de informação dos EUA. No entanto, as organizações privadas também podem usar os requisitos como uma estrutura orientadora.
+ **NIST SP 800-171 Revisão 2**: esse padrão se alinha com as recomendações e requisitos de segurança do NIST para proteger a confidencialidade de informações não classificadas controladas (CUI) em sistemas e organizações que não fazem parte do governo federal dos EUA. *CUI* são informações que não atendem aos critérios governamentais de classificação, mas são consideradas sensíveis e são criadas ou possuídas pelo governo federal dos EUA ou por outras entidades em nome do governo federal dos EUA.
+ **PCI DSS**: este padrão está alinhado à estrutura de conformidade do Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) definido pelo PCI Security Standards Council (SSC). A estrutura fornece um conjunto de regras e diretrizes para lidar com segurança com as informações de cartões de crédito e débito. A estrutura geralmente se aplica a organizações que armazenem, processem ou transmitam dados do titular do cartão.
+ **Padrão gerenciado por serviços, AWS Control Tower— Esse padrão** ajuda você a configurar os controles de detetive fornecidos pelo Security Hub CSPM a partir de. AWS Control Tower AWS Control Tower oferece uma maneira simples de configurar e administrar um ambiente com AWS várias contas, seguindo as melhores práticas prescritivas.

Os padrões e controles do CSPM do Security Hub não garantem a conformidade com nenhuma estrutura ou auditoria regulatória. Em vez disso, eles fornecem uma maneira de avaliar e monitorar o estado das suas Contas da AWS e seus recursos. Recomendamos habilitar cada padrão relevante para as necessidades da sua empresa, setor ou caso de uso.

Os controles individuais podem ser aplicados a mais de um padrão. Se você habilitar vários padrões, recomendamos que você também habilite as descobertas de controle consolidadas. Se você fizer isso, o CSPM do Security Hub gerará uma única descoberta para cada controle, mesmo que o controle se aplique a mais de um padrão. Se você não habilitar as descobertas de controles consolidadas, o CSPM do Security Hub gerará uma descoberta separada para cada padrão habilitado ao qual um controle se aplicar. Por exemplo, se você habilitar dois padrões e um controle se aplicar a ambos, você receberá duas descobertas separadas para o controle, uma para cada padrão. Se você habilitar as descobertas de controles consolidadas, receberá somente uma descoberta para o controle. Para obter mais informações, consulte [Descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Melhores práticas básicas de segurança](fsbp-standard.md)
+ [AWS Marcação de recursos](standards-tagging.md)
+ [Referência do CIS AWS Foundations](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 Revisão 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 Revisão 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [Padrões gerenciados por serviços](service-managed-standards.md)

# AWS Padrão básico de melhores práticas de segurança no Security Hub CSPM
<a name="fsbp-standard"></a>

Desenvolvido por profissionais do setor AWS e por profissionais do setor, o padrão AWS Foundational Security Best Practices (FSBP) é uma compilação das melhores práticas de segurança para organizações, independentemente do setor ou tamanho da organização. Ele fornece um conjunto de controles que detectam quando Contas da AWS e os recursos se desviam das melhores práticas de segurança. Ele também fornece orientações prescritivas sobre como aprimorar e manter a postura de segurança da sua organização.

No AWS Security Hub CSPM, o padrão AWS Foundational Security Best Practices inclui controles que avaliam continuamente suas cargas de trabalho Contas da AWS e ajudam você a identificar áreas que se desviam das melhores práticas de segurança. Os controles incluem as melhores práticas de segurança para recursos de vários Serviços da AWS. Cada controle recebe uma categoria que reflete a função de segurança à qual ele se aplica. Para obter uma lista de categorias e detalhes adicionais, consulte [Categorias de controle](control-categories.md).

## Controles que se aplicam ao padrão
<a name="fsbp-controls"></a>

A lista a seguir especifica quais controles CSPM do AWS Security Hub se aplicam ao padrão AWS Foundational Security Best Practices (v1.0.0). Para revisar os detalhes de um controle, escolha o controle.

 [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 

 [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 

 [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 

 [[APIGateway.1] O REST do API Gateway e o registro de execução WebSocket da API devem estar habilitados](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 

 [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 

 [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 

 [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 

 [[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 

 [[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 

 [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 

 [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 

 [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 

 [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 

 [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 

 [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 

 [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 

 [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) 

 [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 

 [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 

 [[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas](dms-controls.md#dms-1) 

 [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 

 [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 

 [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 

 [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 

 [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 

 [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 

 [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 

 [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 

 [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 

 [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 

 [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 

 [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 

 [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente](ec2-controls.md#ec2-1) 

 [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2) 

 [[EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso.](ec2-controls.md#ec2-3) 

 [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 

 [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7) 

 [[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] As instâncias do Amazon EC2 não devem ter um endereço público IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2](ec2-controls.md#ec2-10) 

 [As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos](ec2-controls.md#ec2-15) 

 [[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas](ec2-controls.md#ec2-16) 

 [[EC2.17] As instâncias do Amazon EC2 não devem usar várias ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas](ec2-controls.md#ec2-18) 

 [[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco](ec2-controls.md#ec2-19) 

 [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20) 

 [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 

 [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 

 [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 

 [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 

 [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55)

[[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56)

[[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57)

[[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58)

[[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60)

 [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 

 [[EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet](ec2-controls.md#ec2-172) 

 [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 

 [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 

 [[EC2.182] Os snapshots do Amazon EBS não devem estar acessíveis ao público](ec2-controls.md#ec2-182) 

 [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 

 [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 

 [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 

 [[ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário](ecs-controls.md#ecs-1) 

 [[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente](ecs-controls.md#ecs-2) 

 [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 

 [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 

 [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 

 [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 

 [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 

 [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 

 [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 

 [[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16) 

 [[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS](ecs-controls.md#ecs-18) 

 [[ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada](ecs-controls.md#ecs-19) 

 [[ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux](ecs-controls.md#ecs-20) 

 [[ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows](ecs-controls.md#ecs-21) 

 [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 

 [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 

 [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 

 [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 

 [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 

 [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 

 [[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público](eks-controls.md#eks-1) 

 [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 

 [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 

 [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 

 [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS](elb-controls.md#elb-1) 

 [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 

 [Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS](elb-controls.md#elb-3) 

 [[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos](elb-controls.md#elb-4) 

 [[ELB.5] O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado](elb-controls.md#elb-5) 

 [[ELB.6] A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada](elb-controls.md#elb-6) 

 [[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada](elb-controls.md#elb-7) 

 [[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado](elb-controls.md#elb-9) 

 [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 

 [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 

 [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 

 [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 

 [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 

 [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 

 [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 

 [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 

 [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 

 [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 

 [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 

 [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 

 [[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.](es-controls.md#es-1) 

 [[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2) 

 [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3) 

 [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 

 [[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado](es-controls.md#es-5) 

 [[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados](es-controls.md#es-6) 

 [[ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados](es-controls.md#es-7) 

 [[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente](es-controls.md#es-8) 

 [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 

 [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 

 [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 

 [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 

 [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 

 [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 

 [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 

 [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 

 [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 

 [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 

 [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 

 [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 

 [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 

 [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 

 [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 

 [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 

 [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 

 [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 

 [[KMS.3] não AWS KMS keys deve ser excluído acidentalmente](kms-controls.md#kms-3) 

 [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 

 [[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1) 

 [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) 

 [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 

 [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 

 [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 

 [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada](mq-controls.md#mq-3) 

 [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 

 [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 

 [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 

 [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 

 [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 

 [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 

 [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 

 [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 

 [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 

 [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 

 [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 

 [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 

 [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 

 [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 

 [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 

 [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 

 [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 

 [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 

 [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 

 [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 

 [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 

 [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 

 [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 

 [[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3) 

 [[RDS.4] Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso](rds-controls.md#rds-4) 

 [[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade](rds-controls.md#rds-5) 

 [[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS](rds-controls.md#rds-6) 

 [[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada](rds-controls.md#rds-7) 

 [[RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada](rds-controls.md#rds-8) 

 [[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch](rds-controls.md#rds-9) 

 [[RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS](rds-controls.md#rds-10) 

 [[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados](rds-controls.md#rds-11) 

 [[RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS](rds-controls.md#rds-12) 

 [[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13) 

 [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 

 [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15) 

 [[RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados](rds-controls.md#rds-16) 

 [[RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots](rds-controls.md#rds-17) 

 [[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster](rds-controls.md#rds-19) 

 [[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados](rds-controls.md#rds-20) 

 [[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados](rds-controls.md#rds-21) 

 [[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados](rds-controls.md#rds-22) 

 [[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados](rds-controls.md#rds-23) 

 [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 

 [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 

 [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 

 [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 

 [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 

 [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 

 [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 

 [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 

 [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 

 [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 

 [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 

 [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 

 [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 

 [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1) 

 [[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito](redshift-controls.md#redshift-2) 

 [[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados](redshift-controls.md#redshift-3) 

 [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4) 

 [[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas](redshift-controls.md#redshift-6) 

 [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7) 

 [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 

 [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 

 [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 

 [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1) 

 [[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura](s3-controls.md#s3-2) 

 [[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação](s3-controls.md#s3-3) 

 [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5) 

 [[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS](s3-controls.md#s3-6) 

 [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8) 

 [[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado](s3-controls.md#s3-9) 

 [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 

 [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 

 [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 

 [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 

 [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 

 [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] Remover segredos não utilizados do Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 

 [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 

 [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 

 [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 

 [[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 

 [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 

 [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 

 [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 

 [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 

 [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 

 [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 

 [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 

 [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 

 [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 

 [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 

 [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 

 [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

# AWS Padrão de marcação de recursos no Security Hub CSPM
<a name="standards-tagging"></a>

O padrão AWS Resource Tagging, desenvolvido pelo AWS Security Hub CSPM, ajuda você a determinar se seus AWS recursos não têm tags. As *tags* são pares de valores-chave que atuam como metadados para organizar recursos. AWS Com a maioria dos recursos da AWS , você tem a opção de adicionar tags quando cria o recurso ou após a sua criação. Exemplos de recursos incluem CloudFront distribuições da Amazon, instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e segredos em. AWS Secrets Manager As tags podem ajudar você a gerenciar, identificar, organizar, pesquisar e filtrar AWS recursos.

Cada tag da tem duas partes:
+ Uma chave de tag (por exemplo, `CostCenter`, `Environment` ou `Project`). As chaves de tag diferenciam maiúsculas de minúsculas
+ Um valor de tag (por exemplo, `111122223333` ou `Production`). Assim como as chaves de tag, os valores de tag diferenciam maiúsculas de minúsculas.

É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Para obter informações sobre como adicionar tags aos AWS recursos, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

Para cada controle que se aplica ao padrão AWS Resource Tagging no Security Hub CSPM, você pode, opcionalmente, usar o parâmetro suportado para especificar as chaves de tag que você deseja que o controle verifique. Se você não especificar nenhuma chave de tag, o controle verificará somente a existência de pelo menos uma chave de tag e falhará se um recurso não tiver nenhuma chave de tag.

Antes de ativar o padrão AWS de marcação de recursos, é importante ativar e configurar a gravação de recursos no AWS Config. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de AWS recursos que são verificados pelos controles que se aplicam ao padrão. Caso contrário, o CSPM do Security Hub pode não ser capaz de avaliar os recursos adequados e gerar descobertas precisas para os controles que se apliquem ao padrão. Para obter mais informações, incluindo uma lista dos tipos de recursos a serem registrados, consulte [ AWS Config Recursos necessários para descobertas de controle](controls-config-resources.md).

Depois de habilitar o padrão AWS Resource Tagging, você começa a receber descobertas de controles que se aplicam ao padrão. Observe que pode levar até 18 horas para que o Security Hub CSPM gere descobertas para controles que usam a mesma regra AWS Config vinculada ao serviço que os controles que se aplicam a outros padrões habilitados. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).

O padrão AWS Resource Tagging tem o seguinte nome de recurso da Amazon (ARN)`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`:, *region* onde está o código da região aplicável. Região da AWS Você também pode usar a [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)operação da API CSPM do Security Hub para recuperar o ARN de um padrão atualmente habilitado.

**nota**  
O [padrão Marcação de Recursos da AWS](#standards-tagging) não está disponível nas regiões Ásia-Pacífico (Nova Zelândia) e Ásia-Pacífico (Taipei).

## Controles que se aplicam ao padrão
<a name="tagging-standard-controls"></a>

A lista a seguir especifica quais controles CSPM do AWS Security Hub se aplicam ao padrão AWS Resource Tagging (v1.0.0). Para revisar os detalhes de um controle, escolha o controle.
+ [[ACM.3] Os certificados do ACM devem ser marcados](acm-controls.md#acm-3)
+ [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1)
+ [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2)
+ [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado](appsync-controls.md#appsync-4)
+ [[Athena.2] Os catálogos de dados do Athena devem ser marcados](athena-controls.md#athena-2)
+ [[Athena.3] Os grupos de trabalho do Athena devem ser marcados](athena-controls.md#athena-3)
+ [[AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] os pontos de AWS Backup recuperação devem ser marcados](backup-controls.md#backup-2)
+ [[Backup.3] os AWS Backup cofres devem ser marcados](backup-controls.md#backup-3)
+ [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4)
+ [[Backup.5] os planos de AWS Backup backup devem ser marcados](backup-controls.md#backup-5)
+ [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1)
+ [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2)
+ [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3)
+ [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4)
+ [[CloudFormation.2] as CloudFormation pilhas devem ser marcadas](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] CloudTrail trilhas devem ser marcadas](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2)
+ [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1)
+ [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2)
+ [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3)
+ [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4)
+ [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5)
+ [[DynamoB.5] As tabelas do DynamoDB devem ser marcadas](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] Os anexos do gateway de trânsito do EC2 devem ser marcados](ec2-controls.md#ec2-33)
+ [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34)
+ [[EC2.35] As interfaces de rede do EC2 devem ser marcadas](ec2-controls.md#ec2-35)
+ [[EC2.36] Os gateways dos clientes do EC2 devem ser marcados](ec2-controls.md#ec2-36)
+ [[EC2.37] Os endereços IP elásticos do EC2 devem ser marcados](ec2-controls.md#ec2-37)
+ [[EC2.38] As instâncias do EC2 devem ser marcadas](ec2-controls.md#ec2-38)
+ [[EC2.39] Os gateways da Internet do EC2 devem ser marcados](ec2-controls.md#ec2-39)
+ [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40)
+ [[EC2.41] A rede ACLs EC2 deve ser marcada](ec2-controls.md#ec2-41)
+ [[EC2.42] As tabelas de rotas do EC2 devem ser marcadas](ec2-controls.md#ec2-42)
+ [[EC2.43] Os grupos de segurança do EC2 devem ser marcados](ec2-controls.md#ec2-43)
+ [[EC2.44] As sub-redes do EC2 devem ser marcadas](ec2-controls.md#ec2-44)
+ [[EC2.45] Os volumes do EC2 devem ser marcados](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs deve ser etiquetada](ec2-controls.md#ec2-46)
+ [[EC2.47] Os serviços de endpoint da Amazon VPC devem ser marcados](ec2-controls.md#ec2-47)
+ [[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados](ec2-controls.md#ec2-48)
+ [[EC2.49] As conexões de emparelhamento da Amazon VPC devem ser marcadas](ec2-controls.md#ec2-49)
+ [[EC2.50] Os gateways de VPN do EC2 devem ser marcados](ec2-controls.md#ec2-50)
+ [[EC2.52] Os gateways de trânsito do EC2 devem ser marcados](ec2-controls.md#ec2-52)
+ [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174)
+ [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175)
+ [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176)
+ [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177)
+ [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178)
+ [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179)
+ [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4)
+ [[ECS.13] Os serviços do ECS devem ser marcados](ecs-controls.md#ecs-13)
+ [[ECS.14] Os clusters do ECS devem ser marcados](ecs-controls.md#ecs-14)
+ [[ECS.15] As definições de tarefas do ECS devem ser marcadas](ecs-controls.md#ecs-15)
+ [[EFS.5] Os pontos de acesso do EFS devem ser marcados](efs-controls.md#efs-5)
+ [[EKS.6] Os clusters do EKS devem ser marcados](eks-controls.md#eks-6)
+ [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7)
+ [[ES.9] Os domínios do Elasticsearch devem ser marcados](es-controls.md#es-9)
+ [[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1)
+ [Os AWS Glue trabalhos [Glue.1] devem ser marcados](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets deve ser marcado](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] os GuardDuty detectores devem ser marcados](guardduty-controls.md#guardduty-4)
+ [[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados](iam-controls.md#iam-23)
+ [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24)
+ [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25)
+ [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1)
+ [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2)
+ [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3)
+ [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4)
+ [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5)
+ [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1)
+ [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2)
+ [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Os fluxos do Kinesis devem ser marcados](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] As funções do Lambda devem ser marcadas](lambda-controls.md#lambda-6)
+ [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas](networkfirewall-controls.md#networkfirewall-8)
+ [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9)
+ [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2)
+ [[RDS.28] Os clusters de bancos de dados do RDS devem ser marcados](rds-controls.md#rds-28)
+ [[RDS.29] Os snapshots de cluster de bancos de dados do RDS devem ser marcados](rds-controls.md#rds-29)
+ [[RDS.30] As instâncias de bancos de dados do RDS devem ser marcadas](rds-controls.md#rds-30)
+ [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31)
+ [[RDS.32] Os snapshots de banco de dados do RDS devem ser marcados](rds-controls.md#rds-32)
+ [[RDS.33] Os grupos de sub-redes de banco de dados do RDS devem ser marcados](rds-controls.md#rds-33)
+ [[Redshift.11] Os clusters do Redshift devem ser marcados](redshift-controls.md#redshift-11)
+ [[Redshift.12] As notificações de assinatura de notificações eventos do Redshift devem ser marcadas](redshift-controls.md#redshift-12)
+ [[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-13)
+ [[Redshift.14] Os grupos de sub-redes de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-14)
+ [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17)
+ [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1)
+ [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1)
+ [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2)
+ [[SNS.3] Os tópicos do SNS devem ser marcados](sns-controls.md#sns-3)
+ [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2)
+ [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] As atividades do Step Functions devem ser marcadas](stepfunctions-controls.md#stepfunctions-2)
+ [Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados](transfer-controls.md#transfer-1)
+ [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4)
+ [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5)
+ [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6)
+ [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7)

# Referência do CIS AWS Foundations no Security Hub CSPM
<a name="cis-aws-foundations-benchmark"></a>

O Center for Internet Security (CIS) AWS Foundations Benchmark serve como um conjunto de melhores práticas de configuração de segurança para. AWS Essas melhores práticas aceitas pelo setor fornecem procedimentos claros de step-by-step implementação e avaliação. Variando de sistemas operacionais a serviços em nuvem e dispositivos de rede, os controles neste benchmark protegem os sistemas específicos que sua organização usa. 

AWS O Security Hub CSPM oferece suporte às versões 5.0.0, 3.0.0, 1.4.0 e 1.2.0 do CIS AWS Foundations Benchmark. Esta página lista os controles de segurança com suporte em cada versão. Ela também fornece uma comparação das versões.

## CIS AWS Foundations Benchmark versão 5.0.0
<a name="cis5v0-standard"></a>

O Security Hub CSPM suporta a versão 5.0.0 (v5.0.0) do CIS Foundations Benchmark. AWS O CSPM do Security Hub satisfez os requisitos de segurança da CIS Software Certification e recebeu a CIS Security Software Certification para as referências do CIS a seguir: 
+ Benchmark CIS para CIS AWS Foundations Benchmark, v5.0.0, Nível 1
+ Benchmark CIS para CIS AWS Foundations Benchmark, v5.0.0, Nível 2

### Controles que se aplicam ao CIS AWS Foundations Benchmark versão 5.0.0
<a name="cis5v0-controls"></a>

[[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)

[[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)

[[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)

[[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7)

[[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)

[[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53)

[[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54)

[[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1)

[[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8)

[[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)

[[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)

[[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)

[[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)

[[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)

[[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)

[1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)

[1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)

[[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)

[[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26)

[[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28)

[A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)

[[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3)

[[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade](rds-controls.md#rds-5)

[[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13)

[[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15)

[[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)

[[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)

[[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)

[[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20)

[[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22)

[[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark versão 3.0.0
<a name="cis3v0-standard"></a>

O Security Hub CSPM suporta a versão 3.0.0 (v3.0.0) do CIS Foundations Benchmark. AWS O CSPM do Security Hub satisfez os requisitos de segurança da CIS Software Certification e recebeu a CIS Security Software Certification para as referências do CIS a seguir: 
+ Benchmark CIS para CIS AWS Foundations Benchmark, v3.0.0, Nível 1
+ Benchmark CIS para CIS AWS Foundations Benchmark, v3.0.0, Nível 2

### Controles que se aplicam ao CIS AWS Foundations Benchmark versão 3.0.0
<a name="cis3v0-controls"></a>

[[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)

[[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)

[[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)

[[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7)

[[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)

[[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53)

[[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54)

[[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1)

[[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)

[[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)

[[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)

[[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)

[[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)

[[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)

[1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)

[1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)

[[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)

[[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26)

[[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28)

[A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)

[[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3)

[[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13)

[[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)

[[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)

[[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)

[[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20)

[[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22)

[[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark versão 1.4.0
<a name="cis1v4-standard"></a>

O Security Hub CSPM é compatível com a versão 1.4.0 (v1.4.0) do CIS Foundations Benchmark. AWS 

### Controles que se aplicam ao CIS AWS Foundations Benchmark versão 1.4.0
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) 

 [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2) 

 [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7) 

 [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 

 [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 

 [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 

 [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 

 [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 

 [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 

 [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 

 [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 

 [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 

 [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 

 [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 

 [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4) 

 [[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3) 

 [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1) 

 [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5) 

 [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8) 

 [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 

## CIS AWS Foundations Benchmark versão 1.2.0
<a name="cis1v2-standard"></a>

O Security Hub CSPM suporta a versão 1.2.0 (v1.2.0) do CIS Foundations Benchmark. AWS O CSPM do Security Hub satisfez os requisitos de segurança da CIS Software Certification e recebeu a CIS Security Software Certification para as referências do CIS a seguir: 
+ Benchmark CIS para CIS AWS Foundations Benchmark, v1.2.0, Nível 1
+ Benchmark CIS para CIS AWS Foundations Benchmark, v1.2.0, Nível 2

### Controles que se aplicam ao CIS AWS Foundations Benchmark versão 1.2.0
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) 

 [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2) 

 [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13) 

 [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 

 [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 

 [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 

 [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 

 [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 

 [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 

 [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 

 [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 

 [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 

 [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 

 [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 

 [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 

 [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 

 [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 

 [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 

 [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 

 [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 

 [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4) 

## Comparação de versões para o CIS AWS Foundations Benchmark
<a name="cis1.4-vs-cis1.2"></a>

Esta seção resume as diferenças entre as versões específicas do benchmark Center for Internet Security (CIS) AWS Foundations — v5.0.0, v3.0.0, v1.4.0 e v1.2.0. AWS O Security Hub CSPM suporta cada uma dessas versões do CIS AWS Foundations Benchmark. Contudo, recomendamos que você use a v5.0.0 para se manter atualizado sobre as práticas recomendadas de segurança. Você pode ter várias versões dos padrões do CIS AWS Foundations Benchmark habilitadas ao mesmo tempo. Para obter informações sobre a habilitação de padrões, consulte [Habilitar um padrão de segurança](enable-standards.md). Se você quiser atualizar para a v5.0.0, habilite-a antes de desabilitar a versão mais antiga. Isso evitará lacunas em suas verificações de segurança. [Se você usa a integração CSPM do Security Hub AWS Organizations e deseja habilitar em lote a v5.0.0 em várias contas, recomendamos usar a configuração central.](central-configuration-intro.md)

### Mapeamento de controles para os requisitos do CIS em cada versão
<a name="cis-version-comparison"></a>

Entenda quais controles cada versão do CIS AWS Foundations Benchmark suporta.


| Título e ID do controle | Requisito CIS v5.0.0 | Necessidade do CIS v3.0.0 | Necessidade do CIS v1.4.0 | Necessidade do CIS v1.2.0 | 
| --- | --- | --- | --- | --- | 
|  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1,18  | 
|  [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  3.7  |  2.7  | 
|  [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  3.4  |  2.4  | 
|  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  3.3  |  2.3  | 
|  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.3  |  3.3  | 
|  [[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas](cloudwatch-controls.md#cloudwatch-2)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  3.1  | 
|  [[CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA](cloudwatch-controls.md#cloudwatch-3)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  3.2  | 
|  [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.4  |  3.4  | 
|  [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.5  |  3.5  | 
|  [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.6  |  3.6  | 
|  [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.7  |  3.7  | 
|  [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.8  |  3.8  | 
|  [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4,9  |  3.9  | 
|  [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.10  |  3.10  | 
|  [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.11  |  3.11  | 
|  [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.12  |  3.12  | 
|  [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.13  |  3.13  | 
|  [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  4.14  |  3.14  | 
|  [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2,5  | 
|  [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2.9  | 
|  [[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  Não compatível  | 
|  [[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8)  |  5.7  |  5.6  |  Sem compatibilidade  |  Sem compatibilidade  | 
|  [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13)  |  Sem suporte: substituído pelos requisitos 5.3 e 5.4  |  Não compatível: substituído pelos requisitos 5.2 e 5.3  |  Não compatível: substituído pelos requisitos 5.2 e 5.3  |  4.1  | 
|  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14)  |  Sem suporte: substituído pelos requisitos 5.3 e 5.4  |  Não compatível: substituído pelos requisitos 5.2 e 5.3  |  Não compatível: substituído pelos requisitos 5.2 e 5.3  |  4.2  | 
|  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  Não compatível  | 
|  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  Sem compatibilidade  |  Sem compatibilidade  | 
|  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  Sem compatibilidade  |  Sem compatibilidade  | 
|  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  Sem compatibilidade  |  Sem compatibilidade  | 
|  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8)  |  2.3.1  |  Sem compatibilidade  |  Sem compatibilidade  |  Sem compatibilidade  | 
|  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1)  |  Sem compatibilidade   |  Sem compatibilidade   |  1.16  |  1,22  | 
|  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)  |  1.14  |  1.15  |  Não compatível  |  1.16  | 
|  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)  |  1.5  |  1,6  |  1.6  |  1.14  | 
|  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)  |  Não compatível: veja [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) em vez disso  |  Não compatível: veja [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) em vez disso  |  Não compatível: veja [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) em vez disso  |  1.3  | 
|  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  1.5  | 
|  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  1.6  | 
|  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  1,7  | 
|  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  1.8  | 
|  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)  |  1,7  |  1.8  |  1.8  |  1.9  | 
|  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  1.11  | 
|  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)  |  1.16  |  1.17  |  1.17  |  1.2  | 
|  [[IAM.20] Evite o uso do usuário raiz](iam-controls.md#iam-20)  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  Não compatível: o CIS removeu esse requisito  |  1.1  | 
|  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26)  |  1,18  |  1,19  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27)  |  1,21  |  1,22  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28)  |  1,19  |  1,20  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1)  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  Não compatível: verificação manual  |  Não compatível: verificação manual  | 
|  [[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade](rds-controls.md#rds-5)  |  2.2.4  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15)  |  2.2.4  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 
|  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  Não compatível: o CIS adicionou esse requisito em versões posteriores  | 

### ARNs para benchmarks do CIS AWS Foundations
<a name="cisv1.4.0-finding-fields"></a>

Ao habilitar uma ou mais versões do CIS AWS Foundations Benchmark, você começa a receber descobertas no AWS Security Finding Format (ASFF). No ASFF, cada versão usa o seguinte nome do recurso da Amazon (ARN):

**Referência do CIS AWS Foundations v5.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**Referência do CIS AWS Foundations v3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**Referência do CIS AWS Foundations v1.4.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**Referência do CIS AWS Foundations v1.2.0**  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

É possível usar a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) da API do CSPM do Security Hub para encontrar o ARN de um padrão habilitado.

Os valores anteriores são para o `StandardsArn`. Porém, o `StandardsSubscriptionArn` refere-se ao recurso de assinatura padrão que o CSPM do Security Hub cria quando você assina um padrão chamando [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html) em uma região.

**nota**  
Quando você habilita uma versão do CIS AWS Foundations Benchmark, pode levar até 18 horas para que o Security Hub CSPM gere descobertas para controles que usam a mesma regra AWS Config vinculada ao serviço dos controles habilitados em outros padrões habilitados. Para obter mais informações sobre o cronograma de geração de descobertas de controles, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).

Os campos de descoberta serão diferentes se você ativar as descobertas de controles consolidadas. Para obter informações sobre essas diferenças, consulte [Impacto da consolidação nos campos e valores do ASFF](asff-changes-consolidation.md). Para obter exemplos de descobertas de controles, consulte [Exemplos de descobertas de controles](sample-control-findings.md).

### Requisitos do CIS sem suporte no CSPM do Security Hub
<a name="securityhub-standards-cis-checks-not-supported"></a>

Conforme observado na tabela anterior, o CSPM do Security Hub não suporta todos os requisitos de CIS em todas as versões do CIS Foundations Benchmark. AWS Muitos dos requisitos sem suporte só podem ser avaliados com a análise manual do estado dos seus recursos da AWS .

# NIST SP 800-53 Revisão 5 no CSPM do Security Hub
<a name="standards-reference-nist-800-53"></a>

O NIST Special Publication 800-53 Revisão 5 (NIST SP 800-53 Rev. 5) é uma estrutura de segurança cibernética e conformidade desenvolvida pelo National Institute of Standards and Technology (NIST), uma agência que faz parte do Departamento de Comércio dos EUA. Essa estrutura de conformidade fornece um catálogo de requisitos de segurança e privacidade para proteger a confidencialidade, a integridade e a disponibilidade dos sistemas de informações e de recursos essenciais. Agências e prestadores de serviços do governo federal dos EUA devem cumprir esses requisitos para proteger seus sistemas e organizações. As organizações privadas também podem usar voluntariamente os requisitos como uma estrutura orientadora para reduzir os riscos de segurança cibernética. Para obter mais informações sobre a estrutura e seus requisitos, consulte [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) no *Centro de Recursos de Segurança da Informática do NIST*.

AWS O Security Hub CSPM fornece controles de segurança que suportam um subconjunto dos requisitos do NIST SP 800-53 Revisão 5. Os controles realizam verificações de segurança automatizadas para determinados Serviços da AWS recursos. Para habilitar e gerenciar esses controles, é possível habilitar a estrutura do NIST SP 800-53 Revisão 5 como padrão no CSPM do Security Hub. Observe que os controles não oferecem suporte aos requisitos do NIST SP 800-53 Revisão 5 que exigem verificações manuais.

Ao contrário de outras estruturas, a estrutura do NIST SP 800-53 Revisão 5 não é prescritiva sobre como seus requisitos devem ser avaliados. Em vez disso, a estrutura fornece diretrizes. NO CSPM do Security Hub, o padrão e os controles do NIST SP 800-53 Revisão 5 representam a compreensão do serviço sobre essas diretrizes.

**Topics**
+ [Configuração do registro de recursos para o padrão](#standards-reference-nist-800-53-recording)
+ [Determinação de quais controles se aplicam ao padrão](#standards-reference-nist-800-53-controls)

## Configuração do registro de recursos para controles que se aplicam ao padrão
<a name="standards-reference-nist-800-53-recording"></a>

Para otimizar a cobertura e a precisão das descobertas, é importante ativar e configurar o registro de recursos AWS Config antes de ativar o padrão NIST SP 800-53 Revisão 5 no AWS Security Hub CSPM. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de AWS recursos que são verificados pelos controles que se aplicam ao padrão. Isso é principalmente para controles que tenham um tipo de programação *acionada por alteração*. Contudo, alguns controles com um tipo de programação *periódica* também exigem o registro de recursos. Se o registro de recursos não estiver habilitado ou configurado corretamente, o CSPM do Security Hub talvez pode não ser capaz de avaliar os recursos apropriados e gerar descobertas precisas para os controles que se aplicam ao padrão.

Para obter informações sobre como o Security Hub CSPM usa a gravação de recursos em AWS Config, consulte. [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md) Para obter informações sobre como configurar a gravação de recursos em AWS Config, consulte Como [trabalhar com o gravador de configuração](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) no Guia do *AWS Config desenvolvedor*.

A tabela a seguir especifica os tipos de recursos a serem registrados para controles que se aplicam ao padrão NIST SP 800-53 Revisão 5 no CSPM do Security Hub.


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Serviço Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  banco de dados de origem  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|   SageMaker IA da Amazon  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Determinação de quais controles se aplicam ao padrão
<a name="standards-reference-nist-800-53-controls"></a>

A lista a seguir especifica os controles que suportam os requisitos do NIST SP 800-53 Revisão 5 e se aplicam ao padrão NIST SP 800-53 Revisão 5 no Security Hub CSPM. AWS Para obter detalhes sobre os requisitos específicos com suporte em um controle, escolha o controle. Em seguida, consulte o campo **Requisitos relacionados** nos detalhes do controle. Esse campo especifica cada requisito do NIST com suporte no controle. Se o campo não especificar um requisito específico do NIST, o controle não oferecerá suporte ao requisito.
+ [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)
+ [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1)
+ [[APIGateway.1] O REST do API Gateway e o registro de execução WebSocket da API devem estar habilitados](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas](dms-controls.md#dms-1) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente](ec2-controls.md#ec2-1) 
+  [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2) 
+  [[EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso.](ec2-controls.md#ec2-3) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7) 
+  [[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] As instâncias do Amazon EC2 não devem ter um endereço público IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.12] O Amazon EC2 não utilizado deve ser removido EIPs](ec2-controls.md#ec2-12) 
+  [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13) 
+  [As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos](ec2-controls.md#ec2-15) 
+  [[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas](ec2-controls.md#ec2-16) 
+  [[EC2.17] As instâncias do Amazon EC2 não devem usar várias ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas](ec2-controls.md#ec2-18) 
+  [[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco](ec2-controls.md#ec2-19) 
+  [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário](ecs-controls.md#ecs-1) 
+  [[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente](ecs-controls.md#ecs-2) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público](eks-controls.md#eks-1) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS](elb-controls.md#elb-1) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS](elb-controls.md#elb-3) 
+  [[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos](elb-controls.md#elb-4) 
+  [[ELB.5] O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado](elb-controls.md#elb-5) 
+  [[ELB.6] A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada](elb-controls.md#elb-6) 
+  [[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada](elb-controls.md#elb-7) 
+  [[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config](elb-controls.md#elb-8) 
+  [[ELB.9] Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado](elb-controls.md#elb-9) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma ACL da web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.](es-controls.md#es-1) 
+  [[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2) 
+  [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado](es-controls.md#es-5) 
+  [[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados](es-controls.md#es-6) 
+  [[ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados](es-controls.md#es-7) 
+  [[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente](es-controls.md#es-8) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.3] não AWS KMS keys deve ser excluído acidentalmente](kms-controls.md#kms-3) 
+  [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4) 
+  [[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1) 
+  [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) 
+  [[Lambda.3] As funções do Lambda devem estar em uma VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada](mq-controls.md#mq-3) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3) 
+  [[RDS.4] Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso](rds-controls.md#rds-4) 
+  [[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade](rds-controls.md#rds-5) 
+  [[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS](rds-controls.md#rds-6) 
+  [[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada](rds-controls.md#rds-7) 
+  [[RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada](rds-controls.md#rds-8) 
+  [[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch](rds-controls.md#rds-9)
+  [[RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS](rds-controls.md#rds-10) 
+  [[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados](rds-controls.md#rds-11) 
+  [[RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS](rds-controls.md#rds-12) 
+  [[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15) 
+  [[RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados](rds-controls.md#rds-16) 
+  [[RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots](rds-controls.md#rds-17) 
+  [[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster](rds-controls.md#rds-19) 
+  [[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados](rds-controls.md#rds-20) 
+  [[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados](rds-controls.md#rds-21) 
+  [[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados](rds-controls.md#rds-22) 
+  [[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados](rds-controls.md#rds-23) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1) 
+  [[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4) 
+  [[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1) 
+  [[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura](s3-controls.md#s3-2) 
+  [[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação](s3-controls.md#s3-3) 
+  [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5) 
+  [[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS](s3-controls.md#s3-6) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8) 
+  [[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado](s3-controls.md#s3-9) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado](s3-controls.md#s3-14) 
+  [[S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado](s3-controls.md#s3-15) 
+  [[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Remover segredos não utilizados do Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS](sns-controls.md#sns-1) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 
+  [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WAF.11] O registro de ACL AWS WAF da web deve estar ativado](waf-controls.md#waf-11) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 

# NIST SP 800-171 Revisão 2 no CSPM do Security Hub
<a name="standards-reference-nist-800-171"></a>

O NIST Special Publication 800-171 Revisão 2 (NIST SP 800-171 Rev. 2) é uma estrutura de segurança cibernética e conformidade desenvolvida pelo National Institute of Standards and Technology (NIST), uma agência que faz parte do Departamento de Comércio dos EUA. Essa estrutura de conformidade fornece os requisitos de segurança recomendados para proteger a confidencialidade de informações não classificadas controladas em sistemas e organizações que não fazem parte do governo federal dos EUA. *Informações não classificadas controladas*, também conhecidas como *CUI*, são informações sensíveis que não atendem aos critérios governamentais de classificação, mas devem ser protegidas. São informações que são consideradas sensíveis e são criadas ou possuídas pelo governo federal dos EUA ou por outras entidades em nome do governo federal dos EUA.

O NIST SP 800-171 Rev. 2 fornece os requisitos de segurança recomendados para proteger a confidencialidade da CUI quando:
+ As informações residem em sistemas e organizações não federais,
+ A organização não federal não está coletando ou mantendo informações em nome de uma agência federal ou usando ou operando um sistema em nome de uma agência, e 
+ Não há requisitos de proteção específicos para proteger a confidencialidade da CUI prescritos pela lei, regulamentação ou política governamental autorizadora para a categoria de CUI listada no Registro de CUI. 

Os requisitos se aplicam a todos os componentes de sistemas e organizações não federais que processam, armazenam ou transmitem CUI ou fornecem proteção de segurança para os componentes. Para obter mais informações sobre o [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final), consulte o *Centro de Recursos de Segurança da Informática do NIS*.

AWS O Security Hub CSPM fornece controles de segurança que suportam um subconjunto dos requisitos do NIST SP 800-171 Revisão 2. Os controles realizam verificações de segurança automatizadas para determinados Serviços da AWS recursos. Para habilitar e gerenciar esses controles, é possível habilitar a estrutura do NIST SP 800-171 Revisão 2 como padrão no CSPM do Security Hub. Observe que os controles não oferecem suporte aos requisitos do NIST SP 800-171 Revisão 2 que exigem verificações manuais.

**Topics**
+ [Configuração do registro de recursos para o padrão](#standards-reference-nist-800-171-recording)
+ [Determinação de quais controles se aplicam ao padrão](#standards-reference-nist-800-171-controls)

## Configuração do registro de recursos para controles que se aplicam ao padrão
<a name="standards-reference-nist-800-171-recording"></a>

Para otimizar a cobertura e a precisão das descobertas, é importante habilitar e configurar o registro de recursos AWS Config antes de habilitar o padrão NIST SP 800-171 Revisão 2 no Security Hub AWS CSPM. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de AWS recursos que são verificados pelos controles que se aplicam ao padrão. Caso contrário, o CSPM do Security Hub pode não ser capaz de avaliar os recursos adequados e gerar descobertas precisas para os controles que se apliquem ao padrão.

Para obter informações sobre como o Security Hub CSPM usa a gravação de recursos em AWS Config, consulte. [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md) Para obter informações sobre como configurar a gravação de recursos em AWS Config, consulte Como [trabalhar com o gravador de configuração](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) no Guia do *AWS Config desenvolvedor*.

A tabela a seguir especifica os tipos de recursos a serem registrados para controles que se aplicam ao padrão NIST SP 800-171 Revisão 2 no CSPM do Security Hub.


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Determinação de quais controles se aplicam ao padrão
<a name="standards-reference-nist-800-171-controls"></a>

A lista a seguir especifica os controles que suportam os requisitos do NIST SP 800-171 Revisão 2 e se aplicam ao padrão NIST SP 800-171 Revisão 2 no Security Hub CSPM. AWS Para obter detalhes sobre os requisitos específicos com suporte em um controle, escolha o controle. Em seguida, consulte o campo **Requisitos relacionados** nos detalhes do controle. Esse campo especifica cada requisito do NIST com suporte no controle. Se o campo não especificar um requisito específico do NIST, o controle não oferecerá suporte ao requisito.
+ [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1)
+ [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13)
+ [[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas](ec2-controls.md#ec2-16)
+ [[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas](ec2-controls.md#ec2-18)
+ [[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco](ec2-controls.md#ec2-19)
+ [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20)
+ [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51)
+ [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2)
+ [Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS](elb-controls.md#elb-3)
+ [[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1)
+ [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1)
+ [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)
+ [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7)
+ [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)
+ [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10)
+ [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11)
+ [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12)
+ [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13)
+ [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14)
+ [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)
+ [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)
+ [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19)
+ [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21)
+ [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)
+ [[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS](s3-controls.md#s3-6)
+ [[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado](s3-controls.md#s3-9)
+ [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11)
+ [[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado](s3-controls.md#s3-14)
+ [[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS](sns-controls.md#sns-1)
+ [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2)
+ [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12)

# PCI DSS no CSPM do Security Hub
<a name="pci-standard"></a>

O Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) é uma estrutura de conformidade de terceiro que fornece um conjunto de regras e diretrizes para o tratamento seguro de informações de cartões de crédito e débito. O Conselho de Normas de Segurança (SSC) da PCI cria e atualiza essa estrutura.

AWS O Security Hub CSPM fornece um padrão PCI DSS que pode ajudá-lo a manter a conformidade com essa estrutura de terceiros. É possível usar esse padrão para descobrir vulnerabilidades de segurança em recursos da AWS que lidam com dados de titulares de cartões. Recomendamos habilitar esse padrão na Contas da AWS que tenha os recursos que armazenem, processem ou transmitam dados do titular do cartão ou dados sensíveis de autenticação. As avaliações do PCI SSC validaram esse padrão.

O CSPM do Security Hub oferece suporte para PCI DSS v3.2.1 e PCI DSS v4.0.1. Sugerimos o uso da v4.0.1 para se manter atualizado sobre as práticas recomendadas de segurança. É possível ter várias versões do padrão habilitadas ao mesmo tempo. Para obter informações sobre a habilitação de padrões, consulte [Habilitar um padrão de segurança](enable-standards.md). Se você usa atualmente a v3.2.1, mas deseja usar somente a v4.0.1, habilite a versão mais recente antes de desabilitar a versão mais antiga. Isso evitará lacunas em suas verificações de segurança. Se você usa a integração CSPM do Security Hub com AWS Organizations e deseja habilitar em lote a v4.0.1 em várias contas, recomendamos usar a [configuração central](central-configuration-intro.md) para fazer isso.

As seções a seguir especificam quais controles se aplicam ao PCI DSS v3.2.1 e ao PCI DSS v4.0.1.

## Controles que se aplicam ao PCI DSS v3.2.1
<a name="pci-controls"></a>

A lista a seguir especifica quais controles do CSPM do Security Hub se aplicam ao PCI DSS v3.2.1. Para revisar os detalhes de um controle, escolha o controle.

 [[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada](cloudtrail-controls.md#cloudtrail-3) 

 [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 

 [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) 

 [[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas](dms-controls.md#dms-1) 

 [[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente](ec2-controls.md#ec2-1) 

 [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2) 

 [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.12] O Amazon EC2 não utilizado deve ser removido EIPs](ec2-controls.md#ec2-12) 

 [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13) 

 [[ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS](elb-controls.md#elb-1) 

 [[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.](es-controls.md#es-1) 

 [[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 

 [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 

 [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 

 [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 

 [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 

 [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 

 [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 

 [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 

 [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 

 [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4) 

 [[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1) 

 [[Lambda.3] As funções do Lambda devem estar em uma VPC](lambda-controls.md#lambda-3) 

 [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 

 [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 

 [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 

 [[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2) 

 [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1) 

 [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1) 

 [[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura](s3-controls.md#s3-2) 

 [[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação](s3-controls.md#s3-3) 

 [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5) 

 [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 

 [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 

 [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 

## Controles que se aplicam ao PCI DSS v4.0.1
<a name="pci4-controls"></a>

A lista a seguir especifica quais controles do CSPM do Security Hub se aplicam ao PCI DSS v4.0.1. Para revisar os detalhes de um controle, escolha o controle.

[[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1)

[[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2)

[[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2)

[[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3)

[[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos](autoscaling-controls.md#autoscaling-5)

[[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada](cloudtrail-controls.md#cloudtrail-3)

[[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3)

[[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas](dms-controls.md#dms-1)

[[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10)

[[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11)

[[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12)

[[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6)

[[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7)

[[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8)

[[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9)

[[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2)

[[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3)

[[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7)

[[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13)

[[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14)

[As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos](ec2-controls.md#ec2-15)

[[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas](ec2-controls.md#ec2-16)

[[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170)

[[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171)

[[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)

[[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25)

[[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51)

[[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53)

[[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54)

[[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8)

[[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1)

[[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10)

[[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16)

[[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente](ecs-controls.md#ecs-2)

[[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8)

[[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4)

[[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público](eks-controls.md#eks-1)

[[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2)

[[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3)

[[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8)

[[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12)

[O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14)

[Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS](elb-controls.md#elb-3)

[[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos](elb-controls.md#elb-4)

[[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config](elb-controls.md#elb-8)

[[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1)

[[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2)

[[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2)

[[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3)

[[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado](es-controls.md#es-5)

[[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente](es-controls.md#es-8)

[[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9)

[[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)

[[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)

[[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)

[[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7)

[[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)

[[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)

[1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11)

[1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12)

[Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14)

[1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)

[1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17)

[[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)

[[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19)

[[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1)

[[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2)

[[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3)

[[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4)

[A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)

[[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1)

[[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)

[[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2)

[[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada](mq-controls.md#mq-3)

[[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1)

[[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3)

[[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2)

[[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3)

[Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10)

[Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5)

[[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13)

[[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados](rds-controls.md#rds-20)

[[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados](rds-controls.md#rds-21)

[[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados](rds-controls.md#rds-22)

[[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24)

[[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25)

[[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34)

[[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35)

[[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36)

[[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37)

[[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch](rds-controls.md#rds-9)

[[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1)

[[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15)

[[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito](redshift-controls.md#redshift-2)

[[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4)

[[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2)

[[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)

[[S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado](s3-controls.md#s3-15)

[[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19)

[[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22)

[[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23)

[[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24)

[[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)

[[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)

[[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado](s3-controls.md#s3-9)

[[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias](secretsmanager-controls.md#secretsmanager-4)

[[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2)

[PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3)

[[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2)

[[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1)

[[WAF.11] O registro de ACL AWS WAF da web deve estar ativado](waf-controls.md#waf-11)

# Padrões gerenciados por serviços no CSPM do Security Hub
<a name="service-managed-standards"></a>

Um padrão gerenciado por serviços é um padrão de segurança AWS service (Serviço da AWS) gerenciado por outra pessoa, mas que você pode visualizar no CSPM do Security Hub. Por exemplo, Padrão [gerenciado por serviços: AWS Control Toweré um padrão gerenciado](service-managed-standard-aws-control-tower.md) por serviços que gerencia. AWS Control Tower Um padrão gerenciado por serviço difere de um padrão de segurança que o CSPM do AWS Security Hub gerencia das maneiras a seguir:
+ **Criação e exclusão de padrões**: você cria e exclui um padrão gerenciado por serviço com o console ou a API do serviço de gerenciamento, ou com o AWS CLI. Até que você crie o padrão no serviço de gerenciamento de uma dessas formas, o padrão não aparece no console do CSPM do Security Hub e não pode ser acessado pela API do CSPM do Security Hub ou pela AWS CLI.
+ **Sem ativação automática dos controles**: quando você cria um padrão gerenciado por serviço, o CSPM do Security Hub e o serviço de gerenciamento não habilitam automaticamente os controles que se aplicam ao padrão. Além disso, quando o CSPM do Security Hub lança novos controles para o padrão, eles não são habilitados automaticamente. Isso é um desvio dos padrões que o CSPM do Security Hub gerencia. Para obter mais informações sobre a maneira usual de configurar controles no CSPM do Security Hub, consulte [Noções básicas sobre os controles de segurança no CSPM do Security Hub](controls-view-manage.md).
+ **Ativar e desativar controles**: recomendamos ativar e desativar os controles no serviço de gerenciamento para evitar desvios.
+ **Disponibilidade de controles**: o serviço de gerenciamento escolhe quais controles estão disponíveis como parte do padrão gerenciado por serviço. Os controles disponíveis podem incluir todos ou um subconjunto dos controles existentes do CSPM do Security Hub.

Depois que o serviço de gerenciamento criar o padrão gerenciado por serviço e disponibilizar os controles para ele, será possível acessar suas descobertas de controle, status de controle e pontuação de segurança padrão no console do CSPM do Security Hub, na API do CSPM do Security Hub ou na AWS CLI. Algumas ou todas essas informações também podem estar disponíveis no serviço de gerenciamento.

Selecione um padrão gerenciado por serviço na lista a seguir para ver mais detalhes sobre ele.

**Topics**
+ [Padrão gerenciado por serviços: AWS Control Tower](service-managed-standard-aws-control-tower.md)

# Padrão gerenciado por serviços: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Esta seção fornece informações sobre o Service-Managed Standard:. AWS Control Tower

## O que é o padrão gerenciado por serviços:? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Padrão gerenciado por serviços: AWS Control Tower é um padrão gerenciado por serviços que AWS Control Tower suporta um subconjunto de controles do Security Hub. Esse padrão foi desenvolvido para usuários do AWS Security Hub CSPM e. AWS Control Tower Ele permite que você configure os controles de detetive do Security Hub CSPM a partir do serviço. AWS Control Tower 

Os controles de detetive detectam a não conformidade de recursos (por exemplo, configurações incorretas) em sua Contas da AWS.

**dica**  
Os padrões gerenciados por serviços diferem dos padrões gerenciados pelo AWS Security Hub CSPM. Por exemplo, é necessário criar e excluir um padrão gerenciado por serviço no serviço de gerenciamento. Para obter mais informações, consulte [Padrões gerenciados por serviços no CSPM do Security Hub](service-managed-standards.md).

Quando você ativa um controle CSPM do Security Hub por meio do AWS Control Tower, o Control Tower também ativa o CSPM do Security Hub para você nessas contas e regiões específicas, se ainda não estiver habilitado. No console e na API do Security Hub CSPM, você pode visualizar o Service-Managed Standard: junto com outros padrões CSPM do AWS Control Tower Security Hub, uma vez que o padrão é ativado a partir de. AWS Control Tower

Para obter mais informações sobre esse padrão, consulte [controles do CSPM do Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) no *Guia do usuário do AWS Control Tower *.

## Criando o padrão
<a name="aws-control-tower-standard-creation"></a>

Esse padrão está disponível no CSPM do Security Hub somente se você habilitar os controles CSPM do Security Hub a partir de. AWS Control Tower AWS Control Tower cria o padrão quando você ativa pela primeira vez um controle aplicável usando um dos seguintes métodos:
+ AWS Control Tower console
+ AWS Control Tower API (chame a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API)
+ AWS CLI (execute o [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)comando)

Ao habilitar um controle CSPM do Security Hub por meio de AWS Control Tower, se você ainda não tiver habilitado o CSPM do Security Hub, também habilita o CSPM do AWS Control Tower Security Hub para você nessas contas e regiões específicas.

Para identificar um controle CSPM do Security Hub por ID de controle no Catálogo de Controle, você pode usar o campo `Implementation.Identifier` em. AWS Control Tower Esse campo mapeia para a ID de controle CSPM do Security Hub e pode ser usado para filtrar uma ID de controle específica. Para recuperar metadados de controle para um controle CSPM específico do Security Hub (digamos, "CodeBuild.1") em AWS Control Tower, você pode usar a API: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

Você não pode visualizar ou acessar esse padrão no console CSPM do Security Hub, na API CSPM do Security Hub ou AWS CLI sem primeiro configurar e habilitar os controles CSPM do AWS Control Tower Security Hub AWS Control Tower usando um dos métodos anteriores.

Esse padrão só está disponível no [Regiões da AWS local onde AWS Control Tower está disponível](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html).

## Ativando e desativando controles no padrão
<a name="aws-control-tower-standard-managing-controls"></a>

Depois de habilitar os controles CSPM do Security Hub AWS Control Tower e criar o padrão Service-Managed AWS Control Tower Standard:, você pode visualizar o padrão e seus controles disponíveis no Security Hub CSPM.

Quando o Security Hub CSPM adiciona novos controles ao Padrão Gerenciado por Serviços: AWS Control Tower padrão, eles não são habilitados automaticamente para clientes que têm o padrão ativado. Você deve ativar e desativar os controles para o formulário padrão AWS Control Tower usando um dos seguintes métodos:
+ AWS Control Tower console
+ AWS Control Tower API (chame o [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)e [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (execute os [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comandos [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)e)

Quando você altera o status de habilitação de um controle em AWS Control Tower, a alteração também é refletida no CSPM do Security Hub.

No entanto, desabilitar um controle no CSPM do Security Hub que está ativado AWS Control Tower resulta em desvio de controle. O status do controle em é AWS Control Tower exibido como`Drifted`. Você pode resolver esse desvio usando a [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API para redefinir o controle que está em desvio, selecionando [Registrar novamente a OU](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) no AWS Control Tower console ou desativando e reativando o controle AWS Control Tower usando um dos métodos anteriores.

A conclusão das ações de ativação e desativação AWS Control Tower ajuda a evitar desvios de controle.

Quando você ativa ou desativa os controles em AWS Control Tower, a ação se aplica às contas e regiões governadas por AWS Control Tower. Se você ativar e desativar os controles no CSPM do Security Hub (não recomendado para esse padrão), a ação se aplicará somente à conta e à região atuais.

**nota**  
A [configuração central](central-configuration-intro.md) não pode ser usada para gerenciar o Service-Managed Standard:. AWS Control Tower Você pode usar *somente* o AWS Control Tower serviço para ativar e desativar os controles nesse padrão.

## Visualizando o status da habilitação e o status do controle
<a name="aws-control-tower-standard-control-status"></a>

É possível exibir o status de habilitação de um controle usando um dos métodos a seguir:
+ Console CSPM do Security Hub, API CSPM do Security Hub ou AWS CLI
+ AWS Control Tower console
+ AWS Control Tower API para ver uma lista de controles habilitados (chame a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API)
+ AWS CLI para ver uma lista de controles habilitados (execute o [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)comando)

Um controle que você desabilita AWS Control Tower tem um status de habilitação no CSPM do `Disabled` Security Hub, a menos que você habilite explicitamente esse controle no CSPM do Security Hub.

O CSPM do Security Hub calcula o status do controle com base no status do fluxo de trabalho e no status de conformidade das descobertas de controle. Para obter mais informações sobre o status de habilitação e o status de controle, consulte [Análise dos detalhes dos controles no CSPM do Security Hub](securityhub-standards-control-details.md).

Com base nos status de controle, o Security Hub CSPM calcula uma [pontuação de segurança](standards-security-score.md) para o Service-Managed Standard:. AWS Control Tower Essa pontuação só está disponível no CSPM do Security Hub. Além disso, você só pode visualizar as [descobertas de controle](controls-findings-create-update.md) no CSPM do Security Hub. A pontuação de segurança padrão e as descobertas de controle não estão disponíveis em AWS Control Tower.

**nota**  
Quando você ativa controles para Service-Managed Standard: AWS Control Tower, o Security Hub CSPM pode levar até 18 horas para gerar descobertas para controles que usam uma regra vinculada ao serviço existente. AWS Config É possível ter regras vinculadas a serviços existentes se tiver habilitado outros padrões e controles no CSPM do Security Hub. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).

## Excluindo o padrão
<a name="aws-control-tower-standard-deletion"></a>

Você pode excluir esse padrão gerenciado de serviços em AWS Control Tower desativando todos os controles aplicáveis usando um dos seguintes métodos:
+ AWS Control Tower console
+ AWS Control Tower API (chame a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API)
+ AWS CLI (execute o [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comando)

A desativação de todos os controles exclui o padrão em todas as contas gerenciadas e regiões governadas no AWS Control Tower. A exclusão do padrão em o AWS Control Tower remove da página **Padrões** do console CSPM do Security Hub, e você não pode mais acessá-lo usando a API CSPM do Security Hub ou. AWS CLI

**nota**  
 Desabilitar todos os controles do padrão no CSPM do Security Hub não desabilita nem exclui o padrão. 

A desativação do serviço CSPM do Security Hub remove o Service-Managed Standard: AWS Control Tower e quaisquer outros padrões que você tenha habilitado.

## Localizando o formato de campo para o Service-Managed Standard: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Ao criar o Service-Managed Standard: AWS Control Tower e habilitar controles para ele, você começará a receber descobertas de controle no Security Hub CSPM. O CSPM do Security Hub relata as descobertas de controle no [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md). Esses são os valores ASFF para o nome do recurso da Amazon (ARN) desse padrão e `GeneratorId`:
+ **ARN padrão**: `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Para obter um exemplo de descoberta do Service-Managed Standard: AWS Control Tower, consulte. [Exemplos de descobertas de controles](sample-control-findings.md)

## Controles que se aplicam ao padrão gerenciado por serviços: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Padrão gerenciado por serviços: AWS Control Tower suporta um subconjunto de controles que fazem parte do padrão AWS Foundational Security Best Practices (FSBP). Escolha um controle para ver informações sobre ele, incluindo etapas de correção para descobertas com falha.

Para ver quais controles CSPM do Security Hub são compatíveis AWS Control Tower, você pode usar um dos seguintes métodos:
+ AWS Console do Control Catalog, onde você pode filtrar por `“Control owner = AWS Security Hub”`
+ AWS API do Catálogo de Controle (chame a [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API) com filtro `Implementations` para verificar se `Types` é `AWS::SecurityHub::SecurityControl`
+ AWS CLI (execute o [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)comando) com filtro para`Implementations`. Exemplo de comando da CLI:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

Os limites regionais nos controles CSPM do Security Hub, quando ativados pelo padrão Control Tower, podem não corresponder aos limites regionais dos controles subjacentes.

No Security Hub CSPM, se [as descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings) estiverem desativadas em sua conta, o `ProductFields.ControlId` campo nas descobertas geradas usará o ID de controle baseado em padrão. **O ID de controle baseado em padrões é formatado como CT. *ControlId***(por exemplo, **CT. CodeBuild.1**).

Para obter mais informações sobre esse padrão, consulte [controles do CSPM do Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) no *Guia do usuário do AWS Control Tower *.

# Habilitar um padrão de segurança
<a name="enable-standards"></a>

Quando você habilita um padrão de segurança no AWS Security Hub CSPM, o Security Hub CSPM cria e ativa automaticamente todos os controles que se aplicam ao padrão. O CSPM do Security Hub também começa a executar verificações de segurança e a gerar descobertas para os controles.

Para otimizar a cobertura e a precisão das descobertas, ative e configure o registro de recursos AWS Config antes de ativar um padrão. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de recursos verificados pelos controles que se aplicam ao padrão. Caso contrário, o CSPM do Security Hub pode não ser capaz de avaliar os recursos adequados e gerar descobertas precisas para os controles que se apliquem ao padrão. Para obter mais informações, consulte [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md).

Depois de habilitar um padrão, é possível desabilitar ou reabilitar posteriormente controles individuais que se aplicam ao padrão. Se você desabilitar um controle em um padrão, o CSPM do Security Hub parará de gerar descobertas para o controle. Além disso, o CSPM do Security Hub ignorará o controle ao calcular a pontuação de segurança do padrão. A pontuação de segurança é o percentual de controles aprovados na avaliação em relação ao número total de controles que se aplicam ao padrão, estão habilitados e têm dados de avaliação.

Quando você habilita um padrão, o CSPM do Security Hub gera uma pontuação de segurança preliminar para o padrão, normalmente dentro de 30 minutos após sua primeira visita à página **Resumo** ou à página **Padrões de Segurança** no console do CSPM do Security Hub. As pontuações de segurança são geradas somente para padrões que estejam habilitados quando você visita essas páginas no console. Além disso, o registro de recursos deve ser configurado AWS Config para que as pontuações apareçam. Nas regiões da China AWS GovCloud (US) Regions, pode levar até 24 horas para que o Security Hub CSPM gere uma pontuação de segurança preliminar para um padrão. Depois que o CSPM do Security Hub gera uma pontuação preliminar, ele atualiza a pontuação a cada 24 horas. Para determinar quando uma pontuação de segurança foi atualizada pela última vez, é possível consultar um timestamp que o CSPM do Security Hub fornece para a pontuação. Para obter mais informações, consulte [Calcular pontuações de segurança](standards-security-score.md).

A forma como você habilita um padrão depende de se você usa a [configuração central](central-configuration-intro.md) para gerenciar o CSPM do Security Hub para várias contas e Regiões da AWS. Recomendamos que você use a configuração central se quiser habilitar padrões em ambientes com várias contas e várias regiões. Você pode usar a configuração central se integrar o Security Hub CSPM com o. AWS Organizations Se você não usar a configuração central, deverá habilitar cada padrão separadamente em cada conta e cada região.

**Topics**
+ [Habilitando um padrão em várias contas e Regiões da AWS](#enable-standards-central-configuration)
+ [Habilitando um padrão em uma única conta e Região da AWS](#securityhub-standard-enable-console)
+ [Verificação do status de um padrão](#standard-subscription-status)

## Habilitando um padrão em várias contas e Regiões da AWS
<a name="enable-standards-central-configuration"></a>

Para habilitar e configurar um padrão de segurança em várias contas Regiões da AWS, use a [configuração central](central-configuration-intro.md). Com a configuração central, o administrador delegado do CSPM do Security Hub pode criar políticas de configuração do CSPM do Security Hub que habilitem um ou mais padrões. O administrador pode então associar uma política de configuração a contas individuais, unidades organizacionais (OUs) ou à raiz. Uma política de configuração afeta a região inicial, também chamada de *região de agregação*, e todas as regiões vinculadas.

As políticas de configuração oferecem opções de personalização. Por exemplo, você pode optar por habilitar somente o padrão AWS Foundational Security Best Practices (FSBP) para uma OU. Para outra UO, você pode optar por ativar o padrão FSBP e o padrão Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0. Para obter informações sobre como criar uma política de configuração que habilite certos padrões especificados, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

Se você usa a configuração central, o CSPM do Security Hub não habilita automaticamente nenhum padrão em contas novas ou existentes. Em vez disso, o administrador do CSPM do Security Hub especifica quais padrões devem ser habilitados em contas diferentes ao criar políticas de configuração do CSPM do Security Hub para sua organização. O CSPM do Security Hub oferece uma política de configuração recomendada na qual somente o padrão FSBP está habilitado. Para obter mais informações, consulte [Tipos de políticas de configuração](configuration-policies-overview.md#policy-types).

**nota**  
O administrador do CSPM do Security Hub pode usar políticas de configuração para habilitar qualquer padrão, exceto o [padrão gerenciado por serviço AWS Control Tower](service-managed-standard-aws-control-tower.md). Para habilitar esse padrão, o administrador deve usar AWS Control Tower diretamente. Eles também devem ser usados AWS Control Tower para ativar ou desativar controles individuais nesse padrão para uma conta gerenciada centralmente.

Se você quiser que algumas contas habilitem e configurem padrões para suas próprias contas, o administrador do CSPM do Security Hub pode designar essas contas como *contas autogerenciadas*. As contas autogerenciadas devem habilitar e configurar padrões separadamente em cada região.

## Habilitando um padrão em uma única conta e Região da AWS
<a name="securityhub-standard-enable-console"></a>

Se você não usar a configuração central ou se você tiver uma conta autogerenciada, não será possível usar políticas de configuração para habilitar padrões de forma centralizada em várias contas ou Regiões da AWS. Contudo, será possível habilitar um padrão em uma única conta e região. Também é possível fazer isso usando o console do CSPM do Security Hub ou a API do CSPM do Security Hub.

------
#### [ Security Hub CSPM console ]

Siga estas etapas para habilitar um padrão em uma conta e região usando o console do CSPM do Security Hub.

**Para habilitar um padrão em uma conta e região**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja ativar o padrão.

1. No painel de navegação, escolha **Padrões de segurança**. A página **Padrões de segurança** lista todos os padrões atualmente com suporte no CSPM do Security Hub. Se você já habilitou um padrão, a seção do padrão incluirá a pontuação de segurança atual e detalhes adicionais do padrão.

1. Na seção do padrão que deseja habilitar, escolha **Habilitar padrão**.

Para habilitar o padrão em regiões adicionais, repita as etapas anteriores em cada região adicional.

------
#### [ Security Hub CSPM API ]

Para habilitar um padrão programaticamente em uma única conta e região, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html). Ou, se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html)comando.

Em sua solicitação, use o parâmetro `StandardsArn` para especificar o nome do recurso da Amazon (ARN) do padrão que você deseja habilitar. Especifique também a região à qual a sua solicitação se aplica. Por exemplo, o comando a seguir ativa o padrão AWS Foundational Security Best Practices (FSBP):

```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```

Onde *arn:aws:securityhub:*us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0** está o ARN do padrão FSBP na região Leste dos EUA (Norte da Virgínia) e *us-east-1* a região na qual ativá-lo.

Para obter o ARN de um padrão, use a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operação ou, se estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)comando.

Para ver uma lista inicial dos padrões atualmente habilitados na sua conta, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html). Se você estiver usando o AWS CLI, você pode executar o [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando para recuperar essa lista.

------

Depois de habilitar um padrão, o CSPM do Security Hub começará a executar tarefas para habilitar o padrão na conta e na região especificada. Isso inclui a criação de todos os controles que se aplicam ao padrão. Para monitorar o status dessas tarefas, é possível verificar o status do padrão para a conta e a região.

## Verificação do status de um padrão
<a name="standard-subscription-status"></a>

Quando você habilita um padrão de segurança para uma conta, o CSPM do Security Hub começa a criar os controles que se aplicam ao padrão na conta. O CSPM do Security Hub também executa tarefas adicionais para habilitar o padrão para a conta, como a geração de uma pontuação de segurança preliminar para o padrão. Enquanto o CSPM do Security Hub executa essas tarefas, o status do padrão é *Pending* para a conta. Em seguida, o status do padrão passa por estados adicionais, que podem ser monitorados e verificados.

**nota**  
Alterações nos controles individuais de um padrão não afetam o status geral do padrão. Por exemplo, se você habilitar um controle que tenha desativado anteriormente, sua alteração não afetará o status do padrão. Da mesma forma, se você alterar um valor de parâmetro para um controle ativado, sua alteração não afetará o status do padrão.

Para verificar o status de um padrão usando o console do CSPM do Security Hub, escolha **Padrões de segurança** no painel de navegação. A página **Padrões de segurança** lista todos os padrões atualmente com suporte no CSPM do Security Hub. Se o CSPM do Security Hub estiver atualmente executando tarefas para habilitar o padrão, a seção do padrão indicará que o CSPM do Security Hub ainda está gerando uma pontuação de segurança para o padrão. Se um padrão estiver habilitado, a seção do padrão incluirá a pontuação atual. Escolha **Exibir resultados** para analisar detalhes adicionais, incluindo o status dos controles individuais que se aplicam ao padrão. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).

Para verificar o status de um padrão programaticamente com a API do CSPM do Security Hub, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html). Em sua solicitação, use, opcionalmente, o parâmetro `StandardsSubscriptionArns` para especificar o nome do recurso da Amazon (ARN) do padrão cujo status você deseja verificar. Se você estiver usando o AWS Command Line Interface (AWS CLI), poderá executar o [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando para verificar o status de um padrão. Para especificar o ARN do padrão a ser verificado, use o parâmetro `standards-subscription-arns`. Para determinar qual ARN especificar, você pode usar a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operação ou, para o AWS CLI, executar o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)comando.

Se a sua solicitação obtiver êxito, o CSPM do Security Hub responderá com uma matriz de objetos `StandardsSubscription`. Uma *assinatura padrão* é um AWS recurso que o Security Hub CSPM cria em uma conta quando um padrão é habilitado para a conta. Cada objeto `StandardsSubscription` fornece detalhes sobre um padrão que está atualmente habilitado ou está sendo habilitado ou desabilitado para a conta. Dentro de cada objeto, o campo `StandardsStatus` especifica o status atual do padrão para a conta.

O status de um padrão (`StandardsStatus`) pode ser um dos mostrados a seguir.

**PENDING**  
O CSPM do Security Hub está atualmente executando tarefas para habilitar o padrão para a conta. Isso inclui criar os controles que se apliquem ao padrão e gerar uma pontuação de segurança preliminar para o padrão. Pode levar alguns minutos para que o CSPM do Security Hub conclua todas as tarefas. Um padrão também pode ter esse status se já estiver habilitado para a conta e o CSPM do Security Hub estiver adicionando novos controles ao padrão.  
Se um padrão tiver esse status, talvez você não seja capaz de recuperar os detalhes dos controles individuais que se aplicam ao padrão. Além disso, talvez você não consiga configurar ou desabilitar controles individuais para o padrão. Por exemplo, se você tentar desabilitar um controle usando a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html), ocorrerá um erro.  
Para determinar se é possível configurar ou gerenciar controles individuais para o padrão, consulte o valor do campo `StandardsControlsUpdatable`. Se o valor desse campo for `READY_FOR_UPDATES`, será possível começar a gerenciar controles individuais para o padrão. Caso contrário, espere até que o CSPM do Security Hub conclua as tarefas adicionais de processamento para habilitar o padrão.

**READY**  
Atualmente, o padrão está habilitado para a conta. O CSPM do Security Hub pode executar verificações de segurança e gerar descobertas para todos os controles que se aplicam ao padrão e que estão atualmente habilitados. O CSPM do Security Hub também pode calcular uma pontuação de segurança para o padrão.  
Se um padrão tiver esse status, será possível recuperar os detalhes dos controles individuais que se aplicam ao padrão. Além disso, é possível configurar, desabilitar ou reabilitar os controles. Também é possível desabilitar o padrão.

**INCOMPLETE**  
O CSPM do Security Hub não conseguiu habilitar completamente o padrão para a conta. O CSPM do Security Hub não pode executar verificações de segurança e gerar descobertas para todos os controles que se aplicam ao padrão e que estão atualmente habilitados. Além disso, o CSPM do Security Hub não pode calcular uma pontuação de segurança para o padrão.  
Para determinar por que o padrão não foi habilitado completamente, consulte as informações na matriz `StandardsStatusReason`. Essa matriz especifica problemas que impediram que o CSPM do Security Hub habilitasse o padrão. Se ocorrer um erro interno, tente habilitar o padrão para a conta novamente. Para outros tipos de problemas, [verifique suas AWS Config configurações](securityhub-setup-prereqs.md). Também é possível [desabilitar controles individuais](disable-controls-overview.md) que não deseja verificar ou desabilitar completamente o padrão.

**DELETING**  
No momento, o CSPM do Security Hub está processando uma solicitação para desabilitar o padrão da conta. Isso inclui desabilitar os controles que se aplicam ao padrão e remover a pontuação de segurança associada. Pode levar alguns minutos para que o CSPM do Security Hub conclua o processamento da solicitação.  
Se um padrão tiver esse status, você não poderá reabilitá-lo nem tentar desabilitá-lo novamente para a conta. O CSPM do Security Hub deve primeiro concluir o processamento da solicitação atual. Além disso, você não pode recuperar os detalhes dos controles individuais que se aplicam ao padrão nem gerenciar os controles.

**FAILED**  
O CSPM do Security Hub não conseguiu desabilitar o padrão para a conta. Um ou mais erros ocorreram quando o CSPM do Security Hub tentou desabilitar o padrão. Além disso, o CSPM do Security Hub não pode calcular uma pontuação de segurança para o padrão.  
Para determinar por que o padrão não foi desabilitado completamente, consulte as informações na matriz `StandardsStatusReason`. Essa matriz especifica problemas que impediram que o CSPM do Security Hub desabilitasse o padrão.  
Se um padrão tiver esse status, não será possível recuperar os detalhes dos controles individuais que se aplicam ao padrão ou gerenciar os controles. No entanto, é possível reabilitar o padrão para a conta. Se você resolver os problemas que impediram o CSPM do Security Hub de desabilitar o padrão, você também poderá tentar desabilitar o padrão novamente.

Se o status de um padrão for `READY`, o CSPM do Security Hub executará verificações de segurança e gerará descobertas para todos os controles que se apliquem ao padrão e que estiverem habilitados no momento. Para outros status, o CSPM do Security Hub poderá executar verificações e gerar descobertas para alguns controles habilitados, mas não para todos. A geração ou atualização das descobertas de controle pode levar até 24 horas para gerar ou atualizar descobertas de controle. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).

# Análise dos detalhes de um padrão de segurança
<a name="securityhub-standards-view-controls"></a>

Depois de habilitar um padrão de segurança no AWS Security Hub CSPM, você pode usar o console para revisar os detalhes do padrão. No console , a página de detalhes de um padrão inclui as seguintes informações:
+ A pontuação de segurança atual do padrão.
+ Um tabela de controles que se aplicam ao padrão.
+ Estatísticas agregadas para controles que se aplicam ao padrão.
+ Um resumo visual do status dos controles que se aplicam ao padrão.
+ Um resumo visual das verificações de segurança dos controles que são habilitados e se aplicam ao padrão. Se você fizer a integração com AWS Organizations, os controles habilitados em pelo menos uma conta da organização serão considerados ativados.

Para revisar esses detalhes, escolha **Padrões de segurança** no painel de navegação no console. Em seguida, na seção do padrão, escolha **Exibir resultados**. Para uma análise mais profunda, é possível filtrar e classificar os dados e detalhar para analisar os detalhes dos controles individuais que se aplicam ao padrão.

**Topics**
+ [Entender a pontuação de segurança do padrão](#standard-details-overview)
+ [Análise dos controles de um padrão](#standard-controls-list)

## Entender a pontuação de segurança do padrão
<a name="standard-details-overview"></a>

No console CSPM do AWS Security Hub, a página de detalhes de um padrão exibe a pontuação de segurança do padrão. A pontuação é o percentual de controles aprovados na avaliação em relação ao número total de controles que se aplicam ao padrão, estão habilitados e têm dados de avaliação. Sob a pontuação há um gráfico que resume as verificações de segurança dos controles habilitados para o padrão. Isso inclui o número de verificações de segurança aprovadas e com falha. Para contas de administrador, a pontuação padrão e o gráfico refletem o status agregado da conta do administrador e de todas as contas dos membros. Para revisar as verificações de segurança com falha em controles que tenham uma gravidade específica, escolha a gravidade.

Quando você habilita um padrão, o CSPM do Security Hub gera uma pontuação de segurança preliminar para o padrão, normalmente dentro de 30 minutos após sua primeira visita à página **Resumo** ou à página **Padrões de Segurança** no console do CSPM do Security Hub. As pontuações são geradas somente para padrões que são habilitado quando você visita essas páginas. Além disso, o registro AWS Config de recursos deve ser configurado para que as pontuações apareçam. Nas regiões da China AWS GovCloud (US) Regions, pode levar até 24 horas para que o Security Hub CSPM gere uma pontuação preliminar. Depois que o CSPM do Security Hub gera uma pontuação preliminar para um padrão, ele atualizará a pontuação a cada 24 horas. Para obter mais informações, consulte [Calcular pontuações de segurança](standards-security-score.md).

Todos os dados nas páginas de detalhes dos **padrões de segurança** são específicos dos atuais, a Região da AWS menos que você defina uma região de agregação. Se você definiu uma região de agregação, as pontuações de segurança se aplicam a todas as regiões e incluem descobertas em todas as regiões vinculadas. Além disso, o status de conformidade dos controles reflete as descobertas das regiões vinculadas, e o número de verificações de segurança inclui as descobertas das regiões vinculadas.

## Análise dos controles de um padrão
<a name="standard-controls-list"></a>

Ao usar o console CSPM do AWS Security Hub para revisar os detalhes de um padrão que você habilitou, você pode revisar uma tabela de controles de segurança que se aplicam ao padrão. Para cada controle, a tabela inclui as informações a seguir:
+ O título e o ID do controle.
+ O status do controle. Para obter mais informações, consulte [Avaliação do status de conformidade e do status de controle](controls-overall-status.md).
+ A gravidade atribuída ao controle.
+ O número de verificações com falha e o número total de verificações. Se aplicável, a coluna **Verificações com falha** também lista o número de descobertas com um status **Desconhecido**.
+ Se o controle é compatível com parâmetros personalizados. Para obter mais informações, consulte [Noções básicas sobre os parâmetros de controles no CSPM do Security Hub](custom-control-parameters.md).

O CSPM do Security Hub atualiza os status de controle e a contagem de verificações de segurança a cada 24 horas. Um timestamp no alto da página indica a atualização mais recente desses dados pelo CSPM do Security Hub.

Nas contas de administrador, os status dos controles e o número de verificações de segurança são agregados em toda a conta do administrador e em todas as contas de membro. O número de controles habilitados inclui controles habilitados no padrão na conta de administrador ou em pelo menos uma conta de membro. O número de controles desabilitados inclui os controles que estão desabilitados no padrão da conta do administrador e em todas as contas de membro.

É possível filtrar essa tabela de controles que se aplicam ao padrão. Usando as opções **Filtrar por** ao lado da tabela, é possível escolher apenas os controles habilitados ou desabilitados para o padrão. Se você exibir apenas os controles habilitados, poderá filtrar ainda mais a tabela pelo status do controle. Depois disso, será possível se concentrar nos controles que tenham um status de controle específico. Além das opções **Filtrar por**, é possível inserir critérios de filtros na caixa **Filtrar controles**. Por exemplo, é possível filtrar por ID ou título do controle.

Escolha seu método de acesso preferido. Em seguida, siga as etapas para analisar os controles que se aplicam a um padrão que você habilitou.

------
#### [ Security Hub CSPM console ]

**Para analisar os controles para um padrão habilitado**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, selecione **Padrões de segurança**.

1. Na seção do padrão, escolha **Exibir resultados**.

A tabela na parte inferior da página lista todos os controles que se aplicam ao padrão. É possível filtrar e classificar a tabela. Também é possível baixar a página atual da tabela como um arquivo CSV. Para fazer isso, escolha **Baixar** acima da tabela. Se você filtrar a tabela, o arquivo baixado incluirá apenas os controles que correspondam às configurações atuais do seu filtro.

------
#### [ Security Hub CSPM API ]

**Para analisar os controles para um padrão habilitado**

1. Use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) da API do CSPM do Security Hub. Se você estiver usando o AWS CLI, execute o [list-security-control-definitions](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)comando.

   Especifique o nome do recurso da Amazon (ARN) do padrão do qual você deseja analisar os controles. ARNs Para obter os padrões, use a [DescribeStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)operação ou execute o comando [describe-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html). Se você não especificar o ARN para um padrão, o CSPM do Security Hub retornará todo o controle de segurança. IDs

1. Use a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)operação da API CSPM do Security Hub ou execute o [list-standards-control-associations](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)comando. Esta operação informa em quais padrões um controle está habilitado.

   Identifique o controle fornecendo o ARN ou o ID do controle de segurança. Os parâmetros de paginação são opcionais.

O exemplo a seguir diz em quais padrões o controle Config.1 está habilitado.

```
$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1
```

------

# Desativação de padrões de segurança habilitados automaticamente
<a name="securityhub-auto-enabled-standards"></a>

Se a sua organização não usar a configuração central, ela usará um tipo de configuração denominado *configuração local*. Com a configuração local, o CSPM do AWS Security Hub habilita automaticamente os padrões de segurança padrão em novas contas de membro quando elas ingressam na sua organização. Todos os controles que se aplicam a esses padrões padrão também são habilitados automaticamente.

Atualmente, os padrões de segurança padrão são o padrão AWS Foundational Security Best Practices e o padrão Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Para obter informações sobre esses padrões, consulte [Referência de padrões para o CSPM do Security Hub](standards-reference.md).

Se você preferir habilitar manualmente os padrões de segurança para novas contas de membros, poderá desativar a habilitação automática dos padrões padrão. Você só pode fazer isso se integrar AWS Organizations e usar a configuração local. Se você usar a configuração central, poderá, em vez disso, criar uma política de configuração que habilite os padrões padrão e associar a política à raiz. Todas as contas da sua organização e OUs , em seguida, herdam essa política de configuração, a menos que estejam associadas a uma política diferente ou sejam autogerenciadas. Se você não fizer a integração com AWS Organizations, poderá desabilitar um padrão padrão ao habilitar inicialmente o Security Hub CSPM ou posterior. Para saber como, consulte [Desabilitar um padrão](disable-standards.md).

Para desativar a habilitação automática dos padrões padrão para novas contas de membro, é possível usar o console ou a API do CSPM do Security Hub.

------
#### [ Security Hub CSPM console ]

Siga estas etapas para desativar a habilitação automática dos padrões padrão usando o console do CSPM do Security Hub.

**Para desativar a habilitação automática de padrões padrão**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta de administrador.

1. No painel de navegação, em **Configurações**, selecione **Configuração**.

1. Na seção **Visão geral**, selecione **Editar**.

1. Em **Novas configurações de conta**, desmarque a caixa de seleção **Habilitar os padrões de segurança padrão**.

1. Escolha **Confirmar**.

------
#### [ Security Hub CSPM API ]

Para desativar a habilitação automática dos padrões padrão de forma programática, na conta de administrador do CSPM do Security Hub, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) da API do CSPM do Security Hub. Na sua solicitação, especifique `NONE` para o parâmetro `AutoEnableStandards`. 

Se você estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)comando para desativar a ativação automática dos padrões padrão. Para o parâmetro `auto-enable-standards`, especifique `NONE`. Por exemplo, o comando a seguir habilita automaticamente o CSPM do Security Hub para novas contas de membros e desativa a habilitação automática dos padrões padrão para as contas.

```
$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE
```

------

# Desabilitar um padrão de segurança
<a name="disable-standards"></a>

Quando você desabilita um padrão de segurança no CSPM do AWS Security Hub, ocorre o seguinte:
+ Todos os controles que se aplicam ao padrão são desabilitados, a menos que estejam associados a um outro padrão que esteja habilitado no momento.
+ As verificações para os controles desabilitados não serão mais executadas, e nenhuma descoberta adicional será gerada para eles.
+ As descobertas existentes para controles desabilitados são arquivadas automaticamente dentro de, aproximadamente, 3 a 5 dias.
+ AWS Config as regras que o Security Hub CSPM criou para os controles desativados são excluídas.

A exclusão das AWS Config regras apropriadas geralmente ocorre alguns minutos após a desativação de um padrão. No entanto, isso pode levar mais tempo. Se a primeira solicitação falhar ao excluir as regras, o CSPM do Security Hub tentará novamente a cada 12 horas. Entretanto, se você desabilitou o CSPM do Security Hub ou não tem nenhum outro padrão habilitado, o CSPM do Security Hub não poderá tentar novamente, o que significa que ele não poderá excluir as regras. Se isso ocorrer e você precisar excluir as regras, entre em contato AWS Support.

**Topics**
+ [Desativando um padrão em várias contas e Regiões da AWS](#disable-standards-central-configuration)
+ [Desativando um padrão em uma única conta e Região da AWS](#securityhub-standard-disable-console)

## Desativando um padrão em várias contas e Regiões da AWS
<a name="disable-standards-central-configuration"></a>

Para desativar um padrão de segurança em várias contas e Regiões da AWS use a [configuração central](central-configuration-intro.md). Com a configuração central, o administrador delegado do CSPM do Security Hub pode criar políticas de configuração do CSPM do Security Hub que desabilitem um ou mais padrões. O administrador pode então associar uma política de configuração a contas individuais, unidades organizacionais (OUs) ou à raiz. Uma política de configuração afeta a região inicial, também chamada de *região de agregação*, e todas as regiões vinculadas.

As políticas de configuração oferecem opções de personalização. Por exemplo, é possível optar por desabilitar o Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) em uma UO. Para outra UO, é possível optar por desabilitar os padrões PCI DSS e o National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Para obter informações sobre como criar uma política de configuração que habilite ou desabilite padrões individuais especificados, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

**nota**  
O administrador do CSPM do Security Hub pode usar políticas de configuração para desabilitar qualquer padrão, exceto o [padrão gerenciado por serviço AWS Control Tower](service-managed-standard-aws-control-tower.md). Para desativar esse padrão, o administrador deve usar AWS Control Tower diretamente. Eles também devem ser usados AWS Control Tower para desativar ou ativar controles individuais nesse padrão para uma conta gerenciada centralmente.

Se você quiser que algumas contas configurem ou desabilitem padrões para suas próprias contas, o administrador do CSPM do Security Hub pode designar essas contas como *contas autogerenciadas*. As contas autogerenciadas devem desabilitar padrões separadamente em cada região.

## Desativando um padrão em uma única conta e Região da AWS
<a name="securityhub-standard-disable-console"></a>

Se você não usar a configuração central ou se você tiver uma conta autogerenciada, não será possível usar políticas de configuração para desabilitar padrões de forma centralizada em várias contas ou Regiões da AWS. Contudo, será possível desabilitar um padrão em uma única conta e região. Também é possível fazer isso usando o console do CSPM do Security Hub ou a API do CSPM do Security Hub. 

------
#### [ Security Hub CSPM console ]

Siga estas etapas para desabilitar um padrão em uma conta e região usando o console do CSPM do Security Hub.

**Para desabilitar um padrão em uma conta e região**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja desativar o padrão.

1. No painel de navegação, escolha **Padrões de segurança**.

1. Na seção do padrão que deseja desabilitar, escolha **Desabilitar padrão**.

Para desabilitar o padrão em regiões adicionais, repita as etapas anteriores para cada região adicional.

------
#### [ Security Hub CSPM API ]

Para desabilitar um padrão programaticamente em uma única conta e região, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html). Ou, se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html)comando.

Em sua solicitação, use o parâmetro `StandardsSubscriptionArns` para especificar o nome do recurso da Amazon (ARN) do padrão que você deseja desabilitar. Se você estiver usando o AWS CLI, use o `standards-subscription-arns` parâmetro para especificar o ARN. Especifique também a região à qual a sua solicitação se aplica. Por exemplo, o comando a seguir desativa o padrão AWS Foundational Security Best Practices (FSBP) para uma conta (): *123456789012*

```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```

Onde *arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0* está o ARN do padrão FSBP para a conta na região Leste dos EUA (Norte da Virgínia) e *us-east-1* a região na qual desativá-la.

Para obter o ARN de um padrão, é possível usar a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html). Essa operação recupera informações sobre os padrões atualmente habilitados em sua conta. Se você estiver usando o AWS CLI, você pode executar o [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando para recuperar essas informações.

------

Depois de desabilitar um padrão, o CSPM do Security Hub começará a executar tarefas para desabilitar o padrão na conta e na região especificada. Isso inclui desabilitar todos os controles que se aplicam ao padrão. Para monitorar o status dessas tarefas, é possível [verificar o status do padrão](enable-standards.md#standard-subscription-status) para a conta e a região.

# Noções básicas sobre os controles de segurança no CSPM do Security Hub
<a name="controls-view-manage"></a>

No AWS Security Hub CSPM, um *controle de segurança*, também chamado de *controle*, é uma proteção dentro de um padrão de segurança que ajuda uma organização a proteger a confidencialidade, integridade e disponibilidade de suas informações. No Security Hub CSPM, um controle está relacionado a um recurso específico AWS .

Quando você habilita um controle em um ou mais padrões, o CSPM do Security Hub começa a executar nele verificações de segurança. As verificações de segurança geram as descobertas do CSPM do Security Hub. Quando você desabilita um controle, o CSPM do Security Hub deixa de executar nele verificações de segurança e as descobertas não são mais geradas.

Você pode ativar ou desativar os controles individualmente para uma única conta Região da AWS e. Para poupar tempo e reduzir desvios de configuração em ambientes com várias contas, recomendamos o uso da [configuração central](central-configuration-intro.md) para habilitar e desabilitar controles. Com a configuração central, o administrador delegado do CSPM do Security Hub pode criar políticas que especifiquem como um controle deve ser configurado em várias contas e regiões. Para obter mais informações sobre como habilitar e desabilitar controles, consulte [Habilitação de controles no CSPM do Security Hub](securityhub-standards-enable-disable-controls.md).

## Visualizar controles consolidados
<a name="consolidated-controls-view"></a>

A página **Controles** do console CSPM do Security Hub exibe todos os controles disponíveis no atual Região da AWS (você pode visualizar os controles no contexto de um padrão visitando a página **Padrões de segurança** e escolhendo um padrão ativado). O CSPM do Security Hub atribui aos controles um ID, título e descrição de controle de segurança consistentes em todos os padrões. IDs Os controles incluem o número relevante AWS service (Serviço da AWS) e um número exclusivo (por exemplo, CodeBuild .3).

As informações a seguir estão disponíveis na página **Controles** do [Console do CSPM do Security Hub](https://console.aws.amazon.com/securityhub/):
+ Uma pontuação geral de segurança com base na proporção de controles aprovados em comparação com o número total de controles habilitados com dados
+ Detalhamento dos status de todos os controles com suporte no CSPM do Security Hub
+ O número de verificações de segurança aprovadas e reprovadas.
+ O número de verificações de segurança de controles reprovadas com diferente gravidade e links para ver mais detalhes sobre essas verificações reprovadas.
+ Uma lista de controles do CSPM do Security Hub, com filtros para visualizar subconjuntos de controles específicos.

Na página **Controles**, você pode escolher um controle para visualizar seus detalhes e agir de acordo com as descobertas geradas pelo controle. Nessa página, você também pode ativar ou desativar um controle de segurança em seu atual Conta da AWS Região da AWS e. As ações de ativação e desativação da página **Controles** se aplicam a todos os padrões. Para obter mais informações, consulte [Habilitação de controles no CSPM do Security Hub](securityhub-standards-enable-disable-controls.md).

Para contas de administrador, a página **Controles** reflete o status dos controles nas contas dos membros. Se uma verificação de controle for reprovada em pelo menos uma conta de membro, o status do controle será **Reprovado**. Se você definiu uma [Região de agregação](finding-aggregation.md), a página **Controles** refletirá o status dos controles em todas as regiões vinculadas. Se uma verificação de controle for reprovada em pelo menos uma região vinculada, o status do controle será **Reprovado**.

A exibição de controles consolidados causa alterações nos campos de busca de controle no Formato de descoberta AWS de segurança (ASFF) que podem afetar os fluxos de trabalho. Para obter mais informações, consulte [Visualização de controles consolidados - Alterações no ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-controls-view).

## Resumo da pontuação de segurança dos controles
<a name="controls-overall-score"></a>

A página **Controles** exibe um resumo da pontuação de segurança de 0 a 100%. Um resumo da pontuação de segurança baseada na proporção de controles aprovados em relação ao número total de controles habilitados com dados em vários padrões.

**nota**  
 Para ver a pontuação geral de segurança dos controles, é necessário adicionar permissão para chamar **`BatchGetControlEvaluations`** para o perfil do IAM que você usa para acessar o CSPM do Security Hub. Essa permissão não é necessária para visualizar as pontuações de segurança de padrões específicos. 

Quando você habilita o CSPM do Security Hub, ele calcula a pontuação de segurança inicial dentro de 30 minutos após sua primeira visita à página **Resumo** ou à página **Padrões de Segurança** no console do CSPM do Security Hub. Pode levar até 24 horas para que as pontuações de segurança pela primeira vez sejam geradas nas regiões da China e AWS GovCloud (US) Regions.

Além da pontuação geral de segurança, o CSPM do Security Hub calcula uma pontuação de segurança padrão para cada padrão habilitado dentro de 30 minutos após sua primeira visita à página **Resumo** ou à página **Padrões de segurança**. Para ver uma lista dos padrões atualmente habilitados, usa a operação da API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html).

AWS Config deve ser habilitado com a gravação de recursos para que as pontuações apareçam. Para obter informações sobre como o CSPM do Security Hub calcula pontuações de segurança, consulte [Calcular pontuações de segurança](standards-security-score.md).

Após a primeira geração de pontuação, o CSPM do Security Hub atualizará as pontuações de segurança a cada 24 horas. O CSPM do Security Hub exibe um timestamp para indicar quando uma pontuação de segurança foi atualizada pela última vez.

Se você definiu uma região de agregação, as pontuações de segurança geral incluem as descobertas de controles em todas as regiões vinculadas.

# Referência de controle para o CSPM do Security Hub
<a name="securityhub-controls-reference"></a>

Essa referência de controle fornece uma tabela dos controles CSPM disponíveis do AWS Security Hub com links para mais informações sobre cada controle. Na tabela, os controles são listados em ordem alfabética por ID de controle. Apenas os controles em uso ativo pelo CSPM do Security Hub estão incluídos aqui. Os controles descontinuados são excluídos da tabela.

A tabela fornece as seguintes informações para cada controle:
+ **ID de controle de segurança** — Essa ID se aplica a todos os padrões AWS service (Serviço da AWS) e indica o recurso ao qual o controle está relacionado. O console CSPM do Security Hub exibe o controle de segurança IDs, independentemente de as [descobertas de controle consolidadas estarem](controls-findings-create-update.md#consolidated-control-findings) ativadas ou desativadas em sua conta. No entanto, as descobertas do CSPM do Security Hub fazem referência ao controle de segurança IDs somente se as descobertas de controle consolidado estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns controles IDs variam de acordo com o padrão em suas descobertas de controle. Para um mapeamento do controle específico do padrão IDs para o controle de segurança IDs, consulte. [Como a consolidação afeta o controle IDs e os títulos](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)

  Se quiser configurar [automações](automations.md) para controles de segurança, recomendamos filtrar com base na ID do controle, e não no título ou na descrição. Embora o Security Hub CSPM possa ocasionalmente atualizar títulos ou descrições de controle, o controle IDs permanece o mesmo.

  O controle IDs pode pular números. Esses são espaços reservados para futuros controles.
+ **Título de controle de segurança**: esse título se aplica a todos os padrões. O console do CSPM do Security Hub exibe os títulos de controle de segurança, independentemente de as descobertas de controle consolidadas estarem ativadas ou desativadas em sua conta. Entretanto, as descobertas do CSPM do Security Hub fazem referência aos títulos de controle de segurança somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns títulos de controle podem variar de acordo com o padrão em suas descobertas de controle. Para um mapeamento do controle específico do padrão IDs para o controle de segurança IDs, consulte. [Como a consolidação afeta o controle IDs e os títulos](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
+ **Padrões aplicáveis**: indica a quais padrões um controle se aplica. Escolha um controle para analisar os requisitos específicos de estruturas de conformidade de terceiros.
+ **Gravidade**: a gravidade de um controle identifica sua importância do ponto de vista da segurança. Para obter informações sobre como o CSPM do Security Hub determina a gravidade do controle, consulte [Níveis de gravidade para as descobertas de controles](controls-findings-create-update.md#control-findings-severity).
+ **Oferece suporte a parâmetros personalizados**: indica se o controle oferece suporte a valores personalizados para um ou mais parâmetros. Escolha um controle para analisar os detalhes dos parâmetros. Para obter mais informações, consulte [Noções básicas sobre os parâmetros de controles no CSPM do Security Hub](custom-control-parameters.md).
+ **Tipo de programação**: indica quando o controle é avaliado. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).

Escolha um controle para analisar os detalhes adicionais. Os controles são listados em ordem alfabética por ID de controle de segurança.


| ID do controle de segurança | Título de controle de segurança | Padrões aplicáveis | Gravidade | Oferece suporte a parâmetros personalizados | Tipo de programação | 
| --- | --- | --- | --- | --- | --- | 
| [Account.1](account-controls.md#account-1)  | As informações de contato de segurança devem ser fornecidas para um Conta da AWS  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5  | MÉDIO  | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  | Periódico  | 
|  [Account.2](account-controls.md#account-2)  |  Conta da AWS deve fazer parte de uma AWS Organizations organização  |  NIST SP 800-53 Rev. 5  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [ACM.1](acm-controls.md#acm-1)  |  Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações e periódico  | 
|  [ACM.2](acm-controls.md#acm-2)  |  Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits  | AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ACM.3](acm-controls.md#acm-3)  | Os certificados do ACM devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Amplify.1](amplify-controls.md#amplify-1)  | As aplicações do Amplify devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Amplify.2](amplify-controls.md#amplify-2)  | As ramificações do Amplify devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [APIGateway1](apigateway-controls.md#apigateway-1).  |  O API Gateway, o WebSocket REST e o registro de execução da API devem estar habilitados  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [APIGateway.2](apigateway-controls.md#apigateway-2)  |  Os estágios da API REST de Gateway devem ser configurados para usar certificados SSL para autenticação de back-end  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [APIGateway.3](apigateway-controls.md#apigateway-3)  |  API Gateway: os estágios da API REST devem ter AWS X-Ray o rastreamento ativado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [APIGateway.4](apigateway-controls.md#apigateway-4)  |  O API Gateway deve ser associado a uma ACL da web do WAF  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [APIGateway5.](apigateway-controls.md#apigateway-5)  |  Os dados do cache da API REST de Gateway devem ser criptografados em repouso  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [APIGateway8.](apigateway-controls.md#apigateway-8)  |  As rotas do API de Gateway devem especificar um tipo de autorização  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Periódico  | 
|  [APIGateway9.](apigateway-controls.md#apigateway-9)  |  O registro de acesso deve ser configurado para os estágios V2 do API de Gateway  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [APIGateway.10](apigateway-controls.md#apigateway-10)  |  As integrações do API Gateway V2 devem usar HTTPS para conexões privadas  |  AWS Melhores práticas básicas de segurança v1.0.0  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [AppConfig1](appconfig-controls.md#appconfig-1).  | AWS AppConfig os aplicativos devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [AppConfig.2](appconfig-controls.md#appconfig-2)  | AWS AppConfig perfis de configuração devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [AppConfig.3](appconfig-controls.md#appconfig-3)  | AWS AppConfig ambientes devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [AppConfig.4](appconfig-controls.md#appconfig-4)  | AWS AppConfig associações de extensão devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [AppFlow1](appflow-controls.md#appflow-1).  |  AppFlow Os fluxos da Amazon devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [AppRunner1](apprunner-controls.md#apprunner-1).  | Os serviços do App Runner devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [AppRunner.2](apprunner-controls.md#apprunner-2)  | Os conectores de VPC do App Runner devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [AppSync.2](appsync-controls.md#appsync-2)  |  AWS AppSync deve ter o registro em nível de campo ativado  |  AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [AppSync.4](appsync-controls.md#appsync-4)  | AWS AppSync GraphQL APIs deve ser marcado | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [AppSync5.](appsync-controls.md#appsync-5)  |  AWS AppSync O GraphQL não APIs deve ser autenticado com chaves de API  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Athena.2](athena-controls.md#athena-2)  | Os catálogos de dados do Athena devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Athena.3](athena-controls.md#athena-3)  | Os grupos de trabalho do Athena devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Athena.4](athena-controls.md#athena-4)  | Os grupos de trabalho do Athena devem ter o registro em log habilitado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [AutoScaling1](autoscaling-controls.md#autoscaling-1).  | Os grupos do Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB | AWS Melhores práticas básicas de segurança, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [AutoScaling.2](autoscaling-controls.md#autoscaling-2)  |  O grupo Amazon EC2 Auto Scaling deve abranger diversas zonas de disponibilidade  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [AutoScaling.3](autoscaling-controls.md#autoscaling-3)  |  As configurações de lançamento de grupos do Auto Scaling devem configurar as instâncias do EC2 para exigir o Instance Metadata Service versão 2 () IMDSv2  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Auto Scaling](autoscaling-controls.md#autoscaling-5)  |  As instâncias do Amazon EC2 lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [AutoScaling.6](autoscaling-controls.md#autoscaling-6)  |  Os grupos do Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [AutoScaling9.](autoscaling-controls.md#autoscaling-9)  |  Os grupos do EC2 Auto Scaling devem usar modelos de lançamento do EC2  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [AutoScaling.10](autoscaling-controls.md#autoscaling-10)  | Os grupos do EC2 Auto Scaling devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Backup.1](backup-controls.md#backup-1)  |  AWS Backup os pontos de recuperação devem ser criptografados em repouso  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Backup.2](backup-controls.md#backup-2)  | AWS Backup os pontos de recuperação devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Backup.3](backup-controls.md#backup-3)  | AWS Backup cofres devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Backup.4](backup-controls.md#backup-4)  | AWS Backup os planos de relatórios devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Backup.5](backup-controls.md#backup-5)  | AWS Backup planos de backup devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Lote.1](batch-controls.md#batch-1)  | As filas de trabalhos do Batch devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Lote.2](batch-controls.md#batch-2)  | As políticas de agendamento do Batch devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Lote.3](batch-controls.md#batch-3)  | Os ambientes de computação do Batch devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Lote.4](batch-controls.md#batch-4)  | As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [CloudFormation.2](cloudformation-controls.md#cloudformation-2)  | CloudFormation as pilhas devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [CloudFormation.3](cloudformation-controls.md#cloudformation-3)  | CloudFormation as pilhas devem ter a proteção de encerramento ativada | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [CloudFormation.4](cloudformation-controls.md#cloudformation-4)  | CloudFormation as pilhas devem ter funções de serviço associadas | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [CloudFront1](cloudfront-controls.md#cloudfront-1).  | CloudFront as distribuições devem ter um objeto raiz padrão configurado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [CloudFront.3](cloudfront-controls.md#cloudfront-3)  |  CloudFront as distribuições devem exigir criptografia em trânsito  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [CloudFront.4](cloudfront-controls.md#cloudfront-4)  |  CloudFront as distribuições devem ter o failover de origem configurado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [CloudFront5.](cloudfront-controls.md#cloudfront-5)  |  CloudFront as distribuições devem ter o registro ativado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [CloudFront.6](cloudfront-controls.md#cloudfront-6)  |  CloudFront as distribuições devem ter o WAF ativado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [CloudFront7.](cloudfront-controls.md#cloudfront-7)  |  CloudFront as distribuições devem usar certificados personalizados SSL/TLS  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  | BAIXO |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [CloudFront8.](cloudfront-controls.md#cloudfront-8)  |  CloudFront distribuições devem usar SNI para atender solicitações HTTPS  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [CloudFront9.](cloudfront-controls.md#cloudfront-9)  |  CloudFront as distribuições devem criptografar o tráfego para origens personalizadas  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [CloudFront.10](cloudfront-controls.md#cloudfront-10)  |  CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [CloudFront1.2](cloudfront-controls.md#cloudfront-12)  |  CloudFront distribuições não devem apontar para origens inexistentes do S3  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudFront1.3](cloudfront-controls.md#cloudfront-13)  |  CloudFront as distribuições devem usar o controle de acesso de origem  |  AWS Melhores práticas básicas de segurança v1.0.0  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [CloudFront1.4](cloudfront-controls.md#cloudfront-14)  | CloudFront distribuições devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [CloudFront1.5](cloudfront-controls.md#cloudfront-15)  | CloudFront as distribuições devem usar a política de segurança TLS recomendada | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [CloudFront1.6](cloudfront-controls.md#cloudfront-16)  | CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [CloudFront1.7](cloudfront-controls.md#cloudfront-17)  | CloudFront as distribuições devem usar grupos de chaves confiáveis para assinaturas URLs e cookies | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [CloudTrail1](cloudtrail-controls.md#cloudtrail-1).  | CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança básica, NIST SP 800-53 AWS Rev. 5 AWS  | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2)  |  CloudTrail deve ter a criptografia em repouso ativada  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 AWS Foundational Security Best Practices v1.0.0, NIST SP AWS 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudTrail.3](cloudtrail-controls.md#cloudtrail-3)  | Pelo menos uma CloudTrail trilha deve ser ativada | NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [CloudTrail.4](cloudtrail-controls.md#cloudtrail-4)  |  CloudTrail a validação do arquivo de log deve ser ativada  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST AWS SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudTrail5.](cloudtrail-controls.md#cloudtrail-5)  |  CloudTrail as trilhas devem ser integradas ao Amazon CloudWatch Logs  | CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MÉDIO |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudTrail.6](cloudtrail-controls.md#cloudtrail-6)  |  Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público  |  Referência do CIS AWS Foundations v1.2.0, Referência do CIS AWS Foundations v1.4.0, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações e periódico  | 
|  [CloudTrail7.](cloudtrail-controls.md#cloudtrail-7)  |  Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3  | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI AWS DSS v4.0.1 AWS  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudTrail9.](cloudtrail-controls.md#cloudtrail-9)  | CloudTrail trilhas devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10)  | CloudTrail Os armazenamentos de dados de eventos do Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico | 
|  [CloudWatch1](cloudwatch-controls.md#cloudwatch-1).  |  Um filtro de métrica de log e um alarme devem existir para uso do usuário “raiz”  | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch.2](cloudwatch-controls.md#cloudwatch-2)  |  Verificar se existe um alarme e um filtro de métrica de log para chamadas de API não autorizadas  | Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch.3](cloudwatch-controls.md#cloudwatch-3)  |  Verificar se existe um alarme e um filtro de métrica de log para login do Management Console sem MFA  | Referência do CIS AWS Foundations v1.2.0  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch.4](cloudwatch-controls.md#cloudwatch-4)  |  Verificar se existe um alarme e um filtro de métrica de log para alterações de política do IAM  | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch5.](cloudwatch-controls.md#cloudwatch-5)  |  Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração  | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch.6](cloudwatch-controls.md#cloudwatch-6)  |  Certifique-se de que exista um filtro métrico de registro e um alarme para falhas Console de gerenciamento da AWS de autenticação  | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch7.](cloudwatch-controls.md#cloudwatch-7)  |  Certifique-se de que exista um filtro métrico de registro e um alarme para desativação ou exclusão programada do cliente criado CMKs  | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch8.](cloudwatch-controls.md#cloudwatch-8)  |  Verificar se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3  | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch9.](cloudwatch-controls.md#cloudwatch-9)  |  Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração  | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch.10](cloudwatch-controls.md#cloudwatch-10)  |  Verificar se existe um alarme e um filtro de métrica de log para alterações do grupo de segurança  | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch1.1](cloudwatch-controls.md#cloudwatch-11)  |  Verificar se existe um alarme e um filtro de métrica de log para alterações em listas de controle de acesso à rede (NACL)  | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch1.2](cloudwatch-controls.md#cloudwatch-12)  |  Verificar se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede  | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch1.3](cloudwatch-controls.md#cloudwatch-13)  |  Verificar se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas  | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch1.4](cloudwatch-controls.md#cloudwatch-14)  |  Verificar se existe um alarme e um filtro de métrica de log para alterações de VPC  | Referência do CIS AWS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [CloudWatch1.5](cloudwatch-controls.md#cloudwatch-15)  |  CloudWatch os alarmes devem ter ações especificadas configuradas  | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 |  HIGH (ALTO)  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [CloudWatch1.6](cloudwatch-controls.md#cloudwatch-16)  |  CloudWatch os grupos de registros devem ser mantidos por um período de tempo especificado  |  NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Periódico  | 
|  [CloudWatch1.7](cloudwatch-controls.md#cloudwatch-17)  |  CloudWatch ações de alarme devem ser ativadas  |  NIST SP 800-53 Rev. 5  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [CodeArtifact1](codeartifact-controls.md#codeartifact-1).  | CodeArtifact repositórios devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [CodeBuild1](codebuild-controls.md#codebuild-1).  | CodeBuild O repositório de origem do Bitbucket não URLs deve conter credenciais confidenciais | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [CodeBuild.2](codebuild-controls.md#codebuild-2)  |  CodeBuild as variáveis de ambiente do projeto não devem conter credenciais de texto não criptografado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [CodeBuild.3](codebuild-controls.md#codebuild-3)  |  CodeBuild Os registros do S3 devem ser criptografados  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [CodeBuild.4](codebuild-controls.md#codebuild-4)  |  CodeBuild ambientes de projeto devem ter uma configuração de registro  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [CodeBuild7.](codebuild-controls.md#codebuild-7)  | CodeBuild as exportações do grupo de relatórios devem ser criptografadas em repouso | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [CodeGuruProfiler1](codeguruprofiler-controls.md#codeguruprofiler-1).  | CodeGuru Os grupos de criação de perfil do Profiler devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [CodeGuruReviewer1](codegurureviewer-controls.md#codegurureviewer-1).  | CodeGuru As associações do repositório do revisor devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Cognito.1](cognito-controls.md#cognito-1)  | Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Cognito.2](cognito-controls.md#cognito-2)  | Os bancos de identidades do Cognito não devem permitir identidades não autenticadas | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [Cognito.3](cognito-controls.md#cognito-3)  | As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Cognito.4](cognito-controls.md#cognito-4)  | Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [Cognito.5](cognito-controls.md#cognito-5)  | O MFA deve ser ativado para grupos de usuários do Cognito | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [Cognito.6](cognito-controls.md#cognito-6)  | Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [Config.1](config-controls.md#config-1)  | AWS Config deve ser habilitado e usar a função vinculada ao serviço para registro de recursos | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança básica, NIST SP 800-53 Rev. 5, PCI AWS DSS v3.2.1 AWS  | CRÍTICO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico | 
|  [Connect.1](connect-controls.md#connect-1)  | Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Connect.2](connect-controls.md#connect-2)  | As instâncias do Amazon Connect devem ter CloudWatch o registro ativado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [DataFirehose1](datafirehose-controls.md#datafirehose-1).  | Os fluxos de entrega do Firehose devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [DataSync1](datasync-controls.md#datasync-1).  | DataSync as tarefas devem ter o registro ativado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [DataSync.2](datasync-controls.md#datasync-2)  | DataSync as tarefas devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Detetive.1](detective-controls.md#detective-1)  | Gráficos de comportamento do Detective devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [DMS.1](dms-controls.md#dms-1)  |  As instâncias de replicação do Database Migration Service não devem ser públicas  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [DMS.2](dms-controls.md#dms-2)  | Os certificados do DMS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [DMS.3](dms-controls.md#dms-3)  | As assinaturas de eventos do DMS devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [DMS.4](dms-controls.md#dms-4)  | As instâncias de replicação do DMS devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [DMS.5](dms-controls.md#dms-5)  | Os grupos de sub-redes de replicação do DMS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [DMS.6](dms-controls.md#dms-6)  |  As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [DMS.7](dms-controls.md#dms-7)  |  As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [DMS.8](dms-controls.md#dms-8)  |  As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [DMS.9](dms-controls.md#dms-9)  |  Os endpoints do DMS devem usar SSL  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [DMS.10](dms-controls.md#dms-10)  | Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [DMS.11](dms-controls.md#dms-11)  | Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [DMS.12](dms-controls.md#dms-12)  | Os endpoints do DMS para o Redis OSS devem ter o TLS habitado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [DMS.13](dms-controls.md#dms-13)  | As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [DocumentDB.1](documentdb-controls.md#documentdb-1)  |  Os clusters do Amazon DocumentDB devem ser criptografados em repouso  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [DocumentDB.2](documentdb-controls.md#documentdb-2)  |  Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [DocumentDB.3](documentdb-controls.md#documentdb-3)  |  Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [DocumentDB.4](documentdb-controls.md#documentdb-4)  |  Os clusters do Amazon DocumentDB devem publicar registros de auditoria em Logs CloudWatch  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [DocumentDB.5](documentdb-controls.md#documentdb-5)  |  Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Documento DB.6](documentdb-controls.md#documentdb-6)  | Os clusters do Amazon DocumentDB devem ser criptografados em trânsito | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [DynamoDB.1](dynamodb-controls.md#dynamodb-1)  |  As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Periódico  | 
|  [DynamoDB.2](dynamodb-controls.md#dynamodb-2)  |  As tabelas do DynamoDB devem ter a recuperação ativada point-in-time  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [DynamoDB.3](dynamodb-controls.md#dynamodb-3)  |  Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [DynamoDB.4](dynamodb-controls.md#dynamodb-4)  |  As tabelas do DynamoDB devem estar presentes em um plano de backup  |  NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Periódico  | 
|  [DynamoDB.5](dynamodb-controls.md#dynamodb-5)  | As tabelas do DynamoDB devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [DynamoDB.6](dynamodb-controls.md#dynamodb-6)  |  As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [DynamoDB.7](dynamodb-controls.md#dynamodb-7)  | Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [EC2.1](ec2-controls.md#ec2-1)  |  Os snapshots do EBS não devem ser restauráveis publicamente  |  AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [EC2.2](ec2-controls.md#ec2-2)  |  Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.3](ec2-controls.md#ec2-3)  |  Os volumes anexados do EBS devem ser criptografados em repouso.  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.4](ec2-controls.md#ec2-4)  |  As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Periódico  | 
|  [EC2.6](ec2-controls.md#ec2-6)  |  O registro de fluxo de VPC deve ser ativado em todos VPCs  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 AWS  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [EC2.7](ec2-controls.md#ec2-7)  |  A criptografia padrão do EBS deve estar ativada  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS AWS Foundational Security Best Practices v1.0.0, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [EC2.8](ec2-controls.md#ec2-8)  |  As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Melhores práticas de segurança AWS básica, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.9](ec2-controls.md#ec2-9)  |  As instâncias do EC2 não devem ter um endereço público IPv4  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.10](ec2-controls.md#ec2-10)  |  O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [EC2.12](ec2-controls.md#ec2-12)  |  O EC2 não utilizado EIPs deve ser removido  |  PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.13](ec2-controls.md#ec2-13)  | Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou de ::/0 na porta 22 | Referência do CIS AWS Foundations v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações e periódico | 
|  [EC2.14](ec2-controls.md#ec2-14)  | Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou de ::/0 na porta 3389 | Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações e periódico | 
|  [EC2.15](ec2-controls.md#ec2-15)  |  As sub-redes do EC2 não devem atribuir automaticamente endereços IP públicos  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.16](ec2-controls.md#ec2-16)  |  As listas de controle de acesso à rede não utilizadas devem ser removidas  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.17](ec2-controls.md#ec2-17)  |  As instâncias do EC2 não devem usar várias ENIs  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.18](ec2-controls.md#ec2-18)  |  Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  HIGH (ALTO)  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [EC2.19](ec2-controls.md#ec2-19)  | Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações e periódico | 
|  [EC2.20](ec2-controls.md#ec2-20)  |  Ambos os túneis VPN de uma conexão AWS Site-to-Site VPN devem estar ativos  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.21](ec2-controls.md#ec2-21)  |  A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Melhores práticas de segurança AWS básica, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, AWS PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.22](ec2-controls.md#ec2-22)  | Os grupos de segurança do EC2 não utilizados devem ser removidos |   | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [EC2.23](ec2-controls.md#ec2-23)  |  Os EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.24](ec2-controls.md#ec2-24)  |  Os tipos de instância paravirtual do EC2 não devem ser usados  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.25](ec2-controls.md#ec2-25)  |  Os modelos de lançamento do EC2 não devem atribuir interfaces públicas IPs às de rede  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.28](ec2-controls.md#ec2-28)  |  Os volumes do EBS devem estar em um plano de backup  |  NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Periódico  | 
|  [EC2.33](ec2-controls.md#ec2-33)  | Os anexos do gateway de trânsito do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.34](ec2-controls.md#ec2-34)  | As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.35](ec2-controls.md#ec2-35)  | As interfaces de rede do EC2 devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.36](ec2-controls.md#ec2-36)  | Os gateways dos clientes do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.37](ec2-controls.md#ec2-37)  | Os endereços IP elásticos do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.38](ec2-controls.md#ec2-38)  | As instâncias do EC2 devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.39](ec2-controls.md#ec2-39)  | Os gateways da Internet do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.40](ec2-controls.md#ec2-40)  | Os gateways de NAT do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.41](ec2-controls.md#ec2-41)  | A rede EC2 ACLs deve ser marcada | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.42](ec2-controls.md#ec2-42)  | As tabelas de rotas do EC2 devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.43](ec2-controls.md#ec2-43)  | Os grupos de segurança do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.44](ec2-controls.md#ec2-44)  | As sub-redes do EC2 devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.45](ec2-controls.md#ec2-45)  | Os volumes do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.46](ec2-controls.md#ec2-46)  | Amazon VPCs deve ser etiquetada | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.47](ec2-controls.md#ec2-47)  | Os serviços de endpoint da Amazon VPC devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.48](ec2-controls.md#ec2-48)  | Os logs de fluxo da Amazon VPC devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.49](ec2-controls.md#ec2-49)  | As conexões de emparelhamento da Amazon VPC devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.50](ec2-controls.md#ec2-50)  | Os gateways da VPN do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.51](ec2-controls.md#ec2-51)  |  Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EC2.52](ec2-controls.md#ec2-52)  | Os gateways de trânsito do EC2 devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.53](ec2-controls.md#ec2-53)  | Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto | Referência do CIS AWS Foundations v5.0.0, Referência do CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [EC2.54](ec2-controls.md#ec2-54)  | Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto | Referência do CIS AWS Foundations v5.0.0, Referência do CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [EC2.55](ec2-controls.md#ec2-55)  | VPCs deve ser configurado com um endpoint de interface para a API ECR | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico | 
|  [EC2.56](ec2-controls.md#ec2-56)  | VPCs deve ser configurado com um endpoint de interface para o Docker Registry | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico | 
|  [EC2.57](ec2-controls.md#ec2-57)  | VPCs deve ser configurado com um endpoint de interface para Systems Manager | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico | 
|  [EC2.58](ec2-controls.md#ec2-58)  | VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico | 
|  [EC2.60](ec2-controls.md#ec2-60)  | VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico | 
|  [EC2.170](ec2-controls.md#ec2-170)  | Os modelos de lançamento do EC2 devem usar o Instance Metadata Service versão 2 () IMDSv2 | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [EC2.171](ec2-controls.md#ec2-171)  | As conexões de VPN do EC2 devem ter o registro em log habilitado | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [EC2.172](ec2-controls.md#ec2-172)  | As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.173](ec2-controls.md#ec2-173)  | Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [EC2.174](ec2-controls.md#ec2-174)  | Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.175](ec2-controls.md#ec2-175)  | Os modelos de execução do EC2 devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.176](ec2-controls.md#ec2-176)  | As listas de prefixos do EC2 devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.177](ec2-controls.md#ec2-177)  | As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.178](ec2-controls.md#ec2-178)  | Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.179](ec2-controls.md#ec2-179)  | Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EC2.180](ec2-controls.md#ec2-180)  | As interfaces de rede EC2 devem ter a source/destination verificação ativada | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [EC2.181](ec2-controls.md#ec2-181)  | Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [EC2.182](ec2-controls.md#ec2-182)  | Os snapshots do EBS não devem ser acessíveis ao público | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [ECR.1](ecr-controls.md#ecr-1)  |  Os repositórios privados do ECR devem ter a digitalização de imagens configurada  | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [ECR.2](ecr-controls.md#ecr-2)  |  Os repositórios privados do ECR devem ter a imutabilidade de tags configurada  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ECR.3](ecr-controls.md#ecr-3)  |  Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ECR.4](ecr-controls.md#ecr-4)  | Os repositórios públicos do ECR devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [ECR.5](ecr-controls.md#ecr-5)  | Os repositórios de ECR devem ser criptografados com AWS KMS keys gerenciadas pelo cliente | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [ECS.2](ecs-controls.md#ecs-2)  |  Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ECS.3](ecs-controls.md#ecs-3)  |  As definições de tarefas do ECS não devem compartilhar o namespace do processo do host  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ECS.4](ecs-controls.md#ecs-4)  |  Os contêineres ECS devem ser executados sem privilégios  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ECS.5](ecs-controls.md#ecs-5)  |  Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ECS.8](ecs-controls.md#ecs-8)  |  Os segredos não devem ser passados como variáveis de ambiente do contêiner  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ECS.9](ecs-controls.md#ecs-9)  |  As definições de tarefas do ECS devem ter uma configuração de registro em log  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ECS.10](ecs-controls.md#ecs-10)  |  Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ECS.12](ecs-controls.md#ecs-12)  |  Os clusters do ECS devem usar Container Insights  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ECS.13](ecs-controls.md#ecs-13)  | Os serviços do ECS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [ECS.14](ecs-controls.md#ecs-14)  | Os clusters do ECS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [ECS.15](ecs-controls.md#ecs-15)  | As definições de tarefa do ECS devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [ECS.16](ecs-controls.md#ecs-16)  | Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [ECS.17](ecs-controls.md#ecs-17)  | As definições de tarefas do ECS não devem usar o modo de rede host | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [ECS.18](ecs-controls.md#ecs-18)  | As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [ECS.19](ecs-controls.md#ecs-19)  | Os provedores de capacidade do ECS devem ter a proteção gerenciada de terminação ativada | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [ECS.20](ecs-controls.md#ecs-20)  | As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [ECS.21](ecs-controls.md#ecs-21)  | As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [EFS.1](efs-controls.md#efs-1)  |  O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [EFS.2](efs-controls.md#efs-2)  |  Os volumes do Amazon EBS devem estar em um plano de backup  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [EFS.3](efs-controls.md#efs-3)  |  Os pontos de acesso do EFS devem impor um diretório raiz  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EFS.4](efs-controls.md#efs-4)  |  Os pontos de acesso do EFS devem impor uma identidade de usuário  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EFS.5](efs-controls.md#efs-5)  | Os pontos de acesso do EFS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EFS.6](efs-controls.md#efs-6)  | Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [EFS.7](efs-controls.md#efs-7)  | Os sistemas de arquivos do EFS devem ter backups automáticos habilitados | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [EFS.8](efs-controls.md#efs-8)  | Os sistemas de arquivos do EFS devem ser criptografados em repouso | CIS AWS Foundations Benchmark v5.0.0, AWS Melhores práticas básicas de segurança | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EKS.1](eks-controls.md#eks-1)  |  Os endpoints do cluster EKS não devem ser acessíveis ao público  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [EKS.2](eks-controls.md#eks-2)  |  Os clusters EKS devem ser executados em uma versão compatível do Kubernetes  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EKS.3](eks-controls.md#eks-3)  | Os clusters do EKS devem usar segredos criptografados do Kubernetes | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [EKS.6](eks-controls.md#eks-6)  | Os clusters do EKS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EKS.7](eks-controls.md#eks-7)  | As configurações do provedor de identidades do EKS devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EKS.8](eks-controls.md#eks-8)  |  Os clusters do EKS devem ter o registro em log de auditoria habilitado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ElastiCache1](elasticache-controls.md#elasticache-1).  | ElastiCache Os clusters (Redis OSS) devem ter backups automáticos habilitados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico | 
|  [ElastiCache.2](elasticache-controls.md#elasticache-2)  |  ElastiCache os clusters devem ter atualizações automáticas de versões secundárias habilitadas | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [ElastiCache.3](elasticache-controls.md#elasticache-3)  | ElastiCache os grupos de replicação devem ter o failover automático ativado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [ElastiCache.4](elasticache-controls.md#elasticache-4)  | ElastiCache grupos de replicação devem ser encrypted-at-rest |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [ElastiCache5.](elasticache-controls.md#elasticache-5)  | ElastiCache grupos de replicação devem ser encrypted-in-transit | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [ElastiCache.6](elasticache-controls.md#elasticache-6)  |  ElastiCache Grupos de replicação (Redis OSS) de versões anteriores devem ter o Redis OSS AUTH ativado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [ElastiCache7.](elasticache-controls.md#elasticache-7)  | ElastiCache os clusters não devem usar o grupo de sub-rede padrão |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [ElasticBeanstalk1](elasticbeanstalk-controls.md#elasticbeanstalk-1).  |  Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ElasticBeanstalk.2](elasticbeanstalk-controls.md#elasticbeanstalk-2)  |  As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [ElasticBeanstalk.3](elasticbeanstalk-controls.md#elasticbeanstalk-3)  |  O Elastic Beanstalk deve transmitir registros para CloudWatch  | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [ELB.1](elb-controls.md#elb-1)  |  O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS  |  AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [ELB.2](elb-controls.md#elb-2)  |  Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ELB.3](elb-controls.md#elb-3)  |  Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ELB.4](elb-controls.md#elb-4)  |  O Application Load Balancer deve ser configurado para eliminar cabeçalhos http  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ELB.5](elb-controls.md#elb-5)  |  O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ELB.6](elb-controls.md#elb-6)  | A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [ELB.7](elb-controls.md#elb-7)  |  Os Classic Load Balancers devem ter a drenagem da conexão ativada  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  | BAIXO |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ELB.8](elb-controls.md#elb-8)  |  Os Classic Load Balancers com receptores SSL devem usar uma política de segurança predefinida que tenha uma configuração forte  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ELB.9](elb-controls.md#elb-9)  |  Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ELB.10](elb-controls.md#elb-10)  |  O Classic Load Balancer deve abranger várias zonas de disponibilidade  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [ELB.12](elb-controls.md#elb-12)  |  O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ELB.13](elb-controls.md#elb-13)  |  Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [ELB.14](elb-controls.md#elb-14)  |  O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ELB.16](elb-controls.md#elb-16)  |  Os balanceadores de carga de aplicativos devem ser associados a uma ACL web do AWS WAF  |  NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ELB.17](elb-controls.md#elb-17)  | Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ELB.18](elb-controls.md#elb-18)  | Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [ELB.21](elb-controls.md#elb-21)  |  Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados  |  AWS Melhores práticas básicas de segurança v1.0.0  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ELB.22](elb-controls.md#elb-22)  |  Os grupos-alvo do ELB devem usar protocolos de transporte criptografados  |  AWS Melhores práticas básicas de segurança v1.0.0  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EMR.1](emr-controls.md#emr-1)  | Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [EMR.2](emr-controls.md#emr-2)  | A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [EMR.3](emr-controls.md#emr-3)  | As configurações de segurança do Amazon EMR devem ser criptografadas em repouso | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [EMR.4](emr-controls.md#emr-4)  | As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [ES.1](es-controls.md#es-1)  |  Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada  |  AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [ES.2](es-controls.md#es-2)  |  Os domínios do Elasticsearch não devem ser publicamente acessíveis  | AWS Melhores práticas básicas de segurança, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [ES.3](es-controls.md#es-3)  |  Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ES.4](es-controls.md#es-4)  |  O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ES.5](es-controls.md#es-5)  |  Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ES.6](es-controls.md#es-6)  |  Os domínios do Elasticsearch devem ter pelo menos três nós de dados  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ES.7](es-controls.md#es-7)  |  Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [ES.8](es-controls.md#es-8)  | As conexões com os domínios do Elasticsearch devem ser criptografadas com a política de segurança TLS mais recente | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [ES.9](es-controls.md#es-9)  | Os domínios do Elasticsearch devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EventBridge.2](eventbridge-controls.md#eventbridge-2)  | EventBridge ônibus de eventos devem ser etiquetados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [EventBridge.3](eventbridge-controls.md#eventbridge-3)  |  EventBridge os ônibus de eventos personalizados devem ter uma política baseada em recursos anexada  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [EventBridge.4](eventbridge-controls.md#eventbridge-4)  |  EventBridge endpoints globais devem ter a replicação de eventos ativada  |  NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [FraudDetector1](frauddetector-controls.md#frauddetector-1).  | Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [FraudDetector.2](frauddetector-controls.md#frauddetector-2)  | Os rótulos do Amazon Fraud Detector devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [FraudDetector.3](frauddetector-controls.md#frauddetector-3)  | Os resultados do Amazon Fraud Detector devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [FraudDetector.4](frauddetector-controls.md#frauddetector-4)  | As variáveis do Amazon Fraud Detector devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [FSx1](fsx-controls.md#fsx-1).  |  FSx para OpenZFS, os sistemas de arquivos devem ser configurados para copiar tags para backups e volumes  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  | Periódico | 
|  [FSx.2](fsx-controls.md#fsx-2)  | FSx para Lustre, os sistemas de arquivos devem ser configurados para copiar tags para backups | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [FSx.3](fsx-controls.md#fsx-3)  | FSx para OpenZFS, os sistemas de arquivos devem ser configurados para implantação Multi-AZ | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [FSx.4](fsx-controls.md#fsx-4)  | FSx para sistemas de arquivos NetApp ONTAP, devem ser configurados para implantação Multi-AZ | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico | 
|  [FSx5.](fsx-controls.md#fsx-5)  | FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [Glue.1](glue-controls.md#glue-1)  | AWS Glue os trabalhos devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Glue.3](glue-controls.md#glue-3)  | AWS Glue as transformações de aprendizado de máquina devem ser criptografadas em repouso | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [Cola.4](glue-controls.md#glue-4)  | AWS Glue Os trabalhos do Spark devem ser executados em versões compatíveis do AWS Glue | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [GlobalAccelerator1](globalaccelerator-controls.md#globalaccelerator-1).  | Os aceleradores do Global Accelerator devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [GuardDuty1](guardduty-controls.md#guardduty-1).  |  GuardDuty deve ser habilitado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [GuardDuty.2](guardduty-controls.md#guardduty-2)  | GuardDuty os filtros devem ser marcados  | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [GuardDuty.3](guardduty-controls.md#guardduty-3)  | GuardDuty IPSets deve ser marcado  | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [GuardDuty.4](guardduty-controls.md#guardduty-4)  | GuardDuty detectores devem ser marcados  | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [GuardDuty5.](guardduty-controls.md#guardduty-5)  | GuardDuty O monitoramento do registro de auditoria do EKS deve estar ativado | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [GuardDuty.6](guardduty-controls.md#guardduty-6)  | GuardDuty A Proteção Lambda deve estar ativada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [GuardDuty7.](guardduty-controls.md#guardduty-7)  | GuardDuty O monitoramento de tempo de execução do EKS deve estar ativado | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [GuardDuty8.](guardduty-controls.md#guardduty-8)  | GuardDuty A proteção contra malware para EC2 deve estar ativada | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [GuardDuty9.](guardduty-controls.md#guardduty-9)  | GuardDuty A proteção do RDS deve estar ativada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [GuardDuty.10](guardduty-controls.md#guardduty-10)  | GuardDuty A proteção S3 deve estar ativada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [GuardDuty1.1](guardduty-controls.md#guardduty-11)  | GuardDuty O monitoramento de tempo de execução deve estar ativado | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [GuardDuty1.2](guardduty-controls.md#guardduty-12)  | GuardDuty O ECS Runtime Monitoring deve estar ativado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [GuardDuty1.3](guardduty-controls.md#guardduty-13)  | GuardDuty O monitoramento de tempo de execução do EC2 deve estar ativado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [IAM.1](iam-controls.md#iam-1)  |  As políticas do IAM não devem permitir privilégios administrativos completos "\$1"  | CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança AWS básicas v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [IAM.2](iam-controls.md#iam-2)  |  Os usuários do IAM não devem ter políticas do IAM anexadas  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [IAM.3](iam-controls.md#iam-3)  |  As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança básica, NIST SP 800-53 Rev. 5, PCI AWS DSS v4.0.1 AWS  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.4](iam-controls.md#iam-4)  |  A chave de acesso do usuário raiz do IAM não deve existir  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0, PCI DSS AWS v3.2.1, NIST SP 800-53 Rev. 5 AWS  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.5](iam-controls.md#iam-5)  |  A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança básica, NIST SP 800-53 Rev. 5, PCI AWS DSS v4.0.1 AWS  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.6](iam-controls.md#iam-6)  |  A MFA de hardware deve estar habilitada para o usuário raiz  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança AWS básica, NIST SP 800-53 Rev. 5, PCI AWS DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.7](iam-controls.md#iam-7)  |  Políticas de senha para usuários do IAM que devem ter configurações fortes  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Periódico  | 
|  [IAM.8](iam-controls.md#iam-8)  |  As credenciais de usuário do IAM não utilizadas devem ser removidas  | CIS AWS Foundations Benchmark v1.2.0, Melhores práticas AWS básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.9](iam-controls.md#iam-9)  |  A MFA deve estar habilitada para o usuário raiz  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 AWS , PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.10](iam-controls.md#iam-10)  |  Políticas de senha para usuários do IAM que devem ter configurações fortes  | NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.11](iam-controls.md#iam-11)  |  Certifique-se que A política de senha do IAM exija pelo menos uma letra maiúscula  | Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.12](iam-controls.md#iam-12)  |  Certifique-se que a política de senha do IAM exija pelo menos uma letra minúscula  | Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.13](iam-controls.md#iam-13)  |  Certifique-se que política de senha do IAM exija pelo menos um símbolo  | Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.14](iam-controls.md#iam-14)  |  Certifique-se que política de senha do IAM exija pelo menos um número  | Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.15](iam-controls.md#iam-15)  |  Certifique-se que a política de senha do IAM exija um comprimento mínimo de 14 ou mais  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 AWS  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.16](iam-controls.md#iam-16)  |  Certifique-se que a política de senha do IAM impeça a reutilização de senhas  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI AWS DSS v4.0.1 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.17](iam-controls.md#iam-17)  |  Certifique-se que a política de senha do IAM expire senhas em até 90 dias ou menos  | Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.18](iam-controls.md#iam-18)  |  Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI AWS DSS v4.0.1 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.19](iam-controls.md#iam-19)  |  A MFA deve estar habilitada para todos os usuários do IAM  | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.21](iam-controls.md#iam-21)  |  As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [IAM.22](iam-controls.md#iam-22)  |  As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST AWS SP 800-171 Rev. 2 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [IAM.23](iam-controls.md#iam-23)  | Os analisadores do IAM Access Analyzer devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IAM.24](iam-controls.md#iam-24)  | Os perfis do IAM devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IAM.25](iam-controls.md#iam-25)  | Os usuários do IAM devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IAM.26](iam-controls.md#iam-26) |  SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos | Referência do CIS AWS Foundations v5.0.0, Referência do CIS Foundations v3.0.0 AWS  | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [IAM.27](iam-controls.md#iam-27)  | As identidades do IAM não devem ter a AWSCloud ShellFullAccess política anexada | Referência do CIS AWS Foundations v5.0.0, Referência do CIS Foundations v3.0.0 AWS  | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [IAM.28](iam-controls.md#iam-28)  | O analisador de acesso externo do IAM Access Analyzer deve ser habilitado | Referência do CIS AWS Foundations v5.0.0, Referência do CIS Foundations v3.0.0 AWS  | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [Inspector.1](inspector-controls.md#inspector-1)  | A varredura do EC2 pelo Amazon Inspector deve estar habilitada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [Inspector.2](inspector-controls.md#inspector-2)  | A varredura do ECR pelo Amazon Inspector deve estar habilitada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [Inspector.3](inspector-controls.md#inspector-3)  | A varredura de código do Lambda pelo Amazon Inspector deve estar habilitada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [Inspector.4](inspector-controls.md#inspector-4)  | A varredura padrão do Lambda pelo Amazon Inspector deve estar habilitada | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [IoT.1](iot-controls.md#iot-1)  | AWS IoT Device Defender perfis de segurança devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IoT.2](iot-controls.md#iot-2)  | AWS IoT Core ações de mitigação devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IoT.3](iot-controls.md#iot-3)  | AWS IoT Core as dimensões devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IoT.4](iot-controls.md#iot-4)  | AWS IoT Core os autorizadores devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IoT.5](iot-controls.md#iot-5)  | AWS IoT Core aliases de função devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IoT.6](iot-controls.md#iot-6)  | AWS IoT Core as políticas devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IoT TEvents 1.1](iotevents-controls.md#iotevents-1)  | AWS IoT Events as entradas devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IoT TEvents 1.2](iotevents-controls.md#iotevents-2)  | AWS IoT Events modelos de detectores devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IoT TEvents 3.3](iotevents-controls.md#iotevents-3)  | AWS IoT Events modelos de alarme devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Eu sou TSite sábio.1](iotsitewise-controls.md#iotsitewise-1)  | AWS IoT SiteWise modelos de ativos devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Eu sou TSite sábio.2](iotsitewise-controls.md#iotsitewise-2)  | AWS IoT SiteWise os painéis devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Eu sou TSite sábio.3](iotsitewise-controls.md#iotsitewise-3)  | AWS IoT SiteWise gateways devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Eu sou TSite sábio.4](iotsitewise-controls.md#iotsitewise-4)  | AWS IoT SiteWise portais devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Eu sou TSite sábio.5](iotsitewise-controls.md#iotsitewise-5)  | AWS IoT SiteWise projetos devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Io TTwin Maker. 1](iottwinmaker-controls.md#iottwinmaker-1)  | AWS Os trabalhos de TwinMaker sincronização de IoT devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Io TTwin Maker.2](iottwinmaker-controls.md#iottwinmaker-2)  | AWS Os TwinMaker espaços de trabalho de IoT devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Io TTwin Maker.3](iottwinmaker-controls.md#iottwinmaker-3)  | AWS As TwinMaker cenas de IoT devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Io TTwin Maker.4](iottwinmaker-controls.md#iottwinmaker-4)  | AWS As TwinMaker entidades de IoT devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IoT TWireless 1.1](iotwireless-controls.md#iotwireless-1)  | AWS Os grupos multicast do IoT Wireless devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IoT TWireless 1.2](iotwireless-controls.md#iotwireless-2)  | AWS Os perfis de serviço IoT Wireless devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IoT TWireless 3.3](iotwireless-controls.md#iotwireless-3)  | AWS As tarefas do IoT Wireless FUOTA devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IVS.1](ivs-controls.md#ivs-1)  | Os pares de chaves de reprodução do IVS devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IVS.2](ivs-controls.md#ivs-2)  | As configurações de gravação do IVS devem ser marcadas com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [IVS.3](ivs-controls.md#ivs-3)  | Os canais do IVS devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Keyspaces.1](keyspaces-controls.md#keyspaces-1)  | Os keyspaces do Amazon Keyspaces devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Kinesis.1](kinesis-controls.md#kinesis-1)  |  Os fluxos do Kinesis devem ser criptografados em repouso  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Kinesis.2](kinesis-controls.md#kinesis-2)  | Os fluxos do Kinesis devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Kinesis.3](kinesis-controls.md#kinesis-3)  | Os fluxos do Kinesis devem ter um período de retenção de dados adequado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [KMS.1](kms-controls.md#kms-1)  |  As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [KMS.2](kms-controls.md#kms-2)  |  As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [KMS.3](kms-controls.md#kms-3)  |  AWS KMS keys não deve ser excluído acidentalmente  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [KMS.4](kms-controls.md#kms-4)  |  AWS KMS key a rotação deve ser ativada  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 AWS , PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [KMS.5](kms-controls.md#kms-5)  | As chaves do KMS não devem ser acessíveis publicamente | AWS Melhores práticas básicas de segurança | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [Lambda.1](lambda-controls.md#lambda-1)  |  As funções do Lambda devem proibir o acesso público  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Lambda.2](lambda-controls.md#lambda-2)  |  As funções do Lambda devem usar os tempos de execução compatíveis  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Lambda.3](lambda-controls.md#lambda-3)  |  As funções do Lambda devem estar em uma VPC  |  PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Lambda.5](lambda-controls.md#lambda-5)  |  As funções do Lambda da VPC devem operar em várias zonas de disponibilidade  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [Lambda.6](lambda-controls.md#lambda-6)  | As funções do Lambda devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Lambda.7](lambda-controls.md#lambda-7)  | As funções Lambda devem ter o rastreamento AWS X-Ray ativo ativado | NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [Macie.1](macie-controls.md#macie-1)  |  O Amazon Macie deve ser habilitado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [Macie.2](macie-controls.md#macie-2)  | A descoberta automatizada de dados confidenciais do Macie deve estar habilitada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [MSK.1](msk-controls.md#msk-1)  |  Os clusters MSK devem ser criptografados em trânsito entre os nós do agente  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [MSK.2](msk-controls.md#msk-2)  |  Os clusters do MSK devem ter um monitoramento aprimorado configurado  |  NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [MSK.3](msk-controls.md#msk-3)  | Os conectores da MSK Connect devem ser criptografados em trânsito | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  | Acionado por alterações | 
|  [MÁSCARA.4](msk-controls.md#msk-4)  | Os clusters do MSK devem ter o acesso público desabilitado | AWS Melhores práticas básicas de segurança | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [MÁSCARA.5](msk-controls.md#msk-5)  | Os conectores do MSK devem ter o registro em log habilitado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [MÁSCARA 6](msk-controls.md#msk-6)  | Os clusters do MSK devem desabilitar o acesso não autenticado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [MQ.2](mq-controls.md#mq-2)  | Os corretores ActiveMQ devem transmitir os registros de auditoria para CloudWatch | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [MQ.4](mq-controls.md#mq-4)  | Os agentes do Amazon MQ devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [MQ.5](mq-controls.md#mq-5)  |  Os corretores ActiveMQ devem usar o modo de implantação active/standby  | NIST SP 800-53 Rev. 5 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [MQ.6](mq-controls.md#mq-6)  |  Os agentes do RabbitMQ devem usar o modo de implantação de cluster  | NIST SP 800-53 Rev. 5 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Neptune.1](neptune-controls.md#neptune-1)  |  Os clusters de banco de dados Neptune devem ser criptografados em repouso  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  | Acionado por alterações | 
|  [Neptune.2](neptune-controls.md#neptune-2)  |  Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  | Acionado por alterações | 
|  [Neptune.3](neptune-controls.md#neptune-3)  |  Os snapshots do cluster de banco de dados Neptune não devem ser públicos  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Neptune.4](neptune-controls.md#neptune-4)  |  O cluster de banco de dados do Neptune deve ter a proteção contra exclusão habilitada  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Neptune.5](neptune-controls.md#neptune-5)  |  Os clusters de banco de dados Neptune devem ter backups automatizados habilitados  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [Neptune.6](neptune-controls.md#neptune-6)  |  Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Neptune.7](neptune-controls.md#neptune-7)  |  Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Neptune.8](neptune-controls.md#neptune-8)  |  Os clusters de banco de dados Neptune devem ser configurados para copiar tags para snapshots  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Neptune.9](neptune-controls.md#neptune-9)  |  Os clusters de banco de dados Neptune devem ser implantados em várias zonas de disponibilidade  |  NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [NetworkFirewall1](networkfirewall-controls.md#networkfirewall-1).  |  Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade  |  NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [NetworkFirewall.2](networkfirewall-controls.md#networkfirewall-2)  |  O registro em log do Network Firewall deve ser habilitado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [NetworkFirewall.3](networkfirewall-controls.md#networkfirewall-3)  |  As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [NetworkFirewall.4](networkfirewall-controls.md#networkfirewall-4)  |  A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos.  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [NetworkFirewall5.](networkfirewall-controls.md#networkfirewall-5)  |  A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes fragmentados.  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [NetworkFirewall.6](networkfirewall-controls.md#networkfirewall-6)  |  O grupo de regras de firewall de rede sem estado não deve estar vazio  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [NetworkFirewall7.](networkfirewall-controls.md#networkfirewall-7)  | Os firewalls do Network Firewall devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [NetworkFirewall8.](networkfirewall-controls.md#networkfirewall-8)  | As políticas de firewall do Network Firewall devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [NetworkFirewall9.](networkfirewall-controls.md#networkfirewall-9)  |  Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [NetworkFirewall.10](networkfirewall-controls.md#networkfirewall-10)  | Os firewalls do Network Firewall devem ter a proteção contra alteração de sub-rede habilitada | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [Opensearch.1](opensearch-controls.md#opensearch-1)  |  OpenSearch os domínios devem ter a criptografia em repouso ativada  |  AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Opensearch.2](opensearch-controls.md#opensearch-2)  |  OpenSearch os domínios não devem ser acessíveis ao público  |  AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Opensearch.3](opensearch-controls.md#opensearch-3)  |  OpenSearch os domínios devem criptografar os dados enviados entre os nós  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Opensearch.4](opensearch-controls.md#opensearch-4)  |  OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Opensearch.5](opensearch-controls.md#opensearch-5)  |  OpenSearch os domínios devem ter o registro de auditoria ativado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Opensearch.6](opensearch-controls.md#opensearch-6)  |  OpenSearch os domínios devem ter pelo menos três nós de dados  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Opensearch.7](opensearch-controls.md#opensearch-7)  |  OpenSearch os domínios devem ter um controle de acesso refinado ativado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Opensearch.8](opensearch-controls.md#opensearch-8)  | As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente |  AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [Opensearch.9](opensearch-controls.md#opensearch-9)  | OpenSearch domínios devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Opensearch.10](opensearch-controls.md#opensearch-10)  |  OpenSearch os domínios devem ter a atualização de software mais recente instalada  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Opensearch.11](opensearch-controls.md#opensearch-11)  | OpenSearch os domínios devem ter pelo menos três nós primários dedicados | NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [PCA.1](pca-controls.md#pca-1)  |  CA Privada da AWS a autoridade de certificação raiz deve ser desativada  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  | Periódico | 
|  [PCA.2](pca-controls.md#pca-2)  | AWS As autoridades certificadoras privadas da CA devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [RDS.1](rds-controls.md#rds-1)  |  [RDS.1] Os snapshots do RDS devem ser privados  |  AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.2](rds-controls.md#rds-2)  |  As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Melhores práticas de segurança AWS básica, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.3](rds-controls.md#rds-3)  |  As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 AWS  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.4](rds-controls.md#rds-4)  |  Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.5](rds-controls.md#rds-5)  |  As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade  | CIS AWS Foundations Benchmark v5.0.0, Melhores práticas de segurança AWS básicas v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.6](rds-controls.md#rds-6)  |  O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [RDS.7](rds-controls.md#rds-7)  |  O cluster de banco de dados do RDS deve ter a proteção contra exclusão habilitada  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  | MÉDIO |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.8](rds-controls.md#rds-8)  |  As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.9](rds-controls.md#rds-9)  | As instâncias de banco de dados do RDS devem publicar registros em Logs CloudWatch  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.10](rds-controls.md#rds-10)  |  A autenticação do IAM deve ser configurada para instâncias do RDS  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.11](rds-controls.md#rds-11)  |  As instâncias do RDS devem ter backups automáticos habilitados  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [RDS.12](rds-controls.md#rds-12)  |  A autenticação do IAM deve ser configurada para clusters do RDS  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.13](rds-controls.md#rds-13)  |  As atualizações automáticas de versões secundárias do RDS devem estar habilitadas  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Melhores práticas de segurança AWS básica, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.14](rds-controls.md#rds-14)  |  Os clusters Amazon Aurora devem ter o backtracking habilitado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [RDS.15](rds-controls.md#rds-15)  |  Os clusters de banco de dados do RDS devem ser configurados com várias zonas de disponibilidade  | CIS AWS Foundations Benchmark v5.0.0, Melhores práticas de segurança AWS básicas v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.16](rds-controls.md#rds-16)  | Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO  | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [RDS.17](rds-controls.md#rds-17)  |  As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.18](rds-controls.md#rds-18)  |  As instâncias do RDS devem ser implantadas em uma VPC  |   |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.19](rds-controls.md#rds-19)  |  As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.20](rds-controls.md#rds-20)  |  As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.21](rds-controls.md#rds-21)  |  Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.22](rds-controls.md#rds-22)  |  Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.23](rds-controls.md#rds-23)  |  As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.24](rds-controls.md#rds-24)  |  Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.25](rds-controls.md#rds-25)  |  As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.26](rds-controls.md#rds-26)  |  As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup  |  NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Periódico  | 
|  [RDS.27](rds-controls.md#rds-27)  |  Os clusters de banco de dados do RDS devem ser criptografados em repouso  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.28](rds-controls.md#rds-28)  | Os clusters de bancos de dados do RDS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [RDS.29](rds-controls.md#rds-29)  | Os snapshots de cluster de bancos de dados do RDS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [RDS.30](rds-controls.md#rds-30)  | As instâncias de bancos de dados do RDS devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [RDS.31](rds-controls.md#rds-31)  | Os grupos de segurança de bancos de dados do RDS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [RDS.32](rds-controls.md#rds-32)  | Os snapshots de bancos de dados do RDS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [RDS.33](rds-controls.md#rds-33)  | Os grupos de sub-redes de bancos de dados do RDS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [RDS.34](rds-controls.md#rds-34)  |  Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.35](rds-controls.md#rds-35)  |  Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [RDS.36](rds-controls.md#rds-36)  | O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch  | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [RDS.37](rds-controls.md#rds-37)  | Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch  | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [RDS. 38](rds-controls.md#rds-38)  | As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografadas em trânsito | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [RDS. 39](rds-controls.md#rds-39)  | As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [RDS.40](rds-controls.md#rds-40)  | O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [RDS. 41](rds-controls.md#rds-41)  | As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [RDS. 42](rds-controls.md#rds-42)  | O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico | 
|  [RDS. 43](rds-controls.md#rds-43)  | Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [RDS. 44](rds-controls.md#rds-44)  | As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [RDS. 45](rds-controls.md#rds-45)  | Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [RDS. 46](rds-controls.md#rds-46)  | As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [RDS. 47](rds-controls.md#rds-47)  | Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots | AWS Melhores práticas básicas de segurança | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [RDS. 48](rds-controls.md#rds-48)  | Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots | AWS Melhores práticas básicas de segurança | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [RDS. 50](rds-controls.md#rds-50)  |  Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido  |  AWS Melhores práticas básicas de segurança v1.0.0  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Sim  |  Acionado por alterações  | 
|  [Redshift.1](redshift-controls.md#redshift-1)  |  Os clusters do Amazon Redshift devem proibir o acesso público  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Redshift.2](redshift-controls.md#redshift-2)  |  As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Redshift.3](redshift-controls.md#redshift-3)  |  Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [Redshift.4](redshift-controls.md#redshift-4)  |  Os clusters do Amazon Redshift devem ter o registro de auditoria ativado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Redshift.6](redshift-controls.md#redshift-6)  |  O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Redshift.7](redshift-controls.md#redshift-7)  |  Os clusters do Redshift devem usar roteamento de VPC aprimorado  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Redshift.8](redshift-controls.md#redshift-8)  |  Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Redshift.10](redshift-controls.md#redshift-10)  |  Os clusters do Redshift devem ser criptografados em repouso  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [Redshift.11](redshift-controls.md#redshift-11)  | Os clusters do Redshift devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Redshift.12](redshift-controls.md#redshift-12)  | As notificações de assinatura de eventos do Redshift devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Redshift.13](redshift-controls.md#redshift-13)  | Os snapshots de clusters do Redshift devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Redshift.14](redshift-controls.md#redshift-14)  | Os grupos de sub-redes de clusters do Redshift devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Redshift.15](redshift-controls.md#redshift-15)  | Os grupos de segurança do Redshift devem permitir a entrada na porta do cluster de origens restritas | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [Redshift.16](redshift-controls.md#redshift-16)  | Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [Redshift.17](redshift-controls.md#redshift-17)  | Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Redshift.18](redshift-controls.md#redshift-18)  | Os clusters do Redshift devem ter implantações multi-AZ habilitadas | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [RedshiftServerless1](redshiftserverless-controls.md#redshiftserverless-1).  | Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento aprimorado de VPC | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [RedshiftServerless.2](redshiftserverless-controls.md#redshiftserverless-2)  | As conexões com grupos de trabalho do Redshift sem servidor devem ser obrigatórias para o uso de SSL | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [RedshiftServerless.3](redshiftserverless-controls.md#redshiftserverless-3)  | Os grupos de trabalho do Redshift sem servidor devem proibir o acesso público | AWS Melhores práticas básicas de segurança | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [RedshiftServerless.4](redshiftserverless-controls.md#redshiftserverless-4)  | Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Periódico | 
|  [RedshiftServerless5.](redshiftserverless-controls.md#redshiftserverless-5)  | Os namespaces do Redshift sem servidor não devem usar o nome de usuário admin padrão | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [RedshiftServerless.6](redshiftserverless-controls.md#redshiftserverless-6)  | Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch  | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [Route53.1](route53-controls.md#route53-1)  | As verificações de integridade do Route 53 devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Route53.2](route53-controls.md#route53-2)  |  As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [S3.1](s3-controls.md#s3-1)  | Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Melhores práticas de segurança AWS básica, AWS NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [S3.2](s3-controls.md#s3-2)  | Os buckets de uso geral do S3 devem bloquear o acesso público para leitura | AWS Melhores práticas básicas de segurança, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações e periódico | 
|  [S3.3](s3-controls.md#s3-3)  | Os buckets de uso geral do S3 devem bloquear o acesso público para gravação | AWS Melhores práticas básicas de segurança, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações e periódico | 
|  [S3.5](s3-controls.md#s3-5)  | Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Melhores práticas de segurança AWS básica, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, AWS PCI DSS v3.2.1, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [S3.6](s3-controls.md#s3-6)  | As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [S3.7](s3-controls.md#s3-7)  | Os buckets de uso geral do S3 devem usar replicação entre regiões | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [S3.8](s3-controls.md#s3-8)  | Os buckets de uso geral do S3 devem bloquear o acesso público | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Melhores práticas de segurança básica, AWS NIST SP 800-53 Rev. 5, PCI AWS DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [S3.9](s3-controls.md#s3-9)  | Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [S3.10](s3-controls.md#s3-10)  | Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida | NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [S3.11](s3-controls.md#s3-11)  | Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [S3.12](s3-controls.md#s3-12)  | ACLs não deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3 | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [S3.13](s3-controls.md#s3-13)  | Os buckets de uso geral do S3 devem ter configurações de ciclo de vida | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [S3.14](s3-controls.md#s3-14)  | Os buckets de uso geral do S3 devem ter o versionamento habilitado | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [S3.15](s3-controls.md#s3-15)  | Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [S3.17](s3-controls.md#s3-17)  | Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [S3.19](s3-controls.md#s3-19)  | Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [S3.20](s3-controls.md#s3-20)  | Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST AWS SP 800-53 Rev. 5 | BAIXO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [S3.22](s3-controls.md#s3-22)  | Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto | Referência do CIS AWS Foundations v5.0.0, Referência do CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [S3.23](s3-controls.md#s3-23)  | Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto | Referência do CIS AWS Foundations v5.0.0, Referência do CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [S3.24](s3-controls.md#s3-24)  | Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas | AWS Melhores práticas básicas de segurança, PCI DSS v4.0.1 | HIGH (ALTO) | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [S3.25](s3-controls.md#s3-25)  | Os buckets de diretório do S3 devem ter configurações de ciclo de vida | AWS Melhores práticas básicas de segurança | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [SageMaker1](sagemaker-controls.md#sagemaker-1).  |  As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [SageMaker.2](sagemaker-controls.md#sagemaker-2)  |  SageMaker instâncias de notebook devem ser lançadas em uma VPC personalizada  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SageMaker.3](sagemaker-controls.md#sagemaker-3)  |  Os usuários não devem ter acesso root às instâncias do SageMaker notebook  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SageMaker.4](sagemaker-controls.md#sagemaker-4)  | SageMaker as variantes de produção de endpoints devem ter uma contagem inicial de instâncias maior que 1 | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [SageMaker5.](sagemaker-controls.md#sagemaker-5)  | SageMaker os modelos devem ter o isolamento de rede ativado | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [SageMaker.6](sagemaker-controls.md#sagemaker-6)  | SageMaker as configurações de imagem do aplicativo devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [SageMaker7.](sagemaker-controls.md#sagemaker-7)  | SageMaker as imagens devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [SageMaker8.](sagemaker-controls.md#sagemaker-8)  | SageMaker instâncias de notebook devem ser executadas em plataformas compatíveis | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [SageMaker9.](sagemaker-controls.md#sagemaker-9)  |  SageMaker as definições de tarefas de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada  |  AWS Melhores práticas básicas de segurança v1.0.0  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SageMaker.10](sagemaker-controls.md#sagemaker-10)  |  SageMaker as definições de tarefas de explicabilidade do modelo devem ter a criptografia de tráfego entre contêineres ativada  |  AWS Melhores práticas básicas de segurança v1.0.0  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SageMaker1.1](sagemaker-controls.md#sagemaker-11)  |  SageMaker as definições de trabalho de qualidade de dados devem ter o isolamento de rede ativado  |  AWS Melhores práticas básicas de segurança v1.0.0  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SageMaker1.2](sagemaker-controls.md#sagemaker-12)  |  SageMaker as definições de tarefas de viés de modelo devem ter o isolamento de rede ativado  |  AWS Melhores práticas básicas de segurança v1.0.0  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SageMaker1.3](sagemaker-controls.md#sagemaker-13)  |  SageMaker as definições de tarefas de qualidade do modelo devem ter a criptografia de tráfego entre contêineres ativada  |  AWS Melhores práticas básicas de segurança v1.0.0  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SageMaker1.4](sagemaker-controls.md#sagemaker-14)  |  SageMaker os cronogramas de monitoramento devem ter o isolamento de rede ativado  |  AWS Melhores práticas básicas de segurança v1.0.0  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SageMaker1.5](sagemaker-controls.md#sagemaker-15)  |  SageMaker as definições de tarefas de viés de modelo devem ter a criptografia de tráfego entre contêineres ativada  |  AWS Melhores práticas básicas de segurança v1.0.0  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SecretsManager1](secretsmanager-controls.md#secretsmanager-1).  |  Os segredos do Secrets Manager devem ter a alternância automática ativada  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [SecretsManager.2](secretsmanager-controls.md#secretsmanager-2)  |  Os segredos do Secrets Manager configurados com alternância automática devem girar com sucesso  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SecretsManager.3](secretsmanager-controls.md#secretsmanager-3)  |  Remover segredos do Secrets Manager não utilizados  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Periódico  | 
|  [SecretsManager.4](secretsmanager-controls.md#secretsmanager-4)  |  Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Periódico  | 
|  [SecretsManager5.](secretsmanager-controls.md#secretsmanager-5)  | Os segredos do Secrets Manager devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [ServiceCatalog1](servicecatalog-controls.md#servicecatalog-1).  | Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma AWS organização | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [SES.1](ses-controls.md#ses-1)  | As listas de contatos do SES devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [SES.2](ses-controls.md#ses-2)  | Os conjuntos de configuração do SES devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [SES.3](ses-controls.md#ses-3)  | Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [SNS.1](sns-controls.md#sns-1)  | Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [SNS.3](sns-controls.md#sns-3)  | Os tópicos do SNS devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [SNS.4](sns-controls.md#sns-4)  | As políticas de acesso a tópicos do SNS não devem permitir o acesso público | AWS Melhores práticas básicas de segurança | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [SQS.1](sqs-controls.md#sqs-1)  |  As filas do Amazon SQS devem ser criptografadas em repouso  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SQS.2](sqs-controls.md#sqs-2)  | As filas do SQS devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [SQS.3](sqs-controls.md#sqs-3)  | As políticas de acesso a filas do SQS não devem permitir o acesso público | AWS Melhores práticas básicas de segurança | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [SSM.1](ssm-controls.md#ssm-1)  |  As instâncias do EC2 devem ser gerenciadas por AWS Systems Manager  |  AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SSM.2](ssm-controls.md#ssm-2)  |  As instâncias do EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT após a instalação do patch  | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  HIGH (ALTO)  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SSM.3](ssm-controls.md#ssm-3)  |  As instâncias de EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL  | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [SSM.4](ssm-controls.md#ssm-4)  |  Os documentos SSM não devem ser públicos  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [SSM. 5](ssm-controls.md#ssm-5)  | Os documentos do SSM devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [SSM. 6](ssm-controls.md#ssm-6)  | A automação de SSM deve ter o CloudWatch registro ativado | AWS Melhores práticas básicas de segurança v1.0.0 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [SSM. 7](ssm-controls.md#ssm-7)  | Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público ativada | AWS Melhores práticas básicas de segurança v1.0.0 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [StepFunctions1](stepfunctions-controls.md#stepfunctions-1).  |  As máquinas de estado do Step Functions devem ter o registro ativado  | AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 |  MÉDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim  |  Acionado por alterações  | 
|  [StepFunctions.2](stepfunctions-controls.md#stepfunctions-2)  | As atividades do Step Functions devem ser marcadas | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Transfer.1](transfer-controls.md#transfer-1)  | Os fluxos de trabalho do Transfer Family devem ser marcados | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Transfer.2](transfer-controls.md#transfer-2)  | Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Periódico | 
|  [Transferência.3](transfer-controls.md#transfer-3)  | Os conectores do Transfer Family devem ter o registro em log habilitado | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [Transferência.4](transfer-controls.md#transfer-4)  | Os contratos do Transfer Family devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Transferência.5](transfer-controls.md#transfer-5)  | Os certificados do Transfer Family devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Transfer.6](transfer-controls.md#transfer-6)  | Os conectores do Transfer Family devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [Transfer.7](transfer-controls.md#transfer-7)  | Os perfis do Transfer Family devem ser marcados com tags | AWS Padrão de marcação de recursos | BAIXO | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-yes.png) Sim | Acionado por alterações | 
|  [WAF.1](waf-controls.md#waf-1)  |  AWS O registro do WAF Classic Global Web ACL deve estar ativado  | AWS Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [WAF.2](waf-controls.md#waf-2)  |  AWS As regras regionais clássicas do WAF devem ter pelo menos uma condição  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [WAF.3](waf-controls.md#waf-3)  |  AWS Os grupos de regras regionais clássicos do WAF devem ter pelo menos uma regra  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [WAF.4](waf-controls.md#waf-4)  |  AWS A web regional clássica do WAF ACLs deve ter pelo menos uma regra ou grupo de regras  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [WAF.6](waf-controls.md#waf-6)  |  AWS As regras globais do WAF Classic devem ter pelo menos uma condição  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [WAF.7](waf-controls.md#waf-7)  |  AWS Os grupos de regras globais do WAF Classic devem ter pelo menos uma regra  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [WAF.8](waf-controls.md#waf-8)  |  AWS A web global do WAF Classic ACLs deve ter pelo menos uma regra ou grupo de regras  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [WAF.10](waf-controls.md#waf-10)  |  AWS A web do WAF ACLs deve ter pelo menos uma regra ou grupo de regras  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [WAF.11](waf-controls.md#waf-11)  |  AWS O registro de WAF web ACL deve estar ativado  | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BAIXO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Periódico  | 
|  [WAF.12](waf-controls.md#waf-12)  |  AWS As regras do WAF devem ter CloudWatch métricas ativadas  |  AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MÉDIO  |  ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não  |  Acionado por alterações  | 
|  [WorkSpaces1](workspaces-controls.md#workspaces-1).  | WorkSpaces os volumes do usuário devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 
|  [WorkSpaces.2](workspaces-controls.md#workspaces-2)  | WorkSpaces os volumes raiz devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança | MÉDIO | ![\[No\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/icon-no.png) Não | Acionado por alterações | 

# Log de alterações dos controles do CSPM do Security Hub
<a name="controls-change-log"></a>

O registro de alterações a seguir rastreia alterações materiais nos controles CSPM existentes do AWS Security Hub, o que pode resultar em alterações no status geral de um controle e no status de conformidade de suas descobertas. Para obter informações sobre como o CSPM do Security Hub avalia o status do controle, consulte [Avaliação do status de conformidade e do status de controle](controls-overall-status.md). As alterações podem levar alguns dias após serem inseridas nesse registro para afetar tudo Regiões da AWS em que o controle está disponível.

Esse log rastreia as mudanças ocorridas desde abril de 2023. Escolha um controle para revisar detalhes adicionais sobre ele. As alterações de título são observadas na descrição detalhada do controle por 90 dias.


| Data da mudança | Título e ID do controle | Descrição de alteração | 
| --- | --- | --- | 
| 3 de abril de 2026 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | Esse controle verifica se um cluster do Amazon EKS está sendo executado em uma versão do Kubernetes com suporte. O CSPM do Security Hub alterou o valor do parâmetro para esse controle de `1.32` para. `1.33` O suporte padrão para o Kubernetes versão 1.32 no Amazon EKS terminou em 23 de março de 2026.  | 
| 3 de abril de 2026 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O parâmetro Lambda.2 para tempos de execução compatíveis não é mais incluído, pois o ruby3.2 Lambda tornou esse tempo de execução obsoleto. | 
| 24 de março de 2026 | [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) | O Security Hub CSPM atualizou o título do controle para refletir que o controle verifica todos os clusters de banco de dados do RDS. | 
| 24 de março de 2026 | [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) | O Security Hub CSPM atualizou o título e a descrição do controle para refletir que o controle verifica as definições de tarefas do ECS. O Security Hub CSPM também atualizou o controle para não gerar descobertas para definições de tarefas `runtimePlatform` configuradas para especificar uma família de `WINDOWS_SERVER` sistemas operacionais. | 
| 9 de março de 2026 | [AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso | O Security Hub CSPM retirou esse controle e o removeu do padrão [AWS Foundational Security Best Practices (FSBP](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)). AWS AppSync agora fornece criptografia padrão em todos os caches de API atuais e futuros. | 
| 9 de março de 2026 | [AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito | O Security Hub CSPM retirou esse controle e o removeu do padrão [AWS Foundational Security Best Practices (FSBP](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)). AWS AppSync agora fornece criptografia padrão em todos os caches de API atuais e futuros. | 
| 4 de março de 2026 | [ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário | O Security Hub CSPM retirou esse controle e o removeu do padrão [AWS Foundational Security Best Practices (FSBP) e do padrão](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) SP 800-53 Rev. 5.  | 
| 5 de fevereiro de 2026 | [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) | O Security Hub CSPM retirará esse controle e o removerá de todos os padrões CSPM aplicáveis do Security Hub em 9 de março de 2026. AWS AppSync está fornecendo criptografia padrão em todos os caches atuais e futuros da API. | 
| 5 de fevereiro de 2026 | [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) | O Security Hub CSPM retirará esse controle e o removerá de todos os padrões CSPM aplicáveis do Security Hub em 9 de março de 2026. AWS AppSync está fornecendo criptografia padrão em todos os caches atuais e futuros da API. | 
| 16 de janeiro de 2026 | [[ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário](ecs-controls.md#ecs-1) | O CSPM do Security Hub informou que esse controle será retirado e removido de todos os padrões CSPM aplicáveis do Security Hub após 16 de fevereiro de 2026. | 
| 12 de janeiro de 2026 | [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4) | O Security Hub CSPM atualizou esse controle para remover o `loggingEnabled` parâmetro. | 
| 12 de janeiro de 2026 | [MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada | O Security Hub CSPM retirou o controle e removeu o controle de todos os padrões aplicáveis. O Security Hub CSPM retirou o controle devido aos requisitos do Amazon MQ para atualizações automáticas de versões secundárias. [Anteriormente, o controle se aplicava ao padrão [AWS Foundational Security Best Practices (FSBP), ao padrão](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[NIST SP 800-53 Rev. 5 e ao padrão](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) PCI DSS v4.0.1.](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)  | 
| 12 de janeiro de 2026 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de tempo de execução de uma AWS Lambda função correspondem aos valores esperados para tempos de execução suportados em cada idioma. O Security Hub CSPM agora oferece suporte `dotnet10` como um valor de parâmetro para esse controle. AWS Lambda adicionou suporte para esse tempo de execução. | 
| 15 de dezembro de 2025 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de tempo de execução de uma AWS Lambda função correspondem aos valores esperados para tempos de execução suportados em cada idioma. O Security Hub CSPM não oferece mais suporte `python3.9` como valor de parâmetro para esse controle. AWS Lambda não suporta mais esse tempo de execução. | 
| 12 de dezembro de 2025 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | Esse controle verifica se um cluster do Amazon EKS está sendo executado em uma versão do Kubernetes com suporte. O CSPM do Security Hub alterou o valor do parâmetro para esse controle de `1.31` para. `1.32` O suporte padrão para o Kubernetes versão 1.31 no Amazon EKS terminou em 26 de novembro de 2025.  | 
| 21 de novembro de 2025 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de tempo de execução de uma AWS Lambda função correspondem aos valores esperados para tempos de execução suportados em cada idioma. O Security Hub CSPM agora suporta `nodejs24.x` e `python3.14` como valores de parâmetros para esse controle. AWS Lambda adicionou suporte para esses tempos de execução. | 
| 14 de novembro de 2025 | [As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos](ec2-controls.md#ec2-15) | O Security Hub CSPM atualizou a descrição e a justificativa desse controle. Anteriormente, o controle só verificava a atribuição automática de IP IPv4 público nas sub-redes da Amazon VPC usando a bandeira. `MapPublicIpOnLaunch` Esse controle agora verifica a atribuição automática IPv4 e a atribuição automática de IP IPv6 público. A descrição e a justificativa do controle foram atualizadas para refletir essas mudanças. | 
| 14 de novembro de 2025 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de tempo de execução de uma AWS Lambda função correspondem aos valores esperados para tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a `java25` como um valor de parâmetro para esse controle. O AWS Lambda adicionou suporte para esse runtime. | 
| 13 de novembro de 2025 | [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) | O Security Hub CSPM alterou a severidade desse controle de `HIGH` para. `CRITICAL` Permitir o acesso público aos tópicos do Amazon SNS representa um risco de segurança significativo. | 
| 13 de novembro de 2025 | [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) | O Security Hub CSPM alterou a severidade desse controle de `HIGH` para. `CRITICAL` Permitir o acesso público às filas do Amazon SQS representa um risco de segurança significativo. | 
| 13 de novembro de 2025 | [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) | O Security Hub CSPM alterou a severidade desse controle de `MEDIUM` para. `HIGH` Esse tipo de monitoramento de tempo de execução fornece detecção aprimorada de ameaças para os recursos do Amazon EKS. | 
| 13 de novembro de 2025 | [[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada](mq-controls.md#mq-3) | O Security Hub CSPM alterou a severidade desse controle de `LOW` para. `MEDIUM` Pequenas atualizações de versão incluem patches de segurança que são necessários para manter a segurança do agente Amazon MQ. | 
| 13 de novembro de 2025 | [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) | O Security Hub CSPM alterou a severidade desse controle de `LOW` para. `MEDIUM` As atualizações de software incluem patches de segurança que são necessários para manter a segurança OpenSearch do domínio. | 
| 13 de novembro de 2025 | [[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada](rds-controls.md#rds-7) | O Security Hub CSPM alterou a severidade desse controle de `LOW` para. `MEDIUM` A proteção contra exclusão ajuda a evitar a exclusão acidental dos bancos de dados do Amazon RDS e a exclusão dos bancos de dados do RDS por entidades não autorizadas. | 
| 13 de novembro de 2025 | [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) | O Security Hub CSPM alterou a severidade desse controle de `LOW` para. `MEDIUM` AWS CloudTrail os dados de registro no Amazon CloudWatch Logs podem ser usados para atividades de auditoria, alarmes e outras operações de segurança importantes. | 
| 13 de novembro de 2025 | [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) | O Security Hub CSPM alterou a severidade desse controle de `HIGH` para. `MEDIUM` Compartilhar AWS Service Catalog portfólios com contas específicas pode ser intencional e não necessariamente indica que um portfólio está acessível ao público. | 
| 13 de novembro de 2025 | [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) | O Security Hub CSPM alterou a severidade desse controle de `MEDIUM` para. `LOW` Os nomes de `cloudfront.net` domínio padrão para CloudFront distribuições da Amazon são gerados aleatoriamente, o que reduz o risco de segurança. | 
| 13 de novembro de 2025 | [[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada](elb-controls.md#elb-7) | O Security Hub CSPM alterou a severidade desse controle de `MEDIUM` para. `LOW` Em implantações de várias instâncias, outras instâncias íntegras podem lidar com as sessões do usuário quando uma instância é encerrada sem esgotar a conexão, o que reduz o impacto operacional e os riscos de disponibilidade. | 
| 13 de novembro de 2025 | [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) | O Security Hub CSPM atualizou esse controle para remover o parâmetro opcional`validAdminUserNames`. | 
| 23 de outubro de 2025 | [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) | O CSPM do Security Hub reverteu as alterações feitas no título, na descrição e na regra desse controle em 14 de outubro de 2025. | 
| 22 de outubro de 2025 | [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) | O Security Hub CSPM atualizou esse controle para não gerar descobertas para CloudFront distribuições da Amazon que usam origens personalizadas.  | 
| 16 de outubro de 2025 | [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) | Esse controle verifica se uma CloudFront distribuição da Amazon está configurada para usar uma política de segurança TLS recomendada. O CSPM do Security Hub agora oferece suporte a `TLSv1.2_2025` e `TLSv1.3_2025` como valores de parâmetros para esse controle. | 
| 14 de outubro de 2025 | [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) | O CSPM do Security Hub alterou o título, a descrição e a regra desse controle. [Anteriormente, o controle verificava os clusters do Redis OSS e todos os grupos de replicação, usando a regra -backup-check. elasticache-redis-cluster-automatic](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) O título do controle era: os *clusters ElastiCache (Redis OSS) deveriam ter backups automáticos habilitados*. [Esse controle agora verifica os clusters Valkey, além dos clusters Redis OSS e todos os grupos de replicação, usando a regra -enabled. elasticache-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html) O novo título e a descrição refletem que o controle verifica os dois tipos de clusters.  | 
| 5 de outubro de 2025 | [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) | A regra para esse controle foi atualizada para também gerar uma `PASSED` descoberta se um domínio do Amazon OpenSearch Service não tiver atualizações de software disponíveis e o status da atualização for inelegível. Anteriormente, esse controle gerava uma `PASSED` descoberta somente se um OpenSearch domínio não tivesse atualizações de software disponíveis e o status da atualização estivesse completo.  | 
| 24 de setembro de 2025 | [Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão [RedshiftServerless.7] Os namespaces sem servidor do Redshift não devem usar o nome do banco de dados padrão | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões aplicáveis. O CSPM do Security Hub retirou esses controles devido às limitações inerentes do Amazon Redshift que impediam a correção efetiva das descobertas `FAILED` dos controles. Anteriormente, os controles se aplicavam ao padrão [Práticas Recomendadas de Segurança Básica da AWS (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) e ao [padrão NIST SP 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html). O controle Redshift.9 também se aplica ao [padrão gerenciado por serviço do AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html).  | 
| 9 de setembro de 2025 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de tempo de execução de uma AWS Lambda função correspondem aos valores esperados para tempos de execução suportados em cada idioma. O CSPM do Security Hub não oferece mais suporte ao `nodejs18.x` como valor de parâmetro para esse controle. O AWS Lambda não oferece mais suporte aos runtimes do Node.js 18. | 
| 13 de agosto de 2025 | [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) | O CSPM do Security Hub alterou o título e a descrição desse controle. O novo título e a descrição refletem com mais precisão que o controle verifica a configuração do `EnableNetworkIsolation` parâmetro dos modelos hospedados pela Amazon SageMaker AI. Anteriormente, o título desse controle era: *SageMaker models should block inbound traffic*.  | 
| 13 de agosto de 2025 | [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) | O CSPM do Security Hub alterou o título e a descrição desse controle. Os novos título e descrição refletem com mais precisão o escopo e a natureza da verificação que o controle executa. Anteriormente, o título desse controle era: *EFS mount targets should not be associated with a public subnet*.  | 
| 24 de julho de 2025 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | Esse controle verifica se um cluster do Amazon EKS está sendo executado em uma versão do Kubernetes com suporte. O CSPM do Security Hub alterou o valor do parâmetro para esse controle de `1.30` para. `1.31` O suporte padrão para o Kubernetes versão 1.30 no Amazon EKS terminou em 23 de julho de 2025.  | 
| 23 de julho de 2025 | [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) | O CSPM do Security Hub alterou o título desse controle. O novo título reflete com mais precisão que o controle verifica apenas as solicitações da frota spot do Amazon EC2 que especifiquem parâmetros de lançamento. Anteriormente, o título desse controle era: *EC2 Spot Fleet requests should enable encryption for attached EBS volumes*.  | 
| 30 de junho de 2025 | [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) | O CSPM do Security Hub removeu esse controle do [padrão PCI DSS v4.0.1](pci-standard.md). O PCI DSS v4.0.1 não exige explicitamente o uso de símbolos nas senhas.  | 
| 30 de junho de 2025 | [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) | O CSPM do Security Hub removeu esse controle do [padrão NIST SP 800-171 Revisão 2](standards-reference-nist-800-171.md). O NIST SP 800-171 Revisão 2 não exige explicitamente períodos de expiração de senhas de 90 dias ou menos.  | 
| 30 de junho de 2025 | [[RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados](rds-controls.md#rds-16) | O CSPM do Security Hub alterou o título desse controle. O novo título reflete com mais precisão que o controle verifica apenas os clusters de banco de dados Amazon Aurora. Anteriormente, o título desse controle era: *RDS DB clusters should be configured to copy tags to snapshots*. | 
| 30 de junho de 2025 | [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) | Esse controle verifica se uma instância do notebook Amazon SageMaker AI está configurada para ser executada em uma plataforma compatível, com base no identificador da plataforma especificado para a instância do notebook. O CSPM do Security Hub não oferece mais suporte a `notebook-al2-v1` e `notebook-al2-v2` como valores de parâmetros para esse controle. As instâncias de notebooks executadas nessas plataformas tiveram o suporte encerrado em 30 de junho de 2025. | 
| 30 de maio de 2025 | [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) | O CSPM do Security Hub removeu esse controle do [padrão PCI DSS v4.0.1](pci-standard.md). Esse controle verifica se as políticas de senha da conta para usuários do IAM atendem aos requisitos mínimos, incluindo um tamanho mínimo de senha de 7 caracteres. O PCI DSS v4.0.1 agora exige que as senhas tenham no mínimo 8 caracteres. O controle continua a ser aplicado ao padrão PCI DSS v3.2.1, que tem requisitos de senha diferentes. Para avaliar as políticas de senha da conta em relação aos requisitos do PCI DSS v4.0.1, é possível usar o [controle IAM.7](iam-controls.md#iam-7). Esse controle exige que as senhas tenham no mínimo 8 caracteres. Ele também oferece suporte a valores personalizados para tamanho da senha e outros parâmetros. O controle IAM.7 faz parte do padrão PCI DSS v4.0.1 no CSPM do Security Hub.  | 
| 8 de maio de 2025 | [RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet | O CSPM do Security Hub reverteu o lançamento do controle RDS.46 em todas as Regiões da AWS. Anteriormente, esse controle era compatível com o padrão AWS Foundational Security Best Practices (FSBP). | 
| 7 de abril de 2025 | [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) | Esse controle verifica se o receptor de HTTPS para um Application Load Balancer ou o receptor de TLS para um Network Load Balancer está configurado para criptografar dados em trânsito usando uma política de segurança recomendada. O CSPM do Security Hub agora oferece suporte a dois parâmetros adicionais para esse controle: `ELBSecurityPolicy-TLS13-1-2-Res-2021-06` e `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04`. | 
| 27 de março de 2025 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de runtime de uma função do AWS Lambda correspondem aos valores esperados para os runtimes com suporte em cada linguagem. O Security Hub CSPM agora oferece suporte `ruby3.4` como um valor de parâmetro para esse controle. AWS Lambda adicionou suporte para esse tempo de execução. | 
| 26 de março de 2025 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. Para o parâmetro `oldestVersionSupported`, o CSPM do Security Hub alterou o valor de `1.29` para `1.30`. A versão do Kubernetes mais antiga com suporte agora é a `1.30`. | 
| 10 de março de 2025 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) | Esse controle verifica se as configurações de runtime de uma função do AWS Lambda correspondem aos valores esperados para os runtimes com suporte em cada linguagem. O Security Hub CSPM não oferece mais suporte `dotnet6` e `python3.8` como valores de parâmetros para esse controle. AWS Lambda não oferece mais suporte a esses tempos de execução. | 
| 07 de março de 2025 | [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) | O Security Hub CSPM removeu esse controle do padrão AWS Foundational Security Best Practices e automatizou as verificações dos requisitos do NIST SP 800-53 Rev. 5. Como a rede do Amazon EC2-Classic foi descontinuada, instâncias do Amazon Relational Database Service (Amazon RDS) não podem mais ser implantadas fora de uma VPC. O controle continua fazendo parte do [padrão gerenciado por serviço do AWS Control Tower](service-managed-standard-aws-control-tower.md). | 
| 10 de janeiro de 2025 | [Glue.2] Os trabalhos do AWS Glue devem ter o registro ativado | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. | 
| 20 de dezembro de 2024 | EC2.61 até EC2.169  | O CSPM do Security Hub reverteu o lançamento dos controles EC2.61 até EC2.169. | 
| 12 de dezembro de 2024 | [[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados](rds-controls.md#rds-23)  | O RDS.23 verifica se um cluster ou uma instância do Amazon Relational Database Service (Amazon RDS) usa uma porta diferente da porta padrão do mecanismo de banco de dados. Atualizamos o controle para que a AWS Config regra subjacente retorne o resultado NOT\$1APPLICABLE de quatro instâncias do RDS que fazem parte de um cluster. | 
| 2 de dezembro de 2024 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a nodejs22.x como parâmetro. | 
| 26 de novembro de 2024 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2)  | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. A versão mais antiga com suporte agora é a 1.29. | 
| 20 de novembro de 2024 | [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)  | O Config.1 verifica se AWS Config está habilitado, usa a função vinculada ao serviço e registra os recursos dos controles habilitados. O CSPM do Security Hub aumentou a gravidade desse controle de `MEDIUM` para `CRITICAL`. O CSPM do Security Hub também adicionou [novos códigos de status e motivos de status](controls-findings-create-update.md#control-findings-asff-compliance) para descobertas com falha do Config.1. Essas mudanças refletem a importância do Config.1 para a operação dos controles do CSPM do Security Hub. Se você tiver AWS Config ou a gravação de recursos desativada, poderá receber descobertas de controle imprecisas. Para receber uma descoberta `PASSED` para o Config.1, ative o registro de recursos para recursos que correspondam aos controles habilitados do CSPM do Security Hub e desabilite os controles que não sejam necessários em sua organização. Para obter instruções sobre a configuração do AWS Config Security Hub CSPM, consulte. [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md) Para obter uma lista de controles do CSPM do Security Hub e seus recursos correspondentes, consulte [AWS Config Recursos necessários para descobertas de controle](controls-config-resources.md). | 
| 12 de novembro de 2024 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a python3.13 como parâmetro. | 
| 11 de outubro de 2024 | ElastiCache controles  | Títulos de controle alterados para ElastiCache .3, ElastiCache .4, ElastiCache .5 e .7. ElastiCache Os títulos não mencionam mais o Redis OSS porque os controles também se aplicam ao Valkey ElastiCache . | 
| 27 de setembro de 2024 | [[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos](elb-controls.md#elb-4)  | Título do controle alterado de O Application Load Balancer deve ser configurado para ignorar cabeçalhos http para O Application Load Balancer deve ser configurado para ignorar cabeçalhos http inválidos. | 
| 19 de agosto de 2024 | Alterações de título para DMS.12 e controles ElastiCache  | Títulos de controle alterados para DMS.12 e .1 a ElastiCache .7. ElastiCache Alteramos esses títulos para refletir uma mudança de nome no serviço Amazon ElastiCache (Redis OSS). | 
| 15 de agosto de 2024 | [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)  | O Config.1 verifica se AWS Config está habilitado, usa a função vinculada ao serviço e registra os recursos dos controles habilitados. O CSPM do Security Hub adicionou um parâmetro de controle personalizado denominado includeConfigServiceLinkedRoleCheck. Definindo esse parâmetro como false, você pode optar por não verificar se o AWS Config usa o perfil vinculado ao serviço. | 
| 31 de julho de 2024 | [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1)  | Título do controle alterado de Os perfis de segurança do AWS IoT Core devem ser marcados para Os perfis de segurança do AWS IoT Device Defender devem ser marcados. | 
| 29 de julho de 2024 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub não oferece mais suporte a nodejs16.x como parâmetro. | 
| 29 de julho de 2024 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2)  | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. A versão compatível mais antiga é a 1.28. | 
| 25 de junho de 2024 | [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)  | Esse controle verifica se AWS Config está ativado, usa a função vinculada ao serviço e registra os recursos dos controles habilitados. O CSPM do Security Hub atualizou o título do controle para refletir o que o controle avalia. | 
| 14 de junho de 2024 | [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34)  | Esse controle verifica se um cluster de banco de dados Amazon Aurora MySQL está configurado para publicar logs de auditoria no Amazon Logs. CloudWatch O CSPM do Security Hub atualizou o controle para que não gere descobertas para clusters do banco de dados do Aurora Serverless v1. | 
| 11 de junho de 2024 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2)  | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. A versão compatível mais antiga é a 1.27. | 
| 10 de junho de 2024 | [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)  | Esse controle verifica se AWS Config está ativado e se a gravação de AWS Config recursos está ativada. Anteriormente, o controle produzia uma descoberta PASSED somente se você configurasse a gravação para todos os recursos. O CSPM do Security Hub atualizou o controle para produzir uma descoberta PASSED quando o registro está ativado para os recursos necessários para os controles habilitados. O controle também foi atualizado para verificar se a função AWS Config vinculada ao serviço é usada, o que fornece permissões para registrar os recursos necessários. | 
| 8 de maio de 2024 | [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20)  | Esse controle verifica se um bucket versionado de uso geral do Amazon S3 tem a exclusão da autenticação multifator (MFA) habilitada. Anteriormente, o controle produzia uma descoberta FAILED para buckets com uma configuração de ciclo de vida. Porém, a exclusão da MFA com versionamento não pode ser habilitada em um bucket com uma configuração de ciclo de vida. O CSPM do Security Hub atualizou o controle para não produzir descobertas para buckets com uma configuração de ciclo de vida. O título de controle foi atualizado para refletir o comportamento atual.  | 
| 2 de maio de 2024 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2)  | O CSPM do Security Hub atualizou a versão mais antiga do Kubernetes com suporte na qual o cluster do Amazon EKS pode ser executado para produzir uma descoberta aprovada. A versão atual mais antiga compatível é o Kubernetes 1.26. | 
| 30 de abril de 2024 | [[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada](cloudtrail-controls.md#cloudtrail-3)  | O título de controle alterado de CloudTrail deve ser ativado para Pelo menos uma CloudTrail trilha deve ser ativada. Atualmente, esse controle produz uma PASSED descoberta se um Conta da AWS tiver pelo menos uma CloudTrail trilha ativada. O título e a descrição foram alterados para refletir com precisão o comportamento atual. | 
| 29 de abril de 2024 | [[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB](autoscaling-controls.md#autoscaling-1)  | Título do controle alterado de Os grupos do Auto Scaling associados a um Classic Load Balancer devem usar verificações de integridade de balanceador de carga para Os grupos do Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB. Atualmente, esse controle avalia os balanceadores de carga de aplicações, gateways, redes e os balanceadores de carga clássicos. O título e a descrição foram alterados para refletir com precisão o comportamento atual. | 
| 19 de abril de 2024 | [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)  | O controle verifica se AWS CloudTrail está habilitado e configurado com pelo menos uma trilha multirregional que inclui eventos de gerenciamento de leitura e gravação. Anteriormente, o controle gerava PASSED descobertas incorretamente quando uma conta era CloudTrail ativada e configurada com pelo menos uma trilha multirregional, mesmo que nenhuma trilha capturasse eventos de gerenciamento de leitura e gravação. O controle agora gera uma PASSED descoberta somente quando CloudTrail está habilitado e configurado com pelo menos uma trilha multirregional que captura eventos de gerenciamento de leitura e gravação. | 
| 10 de abril de 2024 | [Athena.1] Os grupos de trabalho do Athena devem ser criptografados em repouso  | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Os grupos de trabalho do Athena enviam logs para os buckets do Amazon Simple Storage Service (Amazon S3). O Amazon S3 agora fornece criptografia padrão com chaves gerenciadas do S3 (SS3-S3) em buckets S3 novos e existentes. | 
| 10 de abril de 2024 | [AutoScaling.4] A configuração de inicialização do grupo Auto Scaling não deve ter um limite de salto de resposta de metadados maior que 1  | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Os limites de saltos de resposta de metadados para instâncias do Amazon Elastic Compute Cloud (Amazon EC2) dependem da workload. | 
| 10 de abril de 2024 | [CloudFormation.1] CloudFormation as pilhas devem ser integradas ao Simple Notification Service (SNS)  | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Integrar as pilhas do AWS CloudFormation a tópicos do Amazon SNS não é mais uma prática recomendada de segurança. Embora a integração de CloudFormation pilhas importantes com tópicos do SNS possa ser útil, ela não é necessária para todas as pilhas. | 
| 10 de abril de 2024 | [CodeBuild.5] ambientes de CodeBuild projeto não devem ter o modo privilegiado ativado  | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Ativar o modo privilegiado em um CodeBuild projeto não impõe um risco adicional ao ambiente do cliente. | 
| 10 de abril de 2024 | [IAM.20] Evitar o uso do usuário-raiz  | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. O objetivo desse controle é coberto por outro controle, [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1). | 
| 10 de abril de 2024 | [SNS.2] O registro em log do status de entrega deve ser habilitado para mensagens de notificação enviadas a um tópico  | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Registrar em log o status de entrega dos tópicos do SNS não é mais uma prática recomendada de segurança. Embora o registro em log do status de entrega de tópicos importantes do SNS possa ser útil, não é necessário para todos os tópicos. | 
| 10 de abril de 2024 | [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10)  | O Security Hub CSPM removeu esse controle do AWS Foundational Security Best Practices and Service-Managed Standard:. AWS Control Tower O objetivo desse controle é coberto por outros dois controles, [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) e [[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado](s3-controls.md#s3-14). Esse controle ainda faz parte do NIST SP 800-53 Rev. 5. | 
| 10 de abril de 2024 | [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11)  | O Security Hub CSPM removeu esse controle do AWS Foundational Security Best Practices and Service-Managed Standard:. AWS Control Tower Embora haja alguns casos em que as notificações de eventos para buckets do S3 sejam úteis, essa não é uma prática recomendada de segurança universal. Esse controle ainda faz parte do NIST SP 800-53 Rev. 5. | 
| 10 de abril de 2024 | [[SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS](sns-controls.md#sns-1)  | O Security Hub CSPM removeu esse controle do AWS Foundational Security Best Practices and Service-Managed Standard:. AWS Control Tower Por padrão, o SNS criptografa tópicos em repouso com criptografia em disco. Para obter mais informações, consulte [Criptografia de dados](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html). Usar AWS KMS para criptografar tópicos não é mais recomendado como uma prática recomendada de segurança. Esse controle ainda faz parte do NIST SP 800-53 Rev. 5. | 
| 8 de abril de 2024 | [[ELB.6] A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada](elb-controls.md#elb-6)  | Título do controle alterado de A proteção contra exclusão do Application Load Balancer deve estar habilitada para Os balanceadores de carga de aplicações, gateways e redes devem ter a proteção contra exclusão habilita. Atualmente, esse controle avalia os balanceadores de carga de aplicações, gateways e redes. O título e a descrição foram alterados para refletir com precisão o comportamento atual. | 
| 22 de março de 2024 | [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8)  | O título de controle alterado de Conexões a OpenSearch domínios deve ser criptografado usando TLS 1.2 para Conexões a OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente. Anteriormente, o controle só verificava se as conexões com OpenSearch domínios usavam o TLS 1.2. O controle agora produz uma PASSED descoberta se os OpenSearch domínios estão criptografados usando a política de segurança TLS mais recente. O título do controle foi atualizado para refletir o comportamento atual.  | 
| 22 de março de 2024 | [[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente](es-controls.md#es-8)  | Título do controle alterado de As conexões com os domínios do Elasticsearch devem ser criptografadas usando o TLS 1.2 para As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente. Anteriormente, o controle verificava apenas se as conexões com os domínios do Elasticsearch usavam o TLS 1.2. O controle agora produz uma descoberta PASSED se os domínios do Elasticsearch forem criptografados usando a política de segurança TLS mais recente. O título do controle foi atualizado para refletir o comportamento atual.  | 
| 12 de março de 2024 | [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)  | Título alterado de A configuração de bloqueio do acesso público do S3 deve estar habilitada para Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura](s3-controls.md#s3-2)  | Título alterado de Os buckets do S3 devem proibir o acesso público para leitura para Os buckets de uso geral do S3 devem bloquear o acesso público para leitura. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação](s3-controls.md#s3-3)  | Título alterado de Os buckets do S3 devem proibir o acesso público para gravação para Os buckets de uso geral do S3 devem bloquear o acesso público para gravação. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)  | Título alterado de Os buckets do S3 devem exigir que as solicitações usem Secure Socket Layer para Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS](s3-controls.md#s3-6)  | Título alterado de As permissões do S3 concedidas a outras Contas da AWS nas políticas de bucket devem ser restritas para As políticas de bucket de uso geral do S3 devem restringir o acesso a outras Contas da AWS. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7)  | Título alterado de Os buckets do S3 devem ter a replicação entre regiões habilitada para Os buckets de uso geral do S3 devem usar replicação entre regiões. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7)  | Título alterado de Os buckets do S3 devem ter a replicação entre regiões habilitada para Os buckets de uso geral do S3 devem usar replicação entre regiões. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)  | Título alterado de A configuração de bloqueio do acesso público do S3 deve estar habilitada ao nível do bucket para Os buckets de uso geral do S3 devem bloquear o acesso público. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado](s3-controls.md#s3-9)  | Título alterado de O registro em log de acesso ao servidor de buckets do S3 deve ser habilitado para O registro em log de acesso ao servidor deve ser habilitado para os buckets de uso geral do S3. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10)  | O título alterado de Os buckets do S3 com versionamento habilitado devem ter políticas de ciclo de vida configuradas para Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11)  | Título alterado de Os buckets do S3 devem ter as notificações de eventos habilitadas para Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12)  | O título alterado das listas de controle de acesso (ACLs) do S3 não deve ser usado para gerenciar o acesso do usuário aos buckets e não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13)  | Título alterado de Os buckets do S3 devem ter políticas de ciclo de vida configuradas para Os buckets de uso geral do S3 devem ter configurações de ciclo de vida. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado](s3-controls.md#s3-14)  | Título alterado de Os buckets do S3 deve usar versionamento para Os buckets de uso geral do S3 devem ter o versionamento habilitado. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado](s3-controls.md#s3-15)  | Título alterado de Os buckets do S3 devem ser configurados para usar o Bloqueio de Objetos para Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 12 de março de 2024 | [[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17)  | Título alterado de Os buckets do S3 devem ser criptografados em repouso com AWS KMS keys para Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. | 
| 7 de março de 2024 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a nodejs20.x e ruby3.3 como parâmetros. | 
| 22 de fevereiro de 2024 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a dotnet8 como parâmetro. | 
| 5 de fevereiro de 2024 | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2)  | O CSPM do Security Hub atualizou a versão mais antiga do Kubernetes com suporte na qual o cluster do Amazon EKS pode ser executado para produzir uma descoberta aprovada. A versão atual mais antiga compatível é o Kubernetes 1.25.  | 
| 10 de janeiro de 2024 | [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1)  | O título alterado de CodeBuild GitHub ou o repositório de origem do Bitbucket URLs deve ser usado OAuth para o repositório CodeBuild  de origem do Bitbucket não URLs deve conter credenciais confidenciais. O Security Hub CSPM removeu a menção OAuth porque outros métodos de conexão também podem ser seguros. O CSPM do Security Hub removeu a menção GitHub porque não é mais possível ter um token de acesso pessoal ou nome de usuário e senha no repositório de GitHub origem. URLs | 
| 8 de janeiro de 2024 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub não oferece mais suporte a go1.x e java8 como parâmetros porque esses são runtimes descontinuados. | 
| 29 de dezembro de 2023 | [[RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada](rds-controls.md#rds-8)  | O RDS.8 verifica se uma instância de banco de dados Amazon RDS que use um dos mecanismos de banco de dados com suporte tem a proteção contra exclusão habilitada. O CSPM do Security Hub agora oferece suporte a custom-oracle-ee, oracle-ee-cdb e oracle-se2-cdb como mecanismos de banco de dados. | 
| 22 de dezembro de 2023 | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a java21 e python3.12 como parâmetros. O CSPM do Security Hub não oferece mais suporte a ruby2.7 como parâmetro. | 
| 15 de dezembro de 2023 | [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1)  | CloudFront.1 verifica se uma CloudFront distribuição da Amazon tem um objeto raiz padrão configurado. O CSPM do Security Hub reduziu a gravidade desse controle de CRÍTICA para ALTA, pois adicionar o objeto raiz padrão é uma recomendação que depende da aplicação do usuário e dos requisitos específicos. | 
| 5 de dezembro de 2023  | [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13)  | Título de controle alterado de Grupos de segurança não deve permitir a entrada de 0.0.0.0/0 na porta 22 para Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22.  | 
| 5 de dezembro de 2023  | [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14)  | Título de controle alterado de Certifique-se de que nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 3389 para Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389.  | 
| 5 de dezembro de 2023  | [[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch](rds-controls.md#rds-9)  | O título de controle alterado do Registro do banco de dados deve ser habilitado para que as instâncias de banco de dados do RDS publiquem os registros nos CloudWatch registros. O Security Hub CSPM identificou que esse controle só verifica se os registros estão publicados no Amazon CloudWatch Logs e não verifica se os registros do RDS estão habilitados. O controle produz uma PASSED descoberta se as instâncias de banco de dados do RDS estão configuradas para publicar registros no CloudWatch Logs. O título de controle foi atualizado para refletir o comportamento atual.  | 
| 5 de dezembro de 2023 | [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8)  | Esse controle verifica se os clusters do Amazon EKS têm o registro em log de auditoria habilitado. A AWS Config regra que o Security Hub CSPM usa para avaliar esse controle mudou de eks-cluster-logging-enabled para. eks-cluster-log-enabled | 
| 17 de novembro de 2023  | [[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco](ec2-controls.md#ec2-19)  | O EC2.19 verifica se o tráfego de entrada irrestrito para um grupo de segurança está acessível às portas especificadas que são consideradas de alto risco. O CSPM do Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'.  | 
| 16 de novembro de 2023  | [[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas](cloudwatch-controls.md#cloudwatch-15)  | O título de controle alterado de CloudWatch alarmes deve ter uma ação configurada para o estado ALARME e  CloudWatch os alarmes devem ter ações especificadas configuradas.  | 
| 16 de novembro de 2023  | [[CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado](cloudwatch-controls.md#cloudwatch-16)  | O título de controle alterado dos grupos de CloudWatch registros deve ser mantido por pelo menos 1 ano; os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado.  | 
| 16 de novembro de 2023  | [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5)  | Título de controle alterado de As funções do Lambda da VPC devem operar em mais de uma zona de disponibilidade para As funções do Lambda da VPC devem operar em várias zonas de disponibilidade.  | 
| 16 de novembro de 2023  | [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2)  | Título de controle alterado de O AWS AppSync ter o registro em log em nível de solicitação e em nível de campo ativado para O AWS AppSync deve ter o registro em log em nível de campo habilitado.  | 
| 16 de novembro de 2023  | [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1)  | O título de controle alterado dos nós principais do MapReduce cluster Amazon Elastic não deve ter endereços IP públicos para os nós primários do cluster Amazon EMR não devem ter endereços IP públicos.  | 
| 16 de novembro de 2023  | [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2)  | O título de controle alterado dos OpenSearch domínios deve estar em uma VPC OpenSearch para que os domínios não possam ser acessíveis ao público.  | 
| 16 de novembro de 2023  | [[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2)  | Título de controle alterado de Os domínios do Elasticsearch devem estar em uma VPC para Os domínios do Elasticsearch não devem ser acessíveis publicamente.  | 
| 31 de outubro de 2023  | [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4)  | O ES.4 verifica se os domínios do Elasticsearch estão configurados para enviar registros de erro para o Amazon Logs. CloudWatch Anteriormente, o controle produziu uma PASSED descoberta para um domínio do Elasticsearch que tem todos os registros configurados para serem enviados ao CloudWatch Logs. O Security Hub CSPM atualizou o controle para produzir uma PASSED descoberta somente para um domínio do Elasticsearch que está configurado para enviar registros de erros para Logs. CloudWatch O controle também foi atualizado para excluir as versões do Elasticsearch que não oferecem suporte a logs de erros da avaliação.  | 
| 16 de outubro de 2023  | [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13)  | O EC2.13 verifica se os grupos de segurança permitem acesso de entrada irrestrito à porta 22. O CSPM do Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'.  | 
| 16 de outubro de 2023  | [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14)  | O EC2.14 verifica se os grupos de segurança permitem acesso irrestrito à porta 3389. O CSPM do Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'.  | 
| 16 de outubro de 2023  | [[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas](ec2-controls.md#ec2-18)  | O EC2.18 verifica se os grupos de segurança em uso não permitem tráfego de entrada irrestrito. O CSPM do Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'.  | 
| 16 de outubro de 2023  | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a python3.11 como parâmetro.  | 
| 4 de outubro de 2023  | [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7)  | O CSPM do Security Hub adicionou o parâmetro ReplicationType com um valor de CROSS-REGION para garantir que os buckets S3 tenham a replicação entre regiões habilitada em vez da replicação na mesma região.  | 
| 27 de setembro de 2023  | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2)  | O CSPM do Security Hub atualizou a versão mais antiga do Kubernetes com suporte na qual o cluster do Amazon EKS pode ser executado para produzir uma descoberta aprovada. A versão atual mais antiga compatível é o Kubernetes 1.24.  | 
| 20 de setembro de 2023  | [CloudFront.2] CloudFront as distribuições devem ter a identidade de acesso de origem ativada  | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Em vez disso, consulte [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13). O controle de acesso à origem é a prática recomendada de segurança atual. Esse controle será removido da documentação em 90 dias. | 
| 20 de setembro de 2023  | [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22)  | O Security Hub CSPM removeu esse controle do AWS Foundational Security Best Practices (FSBP) e do National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Ainda faz parte do Service-Managed Standard:. AWS Control Tower Esse controle da produz uma descoberta aprovada se os grupos de segurança estiverem conectados a instâncias do EC2 ou a uma interface de rede elástica. No entanto, para determinados casos de uso, grupos de segurança independentes não representam um risco de segurança. É possível usar outros controles do EC2, como EC2.2, EC2.13, EC2.14, EC2.18 e EC2.19, para monitorar seus grupos de segurança.  | 
| 20 de setembro de 2023  | [EC2.29] As instâncias do EC2 devem ser lançadas em uma VPC  | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. O Amazon EC2 migrou instâncias do EC2-Classic para uma VPC. Esse controle será removido da documentação em 90 dias. | 
| 20 de setembro de 2023  | [S3.4] Os buckets do S3 devem ter a criptografia no lado do servidor habilitada  | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. O Amazon S3 agora fornece criptografia padrão com chaves gerenciadas do S3 (SS3-S3) em buckets S3 novos e existentes. As configurações de criptografia permanecem inalteradas para buckets existentes que são criptografados com criptografia SS3 -S3 ou SS3 -KMS do lado do servidor. Esse controle será removido da documentação em 90 dias.  | 
| 14 de setembro de 2023  | [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)  | Título de controle alterado de O grupo de segurança padrão da VPC não deve permitir tráfego de entrada e saída para Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída.  | 
| 14 de setembro de 2023  | [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)  | Título de controle alterado de Virtual MFA deve ser habilitado para o usuário raiz para MFA deve ser habilitado para o usuário raiz.  | 
|  14 de setembro de 2023  | [[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster](rds-controls.md#rds-19)  | Título de controle alterado de Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do cluster para As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos do cluster.  | 
| 14 de setembro de 2023  | [[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados](rds-controls.md#rds-20)  | Título de controle alterado de Uma assinatura de notificações de eventos RDS deve ser configurada para eventos críticos de instância de banco de dados para Assinaturas de notificação de eventos RDS existentes devem ser configuradas para eventos críticos de instância de banco de dados.  | 
| 14 de setembro de 2023  | [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2)  | Título de controle alterado de Uma regra regional do WAF deve ter pelo menos uma condição para as regras regionais clássicas do AWS WAF devem ter pelo menos uma condição.  | 
| 14 de setembro de 2023  | [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3)  | Título de controle alterado de Um grupo de regras regionais do WAF deve ter pelo menos uma regra para grupos de regras regionais clássicas AWS WAF devem ter pelo menos uma regra.  | 
| 14 de setembro de 2023  | [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4)  | O título de controle alterado de Uma ACL da web regional do WAF deve ter pelo menos uma regra ou grupo de regras para a web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras.  | 
| 14 de setembro de 2023  | [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6)  | Título de controle alterado de Uma regra global do WAF deve ter pelo menos uma condição para As regras globais clássicas do AWS WAF devem ter pelo menos uma condição.  | 
| 14 de setembro de 2023  | [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7)  | Título de controle alterado de Um grupo de regras globais do WAF deve ter pelo menos uma regra para grupos de regras globais clássicas do AWS WAF devem ter pelo menos uma regra.  | 
| 14 de setembro de 2023  | [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8)  | O título de controle alterado de Uma ACL da Web global do WAF deve ter pelo menos uma regra ou grupo de regras para a Web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras.  | 
| 14 de setembro de 2023  | [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10)  | O título de controle alterado de Uma ACL WAFv2 da web deve ter pelo menos uma regra ou grupo de regras para a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras.  | 
| 14 de setembro de 2023  | [[WAF.11] O registro de ACL AWS WAF da web deve estar ativado](waf-controls.md#waf-11)  | Título de controle alterado de ACL da web v2 do AWS WAF deve ser ativada para o logging de ACL da web do AWS WAF deve ser ativado.  | 
|  20 de julho de 2023  | [S3.4] Os buckets do S3 devem ter a criptografia no lado do servidor habilitada  | S3.4 verifica se um bucket do Amazon S3 tem criptografia no lado do servidor habilitada ou se a política do bucket do S3 nega explicitamente solicitações do PutObject sem criptografia no lado do servidor. O CSPM do Security Hub atualizou esse controle para incluir criptografia no lado do servidor de camada dupla com chaves do KMS (DSSE-KMS). O controle produz uma descoberta aprovada quando um bucket do S3 é criptografado com SSE-S3, SSE-KMS ou DSSE-KMS.  | 
| 17 de julho de 2023  | [[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17)  | O S3.17 verifica se um bucket do Amazon S3 está criptografado com um AWS KMS key. O CSPM do Security Hub atualizou esse controle para incluir criptografia no lado do servidor de camada dupla com chaves do KMS (DSSE-KMS). O controle produz uma descoberta aprovada quando um bucket do S3 é criptografado com SSE-KMS ou DSSE-KMS.  | 
| 9 de junho de 2023  | [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2)  | O EKS.2 verifica se um cluster do Amazon EKS está sendo executado em uma versão compatível do Kubernetes. A versão mais antiga compatível agora é 1.23.  | 
| 9 de junho de 2023  | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a ruby3.2 como parâmetro.  | 
| 5 de junho de 2023  | [[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso](apigateway-controls.md#apigateway-5)  | APIGateway.5.verifica se todos os métodos nos estágios da API REST do Amazon API Gateway estão criptografados em repouso. O CSPM do Security Hub atualizou o controle para avaliar a criptografia de um método específico somente quando o armazenamento em cache estiver habilitado para esse método.  | 
| 18 de maio de 2023  | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a java17 como parâmetro.  | 
| 18 de maio de 2023  | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub não oferece mais suporte a nodejs12.x como parâmetro.  | 
| 23 de abril de 2023  | [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10)  | O ECS.10 verifica se os serviços do Amazon ECS Fargate estão executando a versão da plataforma Fargate mais recente. Os clientes podem implantar o Amazon ECS por meio do ECS diretamente ou usando. CodeDeploy O Security Hub CSPM atualizou esse controle para produzir descobertas aprovadas quando você usa CodeDeploy para implantar serviços ECS Fargate.  | 
| 20 de abril de 2023  | [[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS](s3-controls.md#s3-6)  | O S3.6 verifica se uma política de bucket do Amazon Simple Storage Service (Amazon S3) impede que entidades principais de Contas da AWS terceiros executem ações negadas em recursos no bucket do S3. O CSPM do Security Hub atualizou o controle para considerar as condicionais em uma política de bucket.  | 
| 18 de abril de 2023  | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub agora oferece suporte a python3.10 como parâmetro. | 
| 18 de abril de 2023  | [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2)  | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O CSPM do Security Hub não oferece mais suporte a dotnetcore3.1 como parâmetro. | 
| 17 de abril de 2023  | [[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados](rds-controls.md#rds-11)  | O RDS.11 verifica se as instâncias do Amazon RDS têm backups automatizados habilitados, com um período de retenção de backup maior ou igual a sete dias. O CSPM do Security Hub atualizou esse controle para excluir réplicas de leitura da avaliação, pois nem todos os mecanismos oferecem suporte a backups automatizados em réplicas de leitura. Além disso, o RDS não oferece a opção de especificar um período de retenção de backup ao criar réplicas de leitura. As réplicas de leitura são criadas com um período de retenção de backup de 0 por padrão.  | 

# Controles CSPM do Security Hub para Contas da AWS
<a name="account-controls"></a>

Esses controles CSPM do Security Hub avaliam. Contas da AWS

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS
<a name="account-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.2, NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Identificar > Configuração de recursos

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se uma conta da Amazon Web Services (AWS) tem informações de contato de segurança. O controle falhará se as informações de contato de segurança não forem fornecidas para a conta.

Contatos de segurança alternativos AWS permitem que você entre em contato com outra pessoa sobre problemas com sua conta, caso você não esteja disponível. As notificações podem ser de Suporte, ou de outras AWS service (Serviço da AWS) equipes, sobre tópicos relacionados à segurança associados ao seu uso. Conta da AWS 

### Correção
<a name="account-1-remediation"></a>

Para adicionar um contato alternativo como contato de segurança ao seu Conta da AWS, consulte [Atualizar os contatos alternativos para você Conta da AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) no *Guia de referência de gerenciamento de AWS contas*.

## [A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations
<a name="account-2"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Gravidade:** alta

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um Conta da AWS faz parte de uma organização gerenciada por AWS Organizations. O controle falhará se a conta não fizer parte de uma organização.

O Organizations ajuda você a gerenciar centralmente seu ambiente à medida que você expande suas cargas de trabalho. AWSÉ possível usar várias Contas da AWS para isolar workloads que tenham requisitos de segurança específicos ou para cumprir estruturas como HIPAA ou PCI. Ao criar uma organização, você pode administrar várias contas como uma única unidade e gerenciar centralmente seus acessos Serviços da AWS, recursos e regiões.

### Correção
<a name="account-2-remediation"></a>

Para criar uma nova organização e Contas da AWS adicioná-la automaticamente, consulte [Criação de uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) no *Guia do AWS Organizations usuário*. Para adicionar contas a uma organização existente, consulte [Convidar um membro Conta da AWS para participar da sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) no *Guia do AWS Organizations usuário*.

# Controles CSPM do Security Hub para AWS Amplify
<a name="amplify-controls"></a>

Esses controles CSPM do Security Hub avaliam o AWS Amplify serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Amplify.1] As aplicações do Amplify devem ser marcadas com tags
<a name="amplify-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Amplify::App`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se um AWS Amplify aplicativo tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se a aplicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a aplicação não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="amplify-1-remediation"></a>

Para obter informações sobre como adicionar tags a um AWS Amplify aplicativo, consulte [Suporte à marcação de recursos](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) no *Guia do usuário do AWS Amplify Hosting*.

## [Amplify.2] As ramificações do Amplify devem ser marcadas com tags
<a name="amplify-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Amplify::Branch`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se uma AWS Amplify ramificação tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se a ramificação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a ramificação não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="amplify-2-remediation"></a>

Para obter informações sobre como adicionar tags a uma AWS Amplify ramificação, consulte [Suporte à marcação de recursos](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) no *Guia do usuário do AWS Amplify Hosting*.

# Controles de CSPM do Security Hub para o Amazon API Gateway
<a name="apigateway-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon API Gateway. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [APIGateway.1] O REST do API Gateway e o registro de execução WebSocket da API devem estar habilitados
<a name="apigateway-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::ApiGateway::Stage`,`AWS::ApiGatewayV2::Stage`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `loggingLevel`  |  Nível de registro  |  Enum  |  `ERROR`, `INFO`  |  `No default value`  | 

Esse controle verifica se todos os estágios de uma REST ou API do Amazon WebSocket API Gateway têm o registro ativado. O controle falhará se o `loggingLevel` não for `ERROR` ou `INFO` em todos os estágios da API. A menos que você forneça valores de parâmetros personalizados para indicar que um tipo de log específico deve ser habilitado, o Security Hub CSPM produzirá uma descoberta aprovada se o nível de registro for ou`ERROR`. `INFO`

Os estágios REST ou WebSocket API do API Gateway devem ter os registros relevantes habilitados. O REST do WebSocket API Gateway e o registro de execução da API fornecem registros detalhados das solicitações feitas nos estágios REST e WebSocket API do API Gateway. Os estágios incluem respostas de back-end de integração de API, respostas do autorizador Lambda e `requestId` endpoints de integração for. AWS 

### Correção
<a name="apigateway-1-remediation"></a>

Para ativar o registro em log para operações de WebSocket REST e API, consulte [Configurar o registro de CloudWatch API usando o console do API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) no *Guia do desenvolvedor do API Gateway*.

## [APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end
<a name="apigateway-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-8

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::ApiGateway::Stage`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os estágios da API REST do Amazon API Gateway têm certificados SSL configurados. Os sistemas de back-end usam esses certificados para autenticar que as solicitações recebidas são da API Gateway.

Os estágios da API REST da API Gateway devem ser configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas da API Gateway.

### Correção
<a name="apigateway-2-remediation"></a>

Para obter instruções detalhadas sobre como gerar e configurar certificados SSL da API REST da API Gateway, consulte [Gerar e configurar um certificado SSL para autenticação de back-end](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html) no *Guia do desenvolvedor do API Gateway*.

## [APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado
<a name="apigateway-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::ApiGateway::Stage`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o rastreamento AWS X-Ray ativo está habilitado para os estágios da API REST do Amazon API Gateway.

O rastreamento ativo X-Ray permite uma resposta mais rápida às alterações de performance na infraestrutura subjacente. Alterações na performance podem resultar na falta de disponibilidade da API. O rastreamento ativo do X-Ray fornece métricas em tempo real das solicitações do usuário que fluem pelas operações da API REST da API Gateway e serviços conectados.

### Correção
<a name="apigateway-3-remediation"></a>

Para obter instruções detalhadas sobre como habilitar o rastreamento ativo do X-Ray para operações de API REST do API Gateway, consulte o [suporte ao rastreamento ativo do Amazon API Gateway para AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html) no *Guia do desenvolvedor do AWS X-Ray *. 

## [APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL
<a name="apigateway-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21)

**Categoria:** Proteger > Serviços de proteção

**Gravidade:** média

**Tipo de recurso:** `AWS::ApiGateway::Stage`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um estágio do API Gateway usa uma lista de controle de acesso à AWS WAF web (ACL). Esse controle falhará se uma AWS WAF Web ACL não estiver conectada a um estágio do REST API Gateway.

AWS WAF é um firewall de aplicativos da web que ajuda a proteger os aplicativos da web e APIs contra ataques. Isso permite configurar um ACL, que é conjunto de regras que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Certifique-se de que seu estágio do API Gateway esteja associado a uma ACL AWS WAF da web para ajudar a protegê-lo contra ataques maliciosos.

### Correção
<a name="apigateway-4-remediation"></a>

Para obter informações sobre como usar o console do API Gateway para associar uma ACL da web AWS WAF regional a um estágio de API do API Gateway existente, consulte Como [usar AWS WAF para proteger sua APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) no *Guia do desenvolvedor do API Gateway*.

## [APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso
<a name="apigateway-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de dados em repouso

**Gravidade:** média

**Tipo de recurso:** `AWS::ApiGateway::Stage`

**AWS Config regra:** `api-gw-cache-encrypted` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se todos os métodos nos estágios da API REST do API Gateway que têm o cache ativado estão criptografados. O controle falhará se algum método em um estágio da API REST do API Gateway estiver configurado para armazenar em cache e o cache não estiver criptografado. O Security Hub CSPM avalia a criptografia de um método específico somente quando o armazenamento em cache está habilitado para esse método.

Criptografar dados em repouso reduz o risco de os dados armazenados em disco serem acessados por um usuário não autenticado. AWS Ele adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessarem os dados. Por exemplo, as permissões da API são necessárias para descriptografar os dados antes que eles possam ser lidos.

Os caches da API REST do API Gateway devem ser criptografados em repouso para uma camada adicional de segurança.

### Correção
<a name="apigateway-5-remediation"></a>

Para configurar o cache da API para um estágio, consulte [Habilitar o armazenamento em cache do Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching) no *Guia do desenvolvedor do API Gateway*. Em **Configurações de cache**, escolha **Criptografar dados de cache**.

## [APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
<a name="apigateway-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-3, NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::ApiGatewayV2::Route`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `authorizationType`  |  Tipo de autorização das rotas de API  |  Enum  |  `AWS_IAM`, `CUSTOM`, `JWT`  |  Nenhum valor padrão  | 

Esse controle verifica se as rotas do Amazon API Gateway têm um tipo de autorização. O controle falhará se a rota do API Gateway não tiver nenhum tipo de autorização. Opcionalmente, é possível fornecer um valor de parâmetro personalizado se quiser que o controle passe somente se a rota usar o tipo de autorização especificado no parâmetro `authorizationType`.

O API Gateway oferece suporte a vários mecanismos de controle e gerenciamento de acesso à sua API. Ao especificar um tipo de autorização, você pode restringir o acesso à sua API somente a usuários ou processos autorizados.

### Correção
<a name="apigateway-8-remediation"></a>

Para definir um tipo de autorização para HTTP APIs, consulte [Controle e gerenciamento do acesso a uma API HTTP no API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html) no *Guia do desenvolvedor do API Gateway*. Para definir um tipo de autorização para WebSocket APIs, consulte [Controle e gerenciamento do acesso a uma WebSocket API no API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html) no *Guia do desenvolvedor do API Gateway*.

## [APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
<a name="apigateway-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::ApiGatewayV2::Stage`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os estágios do Amazon API Gateway V2 têm o registro em log de acesso configurado. Esse controle falhará se as configurações do log de acesso não estiverem definidas.

Os logs de acesso ao API Gateway fornecem informações detalhadas sobre quem acessou sua API e como o chamador acessou a API. Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Habilite esses logs de acesso para analisar padrões de tráfego e solucionar problemas.

Para obter mais práticas recomendadas, consulte [Monitoramento de REST APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html) no *Guia do desenvolvedor do API Gateway*.

### Correção
<a name="apigateway-9-remediation"></a>

Para configurar o registro de acesso, consulte [Configurar o registro de CloudWatch API usando o console do API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) no *Guia do desenvolvedor do API Gateway*. 

## [APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas
<a name="apigateway-10"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::ApiGatewayV2::Integration`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma integração do API Gateway V2 tem HTTPS habilitado para conexões privadas. O controle falhará se uma conexão privada não tiver o TLS configurado.

Os VPC Links conectam o API Gateway a recursos privados. Embora os VPC Links criem conectividade privada, eles não criptografam dados inerentemente. A configuração do TLS garante o uso de HTTPS para end-to-end criptografia do cliente por meio do API Gateway até o back-end. Sem o TLS, o tráfego confidencial da API flui sem criptografia em conexões privadas. A criptografia HTTPS protege o tráfego por meio de conexões privadas contra interceptação de dados, man-in-the-middle ataques e exposição de credenciais. 

### Correção
<a name="apigateway-10-remediation"></a>

Para habilitar a criptografia em trânsito para conexões privadas em uma integração do API Gateway v2, consulte [Atualizar uma integração privada](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update) no *Guia do desenvolvedor do Amazon API Gateway*. Configure a [configuração do TLS](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig) para que a integração privada use o protocolo HTTPS.

# Controles CSPM do Security Hub para AWS AppConfig
<a name="appconfig-controls"></a>

Esses controles CSPM do Security Hub avaliam o AWS AppConfig serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [AppConfig.1] os AWS AppConfig aplicativos devem ser marcados
<a name="appconfig-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AppConfig::Application`

**Regra do AWS Config :** `appconfig-application-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um AWS AppConfig aplicativo tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se a aplicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a aplicação não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="appconfig-1-remediation"></a>

Para adicionar tags a um AWS AppConfig aplicativo, consulte [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)na *Referência da AWS AppConfig API*.

## [AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados
<a name="appconfig-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AppConfig::ConfigurationProfile`

**Regra do AWS Config :** `appconfig-configuration-profile-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um perfil de AWS AppConfig configuração tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se o perfil de configuração não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o perfil de configuração não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="appconfig-2-remediation"></a>

Para adicionar tags a um perfil de AWS AppConfig configuração, consulte [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)na *Referência da AWS AppConfig API*.

## [AppConfig.3] AWS AppConfig ambientes devem ser marcados
<a name="appconfig-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AppConfig::Environment`

**Regra do AWS Config :** `appconfig-environment-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um AWS AppConfig ambiente tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se o ambiente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o ambiente não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="appconfig-3-remediation"></a>

Para adicionar tags a um AWS AppConfig ambiente, consulte [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)na *Referência da AWS AppConfig API*.

## [AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas
<a name="appconfig-4"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AppConfig::ExtensionAssociation`

**Regra do AWS Config :** `appconfig-extension-association-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma associação de AWS AppConfig extensão tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se a associação de extensão não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a associação da extensão não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="appconfig-4-remediation"></a>

Para adicionar tags a uma associação AWS AppConfig de extensão, consulte [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)na *Referência da AWS AppConfig API*.

# Controles CSPM do Security Hub para Amazon AppFlow
<a name="appflow-controls"></a>

Esses controles CSPM do Security Hub avaliam o AppFlow serviço e os recursos da Amazon.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados
<a name="appflow-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AppFlow::Flow`

**Regra do AWS Config :** `appflow-flow-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um AppFlow fluxo da Amazon tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se o fluxo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o fluxo não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="appflow-1-remediation"></a>

Para adicionar tags a um AppFlow fluxo da Amazon, consulte [Criação de fluxos na Amazon AppFlow](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html) no *Guia AppFlow do usuário da Amazon*.

# Controles CSPM do Security Hub para AWS App Runner
<a name="apprunner-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS App Runner serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [AppRunner.1] Os serviços do App Runner devem ser marcados
<a name="apprunner-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AppRunner::Service`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um AWS App Runner serviço tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se o serviço do App Runner não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o serviço do App Runner não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="apprunner-1-remediation"></a>

Para obter informações sobre como adicionar tags a um AWS App Runner serviço, consulte [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)a *Referência AWS App Runner da API*.

## [AppRunner.2] Os conectores VPC do App Runner devem ser marcados
<a name="apprunner-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AppRunner::VpcConnector`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um conector AWS App Runner VPC tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o conector da VPC não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o conector da VPC não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="apprunner-2-remediation"></a>

Para obter informações sobre como adicionar tags a um conector AWS App Runner VPC, consulte a [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)Referência da *AWS App Runner API*.

# Controles CSPM do Security Hub para AWS AppSync
<a name="appsync-controls"></a>

Esses controles CSPM do Security Hub avaliam o AWS AppSync serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso
<a name="appsync-1"></a>

**Importante**  
O Security Hub CSPM retirou esse controle em 9 de março de 2026. Para obter mais informações, consulte[Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md). AWS AppSync agora fornece criptografia padrão em todos os caches de API atuais e futuros.

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::AppSync::GraphQLApi`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cache de AWS AppSync API está criptografado em repouso. O controle falhará se o cache de AP não for criptografado em repouso.

Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.

### Correção
<a name="appsync-1-remediation"></a>

Você não pode alterar as configurações de criptografia depois de ativar o armazenamento em cache para sua AWS AppSync API. Em vez disso, é necessário excluir o cache e recriá-lo com a criptografia habilitada. Para obter mais informações, consulte [Cache encryption](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) no *AWS AppSync Developer Guide*.

## [AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
<a name="appsync-2"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::AppSync::GraphQLApi`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:** 


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `fieldLoggingLevel`  |  Nível de registro em log de campo  |  Enum  |  `ERROR`, `ALL`, `INFO`, `DEBUG`  |  `No default value`  | 

Esse controle verifica se uma AWS AppSync API tem o registro em nível de campo ativado. O controle falhará se o nível do log do resolvedor de campo estiver definido como **Nenhum**. A menos que você forneça valores de parâmetros personalizados para indicar que um tipo de log específico deve ser habilitado, o Security Hub CSPM produzirá uma descoberta aprovada se o nível do log do resolvedor de campo for ou`ERROR`. `ALL`

É possível usar o registro em log e as métricas para identificar, solucionar problemas e otimizar as consultas do GraphQL. Ativar o registro no AWS AppSync GraphQL ajuda você a obter informações detalhadas sobre solicitações e respostas de API, identificar e responder a problemas e cumprir os requisitos regulatórios.

### Correção
<a name="appsync-2-remediation"></a>

Para ativar o registro em log AWS AppSync, consulte [Instalação e configuração](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration) no *Guia do AWS AppSync desenvolvedor*.

## [AppSync.4] AWS AppSync APIs GraphQL deve ser marcado
<a name="appsync-4"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AppSync::GraphQLApi`

**AWS Config regra:** `tagged-appsync-graphqlapi` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma API do AWS AppSync GraphQL tem tags com as chaves específicas definidas no parâmetro. `requiredTagKeys` O controle falhará se a API do GraphQL não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a API do GraphQL não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="appsync-4-remediation"></a>

Para adicionar tags a uma API do AWS AppSync GraphQL, consulte [https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)na Referência da *AWS AppSync API*.

## [AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API
<a name="appsync-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha

**Gravidade:** alta

**Tipo de recurso:** `AWS::AppSync::GraphQLApi`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `AllowedAuthorizationTypes`: ` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS` (não personalizável)

Esse controle verifica se seu aplicativo usa uma chave de API para interagir com uma API do AWS AppSync GraphQL. O controle falhará se uma API do AWS AppSync GraphQL for autenticada com uma chave de API.

Uma chave de API é um valor codificado em seu aplicativo que é gerado pelo AWS AppSync serviço quando você cria um endpoint GraphQL não autenticado. Se essa chave de API for comprometida, seu endpoint ficará vulnerável ao acesso não intencional. A menos que você ofereça suporte a um aplicativo ou site acessível ao público, não recomendamos o uso de uma chave de API para autenticação.

### Correção
<a name="appsync-5-remediation"></a>

Para definir uma opção de autorização para sua API do AWS AppSync GraphQL, consulte [Autorização e autenticação](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html) no Guia do *AWS AppSync desenvolvedor*.

## [AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito
<a name="appsync-6"></a>

**Importante**  
O Security Hub CSPM retirou esse controle em 9 de março de 2026. Para obter mais informações, consulte[Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md). AWS AppSync agora fornece criptografia padrão em todos os caches de API atuais e futuros.

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::AppSync::ApiCache`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cache de AWS AppSync API está criptografado em trânsito. O controle falhará se o cache de AP não for criptografado em trânsito.

Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.

### Correção
<a name="appsync-6-remediation"></a>

Você não pode alterar as configurações de criptografia depois de ativar o armazenamento em cache para sua AWS AppSync API. Em vez disso, é necessário excluir o cache e recriá-lo com a criptografia habilitada. Para obter mais informações, consulte [Cache encryption](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) no *AWS AppSync Developer Guide*.

# Controles de CSPM do Security Hub para Amazon Athena
<a name="athena-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Athena. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Athena.1] Os grupos de trabalho do Athena devem ser criptografados em repouso
<a name="athena-1"></a>

**Importante**  
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).

**Categoria:** Proteger > Proteção de dados > Criptografia de dados em repouso

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Gravidade:** média

**Tipo de recurso:** `AWS::Athena::WorkGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um grupo de trabalho do Athena está criptografado em repouso. Esse controle falha se um grupo de trabalho do Athena não estiver criptografado em repouso.

No Athena, você pode criar grupos de trabalho para executar consultas para equipes, aplicativos ou workloads diferentes. Cada grupo de trabalho tem uma configuração para ativar a criptografia em todas as consultas. Você tem a opção de usar criptografia do lado do servidor com chaves gerenciadas do Amazon Simple Storage Service (Amazon S3), criptografia do lado do servidor com chaves AWS KMS() ou criptografia do lado do cliente AWS Key Management Service com chaves KMS gerenciadas pelo cliente. Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los.

### Correção
<a name="athena-1-remediation"></a>

Para habilitar a criptografia em repouso para grupos de trabalho do Athena, consulte [Editar um grupo de trabalho](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups) no *Guia do usuário do Amazon Athena*. Na seção **Configuração do resultado da consulta**, selecione **Criptografar resultados da consulta**.

## [Athena.2] Os catálogos de dados do Athena devem ser marcados
<a name="athena-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Athena::DataCatalog`

**AWS Config regra:** `tagged-athena-datacatalog` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um catálogo de dados do Amazon Athena tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o catálogo de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o catálogo de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="athena-2-remediation"></a>

Para adicionar tags a um catálogo de dados do Athena, consulte [Marcar recursos do Athena com tags](https://docs.aws.amazon.com/athena/latest/ug/tags.html) no *Guia do usuário do Amazon Athena*.

## [Athena.3] Os grupos de trabalho do Athena devem ser marcados
<a name="athena-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Athena::WorkGroup`

**AWS Config regra:** `tagged-athena-workgroup` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um grupo de trabalho do Amazon Athena tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o grupo de trabalho não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de trabalho não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="athena-3-remediation"></a>

Para adicionar tags a um grupo de trabalho do Athena, consulte [Adicionar e excluir tags em um grupo de trabalho individual](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete) no *Guia do usuário do Amazon Athena.*

## [Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado
<a name="athena-4"></a>

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::Athena::WorkGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um grupo de trabalho do Amazon Athena tem o registro em log habilitado. O controle falhará se o grupo de trabalho não tiver o registro em log habilitado.

Os logs de auditoria rastreiam e monitoram as atividades do sistema. Eles fornecem um registro de eventos que pode ajudar você a detectar as violações de segurança, investigar os incidentes e cumprir os regulamentos. Os logs de auditoria também aprimoram a responsabilização e a transparência da organização em geral.

### Correção
<a name="athena-4-remediation"></a>

*Para obter informações sobre como habilitar o registro em um grupo de trabalho do Athena, consulte [Habilitar métricas de CloudWatch consulta no Athena no Guia do usuário do](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html) Amazon Athena.*

# Controles CSPM do Security Hub para AWS Backup
<a name="backup-controls"></a>

Esses controles CSPM do Security Hub avaliam o AWS Backup serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
<a name="backup-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-9(8), NIST.800-53.r5 SI-12

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::Backup::RecoveryPoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um ponto AWS Backup de recuperação está criptografado em repouso. O controle falhará se o ponto de recuperação não estiver criptografado em repouso.

Um ponto de AWS Backup recuperação se refere a uma cópia ou instantâneo específico dos dados que é criado como parte de um processo de backup. Ele representa um momento específico em que o backup dos dados foi feito e serve como um ponto de restauração caso os dados originais sejam perdidos, corrompidos ou fiquem inacessíveis. Criptografar os pontos de recuperação de backup adicionará uma camada extra de proteção contra acesso não autorizado. A criptografia é uma prática recomendada para proteger a confidencialidade, a integridade e a segurança dos dados de backup.

### Correção
<a name="backup-1-remediation"></a>

Para criptografar um ponto AWS Backup de recuperação, consulte [Criptografia para backups AWS Backup no](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html) *Guia do AWS Backup desenvolvedor*.

## [Backup.2] os pontos de AWS Backup recuperação devem ser marcados
<a name="backup-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Backup::RecoveryPoint`

**AWS Config regra:** `tagged-backup-recoverypoint` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um ponto de AWS Backup recuperação tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o ponto de recuperação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o ponto de recuperação não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="backup-2-remediation"></a>

**Para adicionar tags a um ponto AWS Backup de recuperação**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação, selecione **Planos de backup**.

1. Selecione um plano de backup na lista.

1. Na seção **Tags do plano de backup**, escolha **Gerenciar tags**.

1. Insira a chave e o valor da tag. Escolha **Adicionar nova tag** para adicionar pares de chave-valor.

1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.

## [Backup.3] os AWS Backup cofres devem ser marcados
<a name="backup-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Backup::BackupVault`

**AWS Config regra:** `tagged-backup-backupvault` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um AWS Backup cofre tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o ponto de recuperação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o ponto de recuperação não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="backup-3-remediation"></a>

**Para adicionar tags a um AWS Backup cofre**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação, selecione **Cofres de Backup**.

1. Selecione um cofre de backup na lista.

1. Na seção **Tags de cofre de backup**, escolha **Gerenciar tags**.

1. Insira a chave e o valor da tag. Escolha **Adicionar nova tag** para adicionar pares de chave-valor.

1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.

## [Backup.4] os planos de AWS Backup relatórios devem ser marcados
<a name="backup-4"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Backup::ReportPlan`

**AWS Config regra:** `tagged-backup-reportplan` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um plano de AWS Backup relatório tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o plano de relatórios não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o plano de relatórios não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="backup-4-remediation"></a>

**Para adicionar tags a um plano de AWS Backup relatório**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação, selecione **Cofres de Backup**.

1. Selecione um cofre de backup na lista.

1. Na seção **Tags de cofre de backup**, escolha **Gerenciar tags**.

1. Selecione **Adicionar nova tag**. Insira a chave e o valor da tag. Repita o procedimento para pares de chave-valor adicionais.

1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.

## [Backup.5] os planos de AWS Backup backup devem ser marcados
<a name="backup-5"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Backup::BackupPlan`

**AWS Config regra:** `tagged-backup-backupplan` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um plano de AWS Backup backup tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o plano de backup não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o plano de backup não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="backup-5-remediation"></a>

**Para adicionar tags a um plano AWS Backup de backup**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. No painel de navegação, selecione **Cofres de Backup**.

1. Selecione um cofre de backup na lista.

1. Na seção **Tags de cofre de backup**, escolha **Gerenciar tags**.

1. Selecione **Adicionar nova tag**. Insira a chave e o valor da tag. Repita o procedimento para pares de chave-valor adicionais.

1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.

# Controles CSPM do Security Hub para AWS Batch
<a name="batch-controls"></a>

Esses controles CSPM do Security Hub avaliam o AWS Batch serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags
<a name="batch-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Batch::JobQueue`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma fila de AWS Batch trabalhos tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se a fila de trabalhos não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a fila de trabalhos não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="batch-1-remediation"></a>

Para aplicar tags a uma fila de trabalhos do Batch, consulte [Aplicação de tags em seus recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) no *Guia do usuário do AWS Batch *.

## [Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags
<a name="batch-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Batch::SchedulingPolicy`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma política AWS Batch de agendamento tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se a política de programação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a política de programação não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="batch-2-remediation"></a>

Para adicionar tags a uma política de programação do Batch, consulte [Aplicação de tags em seus recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) no *Guia do usuário do AWS Batch *.

## [Batch.3] Ambientes de computação do Batch devem ser marcados com tags
<a name="batch-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Batch::ComputeEnvironment`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um ambiente AWS Batch computacional tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se o ambiente de computação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o ambiente de computação não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="batch-3-remediation"></a>

Para adicionar tags a um ambiente de computação do Batch, consulte [Aplicação de tags em seus recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) no *Guia do usuário do AWS Batch *.

## [Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags
<a name="batch-4"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Batch::ComputeEnvironment`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se a propriedade dos recursos computacionais em um ambiente de computação do AWS Batch gerenciado tem as chaves de tag especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se a propriedade dos recursos computacionais não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se uma propriedade de recursos de computação não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`. Esse controle não avalia ambientes computacionais não gerenciados nem ambientes gerenciados que usam AWS Fargate recursos.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="batch-4-remediation"></a>

Para obter informações sobre como adicionar tags aos recursos computacionais em um ambiente AWS Batch computacional gerenciado, consulte [Marcar seus recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) no Guia do *AWS Batch usuário*.

# Controles CSPM do Security Hub para AWS Certificate Manager
<a name="acm-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos AWS Certificate Manager (ACM). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado
<a name="acm-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::ACM::Certificate`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)

**Tipo de agendamento:** acionado por alterações e periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `daysToExpiration`  |  Número de dias em que o certificado ACM deve ser renovado  |  Inteiro  |  `14` para `365`  |  `30`  | 

Esse controle verifica se um certificado AWS Certificate Manager (ACM) é renovado dentro do período de tempo especificado. Ele verifica os certificados importados e os certificados fornecidos pelo ACM. O controle falhará se o certificado não for renovado dentro do período especificado. A menos que você forneça um valor de parâmetro personalizado para o período de renovação, o Security Hub CSPM usa um valor padrão de 30 dias.

O ACM renova automaticamente os certificados que usam validação do DNS. Para os certificados que usam validação de email, é necessário responder a um email de validação de domínio. O ACM não renovará automaticamente os certificados que você importar. É necessário renovar certificados importados manualmente.

### Correção
<a name="acm-1-remediation"></a>

O ACM fornece renovação gerenciada para seus SSL/TLS certificados emitidos pela Amazon. Isso significa que o ACM renovará seus certificados automaticamente (se você estiver usando a validação por DNS) ou enviará avisos por e-mail quando a expiração da validade estiver se aproximando. Esses serviços são fornecidos para certificados públicos e privados do ACM.

**Para domínios validados por e-mail**  
Quando um certificado está a 45 dias da expiração, o ACM envia ao proprietário do domínio um e-mail para cada nome de domínio. Para validar os domínios e concluir a renovação, é necessário responder às notificações por e-mail.  
Para obter mais informações, consulte [Renovação de domínios validados por e-mail](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html) no *Guia do usuário do AWS Certificate Manager *.

**Para domínios validados por DNS**  
O ACM renova automaticamente os certificados que usam a validação de DNS. 60 dias antes da expiração, o ACM verifica se o certificado pode ser renovado.  
Se não puder validar um nome de domínio, o ACM enviará uma notificação de que a validação manual é necessária. O envia essas notificações 45 dias, 30 dias, 7 dias e 1 dia antes da expiração da validade.  
Para obter mais informações, consulte [Renovação de domínios validados pelo DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) no *Guia do usuário do AWS Certificate Manager *.

## [ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits
<a name="acm-2"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/4.2.1

**Categoria:** Identificar > Inventário > Serviços de inventário

**Gravidade:** alta

**Tipo de recurso:** `AWS::ACM::Certificate`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os certificados RSA gerenciados por AWS Certificate Manager usam um comprimento de chave de pelo menos 2.048 bits. O controle falhará se o comprimento da chave for menor que 2.048 bits.

A força da criptografia se correlaciona diretamente com o tamanho da chave. Recomendamos tamanhos de chave de pelo menos 2.048 bits para proteger seus AWS recursos à medida que a capacidade de computação se torna mais barata e os servidores se tornam mais avançados.

### Correção
<a name="acm-2-remediation"></a>

O tamanho mínimo da chave para certificados RSA emitidos pelo ACM já é de 2.048 bits. Para obter instruções sobre a emissão de novos certificados RSA com o ACM, consulte [Emissão e gerenciamento de certificados](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) no *Guia do usuário do AWS Certificate Manager *.

Embora o ACM permita importar certificados com tamanhos de chave mais curtos, é necessário usar chaves de pelo menos 2.048 bits para passar por esse controle. Não é possível alterar o tamanho da chave após a importação de um certificado. Em vez disso, é necessário excluir certificados com um tamanho de chave menor que 2.048 bits. Para obter mais informações sobre a importação de certificados para o ACM, consulte [Pré-requisitos para importação de certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) no *Guia do usuário do AWS Certificate Manager *.

## [ACM.3] Os certificados do ACM devem ser marcados
<a name="acm-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::ACM::Certificate`

**AWS Config regra:** `tagged-acm-certificate` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um certificado AWS Certificate Manager (ACM) tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o certificado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o certificado não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="acm-3-remediation"></a>

Para adicionar tags a um certificado ACM, consulte Como [marcar AWS Certificate Manager certificados no Guia](https://docs.aws.amazon.com/acm/latest/userguide/tags.html) do *AWS Certificate Manager usuário*.

# Controles CSPM do Security Hub para CloudFormation
<a name="cloudformation-controls"></a>

Esses controles CSPM do Security Hub avaliam o AWS CloudFormation serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [CloudFormation.1] CloudFormation as pilhas devem ser integradas ao Simple Notification Service (SNS)
<a name="cloudformation-1"></a>

**Importante**  
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5)

**Categoria:** Detectar > Serviços de detecção > Monitoramento de aplicativos

**Gravidade:** baixa

**Tipo de recurso:** `AWS::CloudFormation::Stack`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma notificação do Amazon Simple Notification Service está integrada a uma pilha do CloudFormation . O controle falhará em uma CloudFormation pilha se nenhuma notificação do SNS estiver associada a ela.

Configurar uma notificação do SNS com sua CloudFormation pilha ajuda a notificar imediatamente as partes interessadas sobre quaisquer eventos ou alterações que ocorram com a pilha.

### Correção
<a name="cloudformation-1-remediation"></a>

*Para integrar uma CloudFormation pilha e um tópico do SNS, consulte [Atualização de pilhas diretamente no Guia](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) do AWS CloudFormation usuário.*

## [CloudFormation.2] as CloudFormation pilhas devem ser marcadas
<a name="cloudformation-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::CloudFormation::Stack`

**AWS Config regra:** `tagged-cloudformation-stack` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma AWS CloudFormation pilha tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a pilha não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a pilha não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="cloudformation-2-remediation"></a>

Para adicionar tags a uma CloudFormation pilha, consulte [CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)na *Referência da AWS CloudFormation API*.

## [CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada
<a name="cloudformation-3"></a>

**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudFormation::Stack`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma AWS CloudFormation pilha tem a proteção de encerramento ativada. O controle falhará se a proteção de terminação não estiver ativada em uma CloudFormation pilha.

CloudFormation ajuda a gerenciar recursos relacionados como uma única unidade chamada pilha. É possível impedir que uma pilha seja excluída acidentalmente ativando a proteção contra encerramento na pilha. Se um usuário tentar excluir uma pilha com proteção contra encerramento ativada, a exclusão falhará e a pilha, incluindo o status dela, permanecerá inalterada. Você pode definir a proteção contra encerramento em uma pilha com qualquer status, exceto `DELETE_IN_PROGRESS` ou `DELETE_COMPLETE`. 

**nota**  
Quando a proteção contra terminação é habilitada ou desabilitada em uma pilha, a mesma opção se estende a todas as pilhas aninhadas pertencentes a ela. Você não pode ativar ou desativar a proteção contra encerramento diretamente em uma pilha aninhada. Você não pode excluir diretamente uma pilha aninhada pertencente a uma pilha que tenha a proteção de encerramento ativada. Se NESTED for exibido ao lado do nome da pilha, a pilha é aninhada. Só é possível alterar a proteção contra encerramento na pilha raiz à qual a pilha aninhada pertence. 

### Correção
<a name="cloudformation-3-remediation"></a>

Para ativar a proteção contra encerramento em uma CloudFormation pilha, consulte [Proteger CloudFormation pilhas contra exclusão](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html) no Guia do *AWS CloudFormation usuário*.

## [CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
<a name="cloudformation-4"></a>

**Categoria:** Detectar > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudFormation::Stack`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma AWS CloudFormation pilha tem uma função de serviço associada a ela. O controle falhará em uma CloudFormation pilha se nenhuma função de serviço estiver associada a ela.

Funções de execução de StackSets uso gerenciado por serviços por meio da integração de acesso confiável do AWS Organizations. O controle também gera uma descoberta FALHA para uma AWS CloudFormation pilha criada pelo serviço gerenciado StackSets porque não há nenhuma função de serviço associada a ela. Devido à forma como o serviço gerenciado se StackSets autentica, o `roleARN` campo não pode ser preenchido para essas pilhas.

Usar funções de serviço com CloudFormation pilhas ajuda a implementar o acesso com privilégios mínimos, separando as permissões entre o usuário que creates/updates acumula e as permissões necessárias para os recursos. CloudFormation create/update Isso reduz o risco de escalonamento de privilégios e ajuda a manter os limites de segurança entre as diferentes funções operacionais.

**nota**  
Não é possível remover uma função de serviço associada a uma pilha depois que ela é criada. Outros usuários com permissão para executar operações nessa pilha podem usar esse perfil, independentemente de terem a permissão `iam:PassRole` ou não. Se o perfil inclui permissões que o usuário não precisa, você pode ampliar involuntariamente as permissões de um usuário. Certifique-se de que o perfil conceda o privilégio mínimo.

### Correção
<a name="cloudformation-4-remediation"></a>

Para associar uma função de serviço a uma CloudFormation pilha, consulte a [função CloudFormation de serviço](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) no *Guia do AWS CloudFormation usuário*.

# Controles CSPM do Security Hub para Amazon CloudFront
<a name="cloudfront-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o CloudFront serviço e os recursos da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
<a name="cloudfront-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6

**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

**Gravidade:** alta

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma CloudFront distribuição da Amazon com origens do S3 está configurada para retornar um objeto específico que é o objeto raiz padrão. O controle falhará se a CloudFront distribuição usar origens do S3 e não tiver um objeto raiz padrão configurado. Esse controle não se aplica às CloudFront distribuições que usam origens personalizadas.

Às vezes, um usuário pode solicitar a URL raiz da distribuição em vez de um objeto na distribuição. Quando isso acontece, a especificação de um objeto raiz padrão pode ajudá-lo a evitar a exposição do conteúdo da sua distribuição da web.

### Correção
<a name="cloudfront-1-remediation"></a>

Para configurar um objeto raiz padrão para uma CloudFront distribuição, consulte [Como especificar um objeto raiz padrão](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) no *Amazon CloudFront Developer Guide*.

## [CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
<a name="cloudfront-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma CloudFront distribuição da Amazon exige que os espectadores usem HTTPS diretamente ou se ela usa redirecionamento. O controle falhará se `ViewerProtocolPolicy` estiver definido como `allow-all` para `defaultCacheBehavior` ou para`cacheBehaviors`.

O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS.

### Correção
<a name="cloudfront-3-remediation"></a>

Para criptografar uma CloudFront distribuição em trânsito, consulte [Exigir HTTPS para comunicação entre espectadores e CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) no *Amazon CloudFront Developer Guide*.

## [CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
<a name="cloudfront-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** baixa

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma CloudFront distribuição da Amazon está configurada com um grupo de origem que tem duas ou mais origens.

CloudFront o failover de origem pode aumentar a disponibilidade. Se a origem primária estiver indisponível ou retornar códigos de status de resposta HTTP específicos que indiquem falha, o failover automaticamente alternará para a origem secundária.

### Correção
<a name="cloudfront-4-remediation"></a>

Para configurar o failover de origem para uma CloudFront distribuição, consulte [Criação de um grupo de origem](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) no *Amazon CloudFront Developer Guide*.

## [CloudFront.5] CloudFront as distribuições devem ter o registro ativado
<a name="cloudfront-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o registro de acesso ao servidor está habilitado nas CloudFront distribuições. O controle falhará se o registro em log de acesso não estiver habilitado para uma distribuição. Esse controle avalia apenas se o registro em log padrão (legado) está habilitado para uma distribuição.

CloudFront os registros de acesso fornecem informações detalhadas sobre cada solicitação do usuário que CloudFront recebe. Cada registro em log contém informações como a data e a hora em que a solicitação foi recebida, o endereço IP do visualizador que fez a solicitação, a origem da solicitação e o número da porta da solicitação do visualizador. Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Para obter mais informações sobre a análise de registros de acesso, consulte [Consultar CloudFront registros da Amazon](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) no Guia do *usuário do Amazon Athena*.

### Correção
<a name="cloudfront-5-remediation"></a>

Para configurar o registro padrão (legado) para uma CloudFront distribuição, consulte [Configurar o registro padrão (legado)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) no *Amazon CloudFront Developer Guide*.

## [CloudFront.6] as CloudFront distribuições devem ter o WAF ativado
<a name="cloudfront-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2

**Categoria:** Proteger > Serviços de proteção

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se CloudFront as distribuições estão associadas ao AWS WAF Classic ou à AWS WAF web ACLs. O controle falhará se a distribuição não estiver associada a uma ACL da web.

AWS WAF é um firewall de aplicativos da web que ajuda a proteger os aplicativos da web e APIs contra ataques. Isso permite configurar um conjunto de regras chamado de lista de controle de acesso à web (ACL da web) que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Certifique-se de que sua CloudFront distribuição esteja associada a uma ACL AWS WAF da web para ajudar a protegê-la contra ataques maliciosos.

### Correção
<a name="cloudfront-6-remediation"></a>

Para associar uma ACL AWS WAF da web a uma CloudFront distribuição, consulte [Usando AWS WAF para controlar o acesso ao seu conteúdo](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) no *Amazon CloudFront Developer Guide*.

## [CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
<a name="cloudfront-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-8

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** baixa

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se CloudFront as distribuições estão usando o SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS certificado padrão.

 Os personalizados SSL/TLS permitem que seus usuários acessem o conteúdo usando nomes de domínio alternativos. Você pode armazenar certificados personalizados no AWS Certificate Manager (recomendado) ou no IAM. 

### Correção
<a name="cloudfront-7-remediation"></a>

Para adicionar um nome de domínio alternativo para uma CloudFront distribuição usando um certificado SSL/TLS personalizado, consulte [Adicionar um nome de domínio alternativo](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) no *Amazon CloudFront * Developer Guide.

## [CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
<a name="cloudfront-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** baixa

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se CloudFront as distribuições da Amazon estão usando um SSL/TLS certificado personalizado e estão configuradas para usar o SNI para atender solicitações HTTPS. Esse controle falhará se um SSL/TLS certificado personalizado estiver associado, mas o método de SSL/TLS suporte for um endereço IP dedicado.

A Indicação de nome de servidor (SNI) é uma extensão do protocolo TLS, compatível com os navegadores e clientes lançados após 2010. Se você configurar CloudFront para atender solicitações HTTPS usando SNI, CloudFront associe seu nome de domínio alternativo a um endereço IP para cada ponto de presença. Quando um visualizador envia uma solicitação HTTPS para seu conteúdo, o DNS a roteia para o endereço IP do ponto de presença correto. O endereço IP do seu nome de domínio é determinado durante a negociação do SSL/TLS handshake; o endereço IP não é dedicado à sua distribuição. 

### Correção
<a name="cloudfront-8-remediation"></a>

Para configurar uma CloudFront distribuição para usar o SNI para atender às solicitações HTTPS, consulte Como [usar o SNI para atender às solicitações HTTPS (funciona para a maioria dos clientes)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) no Guia do CloudFront desenvolvedor. Para obter informações sobre certificados SSL personalizados, consulte [Requisitos para usar SSL/TLS certificados com CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html).

## [CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
<a name="cloudfront-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se CloudFront as distribuições da Amazon estão criptografando o tráfego para origens personalizadas. Esse controle falha em uma CloudFront distribuição cuja política de protocolo de origem permite “somente http”. Esse controle também falhará se a política do protocolo de origem da distribuição for “match-viewer”, enquanto a política do protocolo do visualizador for “allow-all”.

O HTTPS (TLS) pode ser usado para ajudar a evitar a espionagem ou a manipulação do tráfego da rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. 

### Correção
<a name="cloudfront-9-remediation"></a>

Para atualizar a Política do Protocolo de Origem para exigir criptografia para uma CloudFront conexão, consulte [Exigindo HTTPS para comunicação entre CloudFront e sua origem personalizada](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) no *Amazon CloudFront Developer Guide*.

## [CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas
<a name="cloudfront-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, (4),, NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se CloudFront as distribuições da Amazon estão usando protocolos SSL obsoletos para comunicação HTTPS entre pontos de presença e suas CloudFront origens personalizadas. Esse controle falhará se uma CloudFront distribuição tiver um `CustomOriginConfig` where `OriginSslProtocols` includes`SSLv3`.

Em 2015, a Internet Engineering Task Force (IETF) anunciou oficialmente que o SSL 3.0 deveria ser descontinuado devido ao protocolo não ser suficientemente seguro. É recomendável usar TLSv1 .2 ou posterior para comunicação HTTPS com suas origens personalizadas. 

### Correção
<a name="cloudfront-10-remediation"></a>

Para atualizar os protocolos SSL de origem para uma CloudFront distribuição, consulte [Exigir HTTPS para comunicação entre CloudFront e sua origem personalizada](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) no *Amazon CloudFront Developer Guide*.

## [CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
<a name="cloudfront-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), PCI DSS v4.0.1/2.2.6

**Categoria:** Identificar > Configuração de recursos

**Gravidade:** alta

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se CloudFront as distribuições da Amazon estão apontando para origens inexistentes do Amazon S3. O controle falhará em uma CloudFront distribuição se a origem estiver configurada para apontar para um bucket inexistente. Esse controle se aplica somente às CloudFront distribuições em que um bucket do S3 sem hospedagem estática do site é a origem do S3.

Quando uma CloudFront distribuição em sua conta é configurada para apontar para um bucket inexistente, um terceiro mal-intencionado pode criar o bucket referenciado e veicular seu próprio conteúdo por meio de sua distribuição. Recomendamos verificar todas as origens, independentemente do comportamento de roteamento, para garantir que suas distribuições estejam apontando para as origens apropriadas. 

### Correção
<a name="cloudfront-12-remediation"></a>

Para modificar uma CloudFront distribuição para apontar para uma nova origem, consulte [Atualização de uma distribuição](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) no *Amazon CloudFront Developer Guide*.

## [CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
<a name="cloudfront-13"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma CloudFront distribuição da Amazon com origem no Amazon S3 tem controle de acesso de origem (OAC) configurado. O controle falhará se o OAC não estiver configurado para a CloudFront distribuição.

Ao usar um bucket do S3 como origem para sua CloudFront distribuição, você pode habilitar o OAC. Isso permite o acesso ao conteúdo no bucket somente por meio da CloudFront distribuição especificada e proíbe o acesso diretamente do bucket ou de outra distribuição. Embora CloudFront ofereça suporte ao Origin Access Identity (OAI), o OAC oferece funcionalidades adicionais e as distribuições que usam o OAI podem migrar para o OAC. Embora o OAI forneça uma maneira segura de acessar as origens do S3, ele tem limitações, como a falta de suporte para configurações de políticas granulares e para HTTP/HTTPS solicitações que usam o método POST Regiões da AWS que exigem o AWS Signature Version 4 (SigV4). O OAI também não oferece suporte à criptografia com AWS Key Management Service. O OAC é baseado em uma prática AWS recomendada de uso de entidades de serviço do IAM para autenticar com origens do S3. 

### Correção
<a name="cloudfront-13-remediation"></a>

*Para configurar o OAC para uma CloudFront distribuição com origens do S3, consulte [Restringir o acesso a uma origem do Amazon S3 no Amazon Developer Guide](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html). CloudFront *

## [CloudFront.14] as CloudFront distribuições devem ser marcadas
<a name="cloudfront-14"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**AWS Config regra:** `tagged-cloudfront-distribution` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma CloudFront distribuição da Amazon tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a distribuição não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a distribuição não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="cloudfront-14-remediation"></a>

Para adicionar tags a uma CloudFront distribuição, consulte Como [marcar CloudFront distribuições da Amazon](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) no *Amazon CloudFront Developer* Guide.

## [CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
<a name="cloudfront-15"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:** `securityPolicies`: `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (não personalizável)

Esse controle verifica se uma CloudFront distribuição da Amazon está configurada para usar uma política de segurança TLS recomendada. O controle falhará se a CloudFront distribuição não estiver configurada para usar uma política de segurança TLS recomendada.

Se você configurar uma CloudFront distribuição da Amazon para exigir que os espectadores usem HTTPS para acessar o conteúdo, você precisará escolher uma política de segurança e especificar a versão mínima do SSL/TLS protocolo a ser usada. Isso determina qual versão do protocolo CloudFront usa para se comunicar com os espectadores e as cifras CloudFront usadas para criptografar as comunicações. Recomendamos usar a política de segurança mais recente que CloudFront fornece. Isso garante o CloudFront uso dos pacotes de criptografia mais recentes para criptografar dados em trânsito entre um visualizador e uma distribuição. CloudFront

**nota**  
Esse controle gera descobertas somente para CloudFront distribuições que estão configuradas para usar certificados SSL personalizados e não estão configuradas para oferecer suporte a clientes legados.

### Correção
<a name="cloudfront-15-remediation"></a>

Para obter informações sobre como configurar a política de segurança de uma CloudFront distribuição, consulte [Atualizar uma distribuição](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) no *Amazon CloudFront Developer Guide*. Ao configurar a política de segurança de uma distribuição, escolha a política de segurança mais recente.

## [CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda
<a name="cloudfront-16"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma CloudFront distribuição da Amazon com uma URL de AWS Lambda função como origem tem o controle de acesso de origem (OAC) ativado. O controle falhará se a CloudFront distribuição tiver uma URL da função Lambda como origem e o OAC não estiver habilitado.

Um URL de AWS Lambda função é um endpoint HTTPS dedicado para uma função Lambda. Se o URL de uma função Lambda for a origem de uma CloudFront distribuição, o URL da função deverá estar acessível ao público. Portanto, como prática recomendada de segurança, é necessário criar um OAC e adicioná-lo ao URL da função do Lambda em uma distribuição. O OAC usa entidades de serviço do IAM para autenticar solicitações entre CloudFront e o URL da função. Ele também suporta o uso de políticas baseadas em recursos para permitir a invocação de uma função somente se uma solicitação for em nome de uma CloudFront distribuição especificada na política.

### Correção
<a name="cloudfront-16-remediation"></a>

*Para obter informações sobre como configurar o OAC para uma CloudFront distribuição da Amazon que usa uma URL de função Lambda como origem, consulte [Restringir o acesso a uma origem de URL de AWS Lambda função no](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) Amazon Developer Guide. CloudFront *

## [CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies
<a name="cloudfront-17"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma CloudFront distribuição da Amazon está configurada para usar grupos de chaves confiáveis para URL assinado ou autenticação de cookie assinada. O controle falhará se a CloudFront distribuição usar assinantes confiáveis ou se a distribuição não tiver nenhuma autenticação configurada.

Para usar cookies assinados URLs ou assinados, você precisa de um signatário. Um signatário é um grupo de chaves confiável que você cria ou uma AWS conta que contém um par de CloudFront chaves. CloudFront Recomendamos que você use grupos de chaves confiáveis porque, com grupos de CloudFront chaves, você não precisa usar o usuário raiz da AWS conta para gerenciar as chaves públicas de cookies CloudFront assinados URLs e assinados.

**nota**  
Esse controle não avalia distribuições multilocatárias. CloudFront `(connectionMode=tenant-only)`

### Correção
<a name="cloudfront-17-remediation"></a>

Para obter informações sobre o uso de grupos de chaves confiáveis com URLs assinaturas e cookies, consulte Como [usar grupos de chaves confiáveis](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) no *Amazon CloudFront Developer Guide*.

# Controles CSPM do Security Hub para AWS CloudTrail
<a name="cloudtrail-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS CloudTrail serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação
<a name="cloudtrail-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.1, CIS AWS Foundations Benchmark v1.2.0/2.1, CIS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, (4), (26), (9), (9), (22) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8

**Categoria:** Identificar > Registro em log

**Gravidade:** alta

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros:**
+ `readWriteType`: `ALL` (não personalizável)

  `includeManagementEvents`: `true` (não personalizável)

Esse controle verifica se há pelo menos uma AWS CloudTrail trilha multirregional que captura eventos de gerenciamento de leitura e gravação. O controle falhará se CloudTrail estiver desativado ou se não houver pelo menos uma CloudTrail trilha que capture eventos de gerenciamento de leitura e gravação.

AWS CloudTrail registra chamadas de AWS API para sua conta e entrega arquivos de log para você. As informações registradas incluem as seguintes informações:
+ Identidade do chamador da API
+ Hora da chamada da API
+ Endereço IP de origem do chamador da API
+ Parâmetros de solicitação
+ Elementos de resposta retornados pelo AWS service (Serviço da AWS)

CloudTrail fornece um histórico de chamadas de AWS API para uma conta, incluindo chamadas de API feitas a partir das ferramentas de linha de comando Console de gerenciamento da AWS AWS SDKs,,. O histórico também inclui chamadas de API de nível superior Serviços da AWS , como. AWS CloudFormation

O histórico de chamadas da AWS API produzido por CloudTrail permite análise de segurança, rastreamento de alterações de recursos e auditoria de conformidade. As trilhas de várias regiões também oferecem os seguintes benefícios.
+ A trilha de várias regiões ajuda a detectar atividades inesperadas que ocorram em regiões não utilizadas de outra forma.
+ Uma trilha de várias regiões garante que o registro em log de eventos do serviço global esteja habilitado para uma trilha por padrão. O registro global de eventos de serviços registra eventos gerados por serviços AWS globais.
+ Para uma trilha multirregional, os eventos de gerenciamento de todas as operações de leitura e gravação garantem que as operações de gerenciamento de CloudTrail registros em todos os recursos em uma Conta da AWS.

Por padrão, as CloudTrail trilhas criadas usando o Console de gerenciamento da AWS são trilhas multirregionais.

### Correção
<a name="cloudtrail-1-remediation"></a>

Para criar uma nova trilha multirregional em CloudTrail, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do AWS CloudTrail usuário*. Use os seguintes valores:


| Campo | Valor | 
| --- | --- | 
|  Configurações adicionais, validação do arquivo de log  |  Habilitado  | 
|  Escolha eventos de logs, eventos de gerenciamento, atividade de API  |  **Ler** e **Gravar**. Desmarque as caixas de seleção para exclusões.  | 

Para atualizar uma trilha existente, consulte [Atualizar uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html) no *Guia do usuário do AWS CloudTrail *. Em **Eventos de gerenciamento**, para **Atividade da API**, escolha **Ler** e **Gravar**.

## [CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
<a name="cloudtrail-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.5, CIS Foundations Benchmark v1.2.0/2.7, CIS AWS Foundations Benchmark v1.4.0/3.7, CIS AWS AWS Foundations Benchmark v3.0.0/3.5, (1), 3, 8, 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6), NIST.800-171.r2 NIST.800-53.r5 SC-2 3.3.8, PCI DSS NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 v3.2.1/3.4, PCI DSS v4.0.1/10.3.2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudTrail::Trail`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se CloudTrail está configurado para usar a criptografia de criptografia do lado do servidor (SSE). AWS KMS key O controle falha se `KmsKeyId` não estiver definido.

Para uma camada adicional de segurança para seus arquivos de CloudTrail log confidenciais, você deve usar criptografia do [lado do servidor com AWS KMS keys (SSE-KMS) para seus arquivos de CloudTrail log para criptografia](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) em repouso. Observe que, por padrão, os arquivos de log entregues CloudTrail aos seus buckets são criptografados pela criptografia do lado do [servidor da Amazon com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)). 

### Correção
<a name="cloudtrail-2-remediation"></a>

*Para ativar a criptografia SSE-KMS para arquivos de CloudTrail log, consulte [Atualizar uma trilha para usar uma chave KMS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail) no Guia do usuário.AWS CloudTrail *

## [CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada
<a name="cloudtrail-3"></a>

**Requisitos relacionados:** NIST.800-171.r2 3,3.1, NIST.800-171.r2 3,14.6, NIST.800-171.r2 3,14.7, PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, PCI DSS v3.2.1/10.2.3, PCI DSS v3.2.1/10.2.4, PCI DSS v3.2.1/10.2.5, PCI DSS v3.2.1/10.2.6, PCI DSS v3.2.1/10.2.7, PCI DSS v3.2.1/10.3.1, PCI DSS v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, PCI DSS v4.0.1/10.2.1

**Categoria:** Identificar > Registro em log

**Gravidade:** alta

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se uma AWS CloudTrail trilha está habilitada no seu Conta da AWS. O controle falhará se sua conta não tiver pelo menos uma CloudTrail trilha ativada.

No entanto, alguns AWS serviços não permitem o registro de todos APIs os eventos. Você deve implementar quaisquer trilhas de auditoria adicionais além de CloudTrail revisar a documentação de cada serviço em [Serviços e Integrações CloudTrail Suportados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html).

### Correção
<a name="cloudtrail-3-remediation"></a>

Para começar CloudTrail e criar uma trilha, consulte o [AWS CloudTrail tutorial Introdução](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) no *Guia do AWS CloudTrail usuário*.

## [CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
<a name="cloudtrail-4"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.2, CIS Foundations Benchmark v1.2.0/2.2, CIS Foundations Benchmark v1.4.0/3.2, CIS AWS Foundations Benchmark v3.0.0/3.2, NIST.800-53.r5 AU-9, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-7 (1), NIST.800-53.r5 SI-7 (1) -7 (3), NIST.800-53.r5 SI-7 (7), NIST.800-171.r2 3.3.8, AWS PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, PCI DSS v4.0.1/10.3.2 AWS 

**Categoria:** Proteção de dados > Integridade dos dados

**Gravidade:** baixa

**Tipo de recurso:** `AWS::CloudTrail::Trail`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a validação da integridade do arquivo de log está habilitada em uma CloudTrail trilha.

CloudTrail a validação do arquivo de log cria um arquivo de resumo assinado digitalmente que contém um hash de cada log CloudTrail gravado no Amazon S3. Você pode usar esses arquivos de resumo para determinar se um arquivo de log foi alterado, excluído ou inalterado após a CloudTrail entrega do log.

O Security Hub CSPM recomenda que você habilite a validação de arquivos em todas as trilhas. A validação do arquivo de log fornece verificações adicionais de integridade dos CloudTrail registros.

### Correção
<a name="cloudtrail-4-remediation"></a>

Para ativar a validação do arquivo de CloudTrail log, consulte [Habilitando a validação da integridade do arquivo de log CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) no *Guia AWS CloudTrail do usuário*.

## [CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs
<a name="cloudtrail-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.4, PCI DSS v3.2.1/10.5.3, CIS Foundations Benchmark v1.2.0/2.4, CIS AWS Foundations Benchmark v1.4.0/3.4, (4), (26), (9),, (9), NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-3 (8), IST.800-53.R5 SI-4 NIST.800-53.r5 AC-2 (20), NIST.800-53.r5 AC-4 Nist.800-53.R5 SI-4 NIST.800-53.r5 AC-6 (5), Nist.800-53.R5 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7 SI-7 NIST.800-53.r5 SC-7 (8) AWS 

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudTrail::Trail`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se as CloudTrail trilhas estão configuradas para enviar registros para o CloudWatch Logs. O controle falhará se a propriedade `CloudWatchLogsLogGroupArn` da trilha estiver vazia.

CloudTrail registra as chamadas de AWS API feitas em uma determinada conta. As informações gravadas incluem o seguinte:
+ Identidade do chamador da API
+ Hora da chamada da API
+ O endereço IP de origem do chamador da API
+ Parâmetros de solicitação
+ Os elementos de resposta retornados pelo AWS service (Serviço da AWS)

CloudTrail usa o Amazon S3 para armazenamento e entrega de arquivos de log. Você pode capturar CloudTrail registros em um bucket S3 especificado para análise de longo prazo. Para realizar análises em tempo real, você pode configurar o CloudTrail envio de registros para o CloudWatch Logs.

Para uma trilha ativada em todas as regiões de uma conta, CloudTrail envia arquivos de registro de todas essas regiões para um grupo de CloudWatch registros de registros.

O Security Hub CSPM recomenda que você envie CloudTrail registros para CloudWatch Logs. Observe que essa recomendação tem como objetivo garantir que a atividade da conta seja capturada, monitorada e devidamente alertada. Você pode usar o CloudWatch Logs para configurar isso com seu Serviços da AWS. Essa recomendação não impede o uso de uma solução diferente.

O envio de CloudTrail CloudWatch registros para o Logs facilita o registro histórico e em tempo real de atividades com base no usuário, na API, no recurso e no endereço IP. É possível usar essa abordagem para estabelecer alertas e notificações de atividades anormais ou confidenciais da conta.

### Correção
<a name="cloudtrail-5-remediation"></a>

Para fazer a integração CloudTrail com o CloudWatch Logs, consulte [Enviar eventos para o CloudWatch Logs](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html) no *Guia AWS CloudTrail do usuário*.

## [CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente
<a name="cloudtrail-6"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/2.3, CIS Foundations Benchmark v1.4.0/3.3, PCI DSS v4.0.1/1.4.4 AWS 

**Categoria:** Identificar > Registro em log

**Gravidade:** crítica

**Tipo de recurso:** `AWS::S3::Bucket`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** periódico e acionado por alterações

**Parâmetros**: nenhum

CloudTrail registra um registro de cada chamada de API feita em sua conta. Esses arquivos de log são armazenados em um bucket do S3. O CIS recomenda que a política de bucket do S3, ou lista de controle de acesso (ACL), seja aplicada ao bucket do S3 que CloudTrail registra para impedir o acesso público aos registros. CloudTrail Permitir o acesso público ao conteúdo do CloudTrail registro pode ajudar um adversário a identificar pontos fracos no uso ou na configuração da conta afetada.

Para executar essa verificação, o Security Hub CSPM primeiro usa a lógica personalizada para procurar o bucket do S3 em que seus CloudTrail registros estão armazenados. Em seguida, ele usa as regras AWS Config gerenciadas para verificar se o bucket está acessível ao público.

Se você agregar seus registros em um único bucket S3 centralizado, o Security Hub CSPM executará a verificação somente na conta e na região em que o bucket S3 centralizado está localizado. Para outras contas e regiões, o status do controle é **Sem dados**.

Se o bucket for acessível ao público, a verificação gerará uma descoberta com falha.

### Correção
<a name="cloudtrail-6-remediation"></a>

Para bloquear o acesso público ao seu bucket do CloudTrail S3, consulte [Como definir configurações de bloqueio de acesso público para seus buckets do S3 no](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Guia do usuário do *Amazon Simple Storage Service*. Selecione todas as quatro configurações de bloqueio de acesso público do Amazon S3.

## [CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3
<a name="cloudtrail-7"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/2.6, CIS Foundations Benchmark v1.4.0/3.6, CIS AWS Foundations Benchmark v3.0.0/3.4, PCI DSS v4.0.1/10.2.1 AWS 

**Categoria:** Identificar > Registro em log

**Gravidade:** baixa

**Tipo de recurso:** `AWS::S3::Bucket`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

O registro de acesso ao bucket do S3 gera um log que contém os registros de acesso para cada solicitação feita no bucket do S3. Um registro contém detalhes sobre a solicitação, tais como o tipo da solicitação, os recursos especificados na solicitação e a data e hora em que a solicitação foi processada.

O CIS recomenda que você habilite o registro de acesso ao bucket no bucket do CloudTrail S3.

Ao habilitar o registro em log do bucket do S3 em buckets do S3 de destino, é possível capturar todos os eventos que podem afetar objetos em um bucket de destino. Configurar os logs para serem colocados em um bucket separado permite o acesso às informações de log, o que pode ser útil em fluxos de resposta a incidentes e segurança.

Para executar essa verificação, o Security Hub CSPM primeiro usa a lógica personalizada para procurar o bucket em que seus CloudTrail registros estão armazenados e, em seguida, usa a regra AWS Config gerenciada para verificar se o registro está ativado.

Se CloudTrail entregar arquivos de log de vários Contas da AWS em um único bucket Amazon S3 de destino, o CSPM do Security Hub avalia esse controle somente em relação ao bucket de destino na região em que está localizado. Isso simplifica suas descobertas. No entanto, você deve ativar CloudTrail todas as contas que entregam registros ao bucket de destino. Para todas as contas, exceto aquela que contém o bucket de destino, o status do controle é **Sem dados**.

### Correção
<a name="cloudtrail-7-remediation"></a>

Para habilitar o registro de acesso ao servidor para seu bucket do CloudTrail S3, consulte [Habilitar o registro de acesso ao servidor Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging) no Guia do usuário do *Amazon Simple Storage Service*.

## [CloudTrail.9] CloudTrail trilhas devem ser marcadas
<a name="cloudtrail-9"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::CloudTrail::Trail`

**AWS Config regra:** `tagged-cloudtrail-trail` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se uma AWS CloudTrail trilha tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a trilha não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a trilha não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="cloudtrail-9-remediation"></a>

Para adicionar tags a uma CloudTrail trilha, consulte [AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)na *Referência da AWS CloudTrail API*.

## [CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys
<a name="cloudtrail-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::CloudTrail::EventDataStore`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Uma lista de nomes de recursos da Amazon (ARNs) AWS KMS keys a serem incluídos na avaliação. O controle gerará uma descoberta `FAILED` se um armazenamento de dados de eventos não estiver criptografado com uma chave do KMS na lista.  |  StringList (máximo de 3 itens)  |  1—3 ARNs das chaves KMS existentes. Por exemplo: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Nenhum valor padrão  | 

Esse controle verifica se um armazenamento de dados de eventos do AWS CloudTrail Lake está criptografado em repouso com o gerenciamento de um cliente AWS KMS key. O controle falhará se o armazenamento de dados de eventos não for criptografado com uma chave do KMS gerenciada pelo cliente. Opcionalmente, é possível especificar uma lista de chaves do KMS para o controle incluir na avaliação.

Por padrão, o AWS CloudTrail Lake criptografa armazenamentos de dados de eventos com chaves gerenciadas do Amazon S3 (SSE-S3), usando um algoritmo AES-256. Para controle adicional, você pode configurar o CloudTrail Lake para criptografar um armazenamento de dados de eventos com um cliente gerenciado AWS KMS key (SSE-KMS) em vez disso. Uma chave KMS gerenciada pelo cliente é AWS KMS key aquela que você cria, possui e gerencia no seu Conta da AWS. Você tem controle total sobre esse tipo de chave do KMS. Isso inclui definir e manter a política de chaves, gerenciar concessões, alternar material criptográfico, atribuir tags, criar aliases e habilitar e desabilitar a chave. Você pode usar uma chave KMS gerenciada pelo cliente em operações criptográficas para seu uso de CloudTrail dados e auditoria com CloudTrail registros.

### Correção
<a name="cloudtrail-10-remediation"></a>

Para obter informações sobre como criptografar um armazenamento de dados de eventos do AWS CloudTrail Lake com um AWS KMS key que você especifica, consulte [Atualizar um armazenamento de dados de eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html) no *Guia do AWS CloudTrail usuário*. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS.

# Controles CSPM do Security Hub para Amazon CloudWatch
<a name="cloudwatch-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o CloudWatch serviço e os recursos da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”
<a name="cloudwatch-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.1, CIS Foundations Benchmark v1.2.0/3.3, CIS Foundations Benchmark v1.4.0/1.7, CIS AWS Foundations Benchmark v1.4.0/4.3, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7, PCI DSS v3.2.1/7.2.1 AWS 

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

O usuário raiz tem acesso irrestrito a todos os serviços e recursos da Conta da AWS. É altamente recomendável que você evite usar o usuário raiz para tarefas diárias. Minimizar o uso do usuário raiz e adotar o princípio do privilégio mínimo para gerenciamento de acesso reduz o risco de alterações acidentais e divulgação não intencional de credenciais altamente privilegiadas.

Como uma melhor prática, use as credenciais raiz somente quando necessário para [realizar tarefas de gerenciamento de serviços e da conta](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Aplique políticas AWS Identity and Access Management (IAM) diretamente a grupos e funções, mas não a usuários. Para obter um tutorial sobre como configurar um administrador para uso diário, consulte [Criar seu primeiro usuário administrador de IAM e grupo do ](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)* no *Guia do usuário do IAM

Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 1.7 no [CIS AWS Foundations Benchmark v1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1). Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-1-remediation"></a>

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas
<a name="cloudwatch-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.1, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro e um alarme de métrica para chamadas de API não autorizadas. O monitoramento de chamadas de API não autorizadas ajuda a revelar erros de aplicativo e pode reduzir o tempo para detectar atividades mal-intencionadas.

Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 3.1 no [CIS AWS Foundations](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) Benchmark v1.2. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-2-remediation"></a>

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA
<a name="cloudwatch-3"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.2

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro e um alarme de métrica para logins de console que não são protegidos por MFA. O monitoramento de logins de console com fator único aumenta a visibilidade em contas que não são protegidas por MFA. 

Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 3.2 no [CIS AWS Foundations](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) Benchmark v1.2. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-3-remediation"></a>

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM
<a name="cloudwatch-4"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.4, CIS Foundations Benchmark v1.4.0/4.4, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se você monitora as chamadas de API em tempo real direcionando CloudTrail os CloudWatch registros para o Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em políticas do IAM. Monitorar essas alterações ajuda a garantir que os controles de autenticação e autorização permaneçam intactos.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-4-remediation"></a>

**nota**  
Nosso padrão de filtro recomendado nessas etapas de correção difere do padrão de filtro na orientação do CIS. Nossos filtros recomendados têm como alvo somente eventos provenientes de chamadas de API do IAM.

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração
<a name="cloudwatch-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.5, CIS Foundations Benchmark v1.4.0/4.5, NIST.800-171.r2 3.3.8, NIST.800-171.r2 AWS 3.14.6, NIST.800-171.r2 3.14.7

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em opções de configuração do CloudTrail. Monitorar essas alterações ajuda a garantir visibilidade sustentada para atividades na conta.

Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.5 no [CIS AWS Foundations Benchmark v1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1). Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-5-remediation"></a>

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação
<a name="cloudwatch-6"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.6, CIS Foundations Benchmark v1.4.0/4.6, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro e um alarme de métrica para tentativas com falha de autenticação no console. O monitoramento de logins de console com falha pode diminuir o tempo necessário para detectar uma tentativa de inserção forçada de uma credencial, o que pode fornecer um indicador, como o IP de origem, que pode ser usado em outras correlações do evento. 

Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.6 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-6-remediation"></a>

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente
<a name="cloudwatch-7"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.7, CIS Foundations Benchmark v1.4.0/4.7, NIST.800-171.r2 3.13.10, NIST.800-171.r2 3.13.16, AWS NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O O CIS recomenda que você crie um filtro e um alarme de métrica para CMKs criadas pelo cliente cujo estado foi alterado para desativado ou exclusão programada. Os dados criptografados com chaves desativadas ou excluídas não podem mais ser acessados.

Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.7 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica. O controle também falhará se `ExcludeManagementEventSources` contiver `kms.amazonaws.com`.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-7-remediation"></a>

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3
<a name="cloudwatch-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.8, CIS Foundations Benchmark v1.4.0/4.8, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em políticas de bucket do S3. Monitorar essas alterações pode reduzir o tempo para detectar e corrigir políticas permissivas em buckets do S3 confidenciais.

Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.8 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-8-remediation"></a>

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração
<a name="cloudwatch-9"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.9, CIS Foundations Benchmark v1.4.0/4.9, NIST.800-171.r2 3.3.8, NIST.800-171.r2 3.14.6, AWS NIST.800-171.r2 3.14.7

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em opções de configuração do AWS Config . Monitorar essas alterações ajuda a garantir a visibilidade sustentada de itens de configuração na conta.

Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.9 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-9-remediation"></a>

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança
<a name="cloudwatch-10"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.10, CIS Foundations Benchmark v1.4.0/4.10, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Os grupos de segurança são um filtro de pacote com estado que controla o tráfego de entrada e saída em uma VPC.

O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em grupos de segurança. Monitorar essas alterações ajuda a garantir que os recursos e serviços da não sejam expostos involuntariamente. 

Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.10 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-10-remediation"></a>

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)
<a name="cloudwatch-11"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.11, CIS Foundations Benchmark v1.4.0/4.11, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. NACLs são usados como um filtro de pacotes sem estado para controlar o tráfego de entrada e saída de sub-redes em uma VPC.

O CIS recomenda que você crie um filtro métrico e um alarme para alterações em NACLs. O monitoramento dessas mudanças ajuda a garantir que AWS os recursos e serviços não sejam expostos acidentalmente. 

Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.11 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-11-remediation"></a>

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede
<a name="cloudwatch-12"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.12, CIS Foundations Benchmark v1.4.0/4.12, NIST.800-171.r2 3.3.1, NIST.800-171.r2 AWS 3.13.1

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Os gateways de rede são necessários para enviar e receber tráfego para um destino fora de uma VPC.

O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em gateways de rede. Monitorar essas alterações ajuda a garantir que todo o tráfego de entrada e saída passará pela borda da VPC por um caminho controlado.

Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.12 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.2. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-12-remediation"></a>

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas
<a name="cloudwatch-13"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.13, CIS Foundations Benchmark v1.4.0/4.13, NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1, AWS NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se você monitora as chamadas de API em tempo real direcionando CloudTrail os CloudWatch registros para o Logs e estabelecendo filtros métricos e alarmes correspondentes. As tabelas de rotas encaminham o tráfego de rede entre sub-redes e gateways de rede.

O CIS recomenda você crie um filtro de métrica e um alarme para fazer alterações em tabelas de rotas. Monitorar essas alterações ajuda a garantir que todo o tráfego da VPC passe por um caminho esperado.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-13-remediation"></a>

**nota**  
Nosso padrão de filtro recomendado nessas etapas de correção difere do padrão de filtro na orientação do CIS. Nossos filtros recomendados têm como alvo somente eventos provenientes de chamadas de API do Amazon Elastic Computer Cloud (EC2).

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC
<a name="cloudwatch-14"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.14, CIS Foundations Benchmark v1.4.0/4.14, NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1, AWS NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Você pode ter mais de uma VPC em uma conta e criar uma conexão ponto a ponto entre duas VPCs, permitindo que o tráfego de rede seja roteado entre elas. VPCs

O CIS recomenda que você crie um filtro métrico e um alarme para alterações em VPCs. Monitorar essas alterações ajuda a garantir que os controles de autenticação e autorização permaneçam intactos.

Para executar essa verificação, o Security Hub CSPM usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.14 no [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

**nota**  
Quando o Security Hub CSPM executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.  
A verificação resulta em descobertas `FAILED` nos seguintes casos:  
Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.
A verificação resulta em um status de controle de `NO_DATA` nos seguintes casos:  
Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.  
Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de `NO_DATA` aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.
Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando `ListSubscriptionsByTopic`. Caso contrário, o Security Hub CSPM gera `WARNING` descobertas para o controle.

### Correção
<a name="cloudwatch-14-remediation"></a>

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

1. Crie um tópico do Amazon SNS. Para instruções, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.

1. Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte [Criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) no *Guia do usuário do AWS CloudTrail *.

   Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

1. Crie um filtro de métrica. Para obter instruções, consulte [Criar um filtro métrico para um grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) no *Guia CloudWatch do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

1. Criar um alarme com base no filtro Para obter instruções, consulte [Criar um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) *do usuário da Amazon*. Use os seguintes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas
<a name="cloudwatch-15"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 IR-4 (1), NIST.800-53.r5 IR-4 (5), NIST.800-53.r5 SI-2, Nist.800-53.r5 SI-20, NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5), NIST.800-171.R5 2 3.3.4, NIST.800-171.r2 3.14.6

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::CloudWatch::Alarm`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  O controle produzirá uma descoberta `PASSED` se o parâmetro estiver definido como `true` e o alarme tiver uma ação quando o estado do alarme mudar para `ALARM`.  |  Booleano  |  Não personalizável  |  `true`  | 
|  `insufficientDataActionRequired`  |  O controle produzirá uma descoberta `PASSED` se o parâmetro estiver definido como `true` e o alarme tiver uma ação quando o estado do alarme mudar para `INSUFFICIENT_DATA`.  |  Booleano  |  `true` ou `false`  |  `false`  | 
|  `okActionRequired`  |  O controle produzirá uma descoberta `PASSED` se o parâmetro estiver definido como `true` e o alarme tiver uma ação quando o estado do alarme mudar para `OK`.  |  Booleano  |  `true` ou `false`  |  `false`  | 

Esse controle verifica se um CloudWatch alarme da Amazon tem pelo menos uma ação configurada para o `ALARM` estado. O controle falhará se o alarme não tiver uma ação configurada para o estado `ALARM`. Opcionalmente, é possível incluir valores de parâmetros personalizados para também exigir ações de alarme para os estados `INSUFFICIENT_DATA` ou `OK`.

**nota**  
O Security Hub CSPM avalia esse controle com base em CloudWatch alarmes métricos. Os alarmes de métrica podem fazer parte de alarmes compostos que têm as ações especificadas configuradas. O controle gera descobertas `FAILED` nos seguintes casos:  
As ações especificadas não estão configuradas para um alarme de métrica.
O alarme de métrica faz parte de um alarme composto que têm as ações especificadas configuradas.

Esse controle se concentra em saber se um CloudWatch alarme tem uma ação de alarme configurada, enquanto [CloudWatch.17](#cloudwatch-17) se concentra no status de ativação de uma ação de CloudWatch alarme.

Recomendamos ações de CloudWatch alarme para alertá-lo automaticamente quando uma métrica monitorada estiver fora do limite definido. Os alarmes de monitoramento ajudam você a identificar atividades incomuns e a responder rapidamente a problemas operacionais e de segurança quando um alarme entra em um estado específico. O tipo de ação de alarme mais comum é notificar uma ou mais pessoas enviando uma mensagem a um tópico do Amazon Simple Notification Service (Amazon SNS).

### Correção
<a name="cloudwatch-15-remediation"></a>

Para obter informações sobre ações suportadas por CloudWatch alarmes, consulte [Ações de alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) no *Guia do CloudWatch usuário da Amazon*.

## [CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado
<a name="cloudwatch-16"></a>

**Categoria:** Identificar > Registro em log

**Requisitos relacionados:** NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-12

**Gravidade:** média

**Tipo de recurso:** `AWS::Logs::LogGroup`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |  Período mínimo de retenção em dias para grupos de CloudWatch registros  |  Enum  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

Esse controle verifica se um grupo de CloudWatch registros da Amazon tem um período de retenção de pelo menos o número especificado de dias. O controle falhará se o período de retenção for inferior ao número especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção, o Security Hub CSPM usa um valor padrão de 365 dias.

CloudWatch Os registros centralizam os registros de todos os seus sistemas, aplicativos e Serviços da AWS em um único serviço altamente escalável. Você pode usar o CloudWatch Logs para monitorar, armazenar e acessar seus arquivos de log das instâncias do Amazon Elastic Compute Cloud (EC2) AWS CloudTrail, do Amazon Route 53 e de outras fontes. Manter seus logs por pelo menos 1 ano pode ajudá-lo a cumprir os padrões de retenção de logs.

### Correção
<a name="cloudwatch-16-remediation"></a>

Para definir as configurações de retenção de log, consulte [Alterar retenção de dados de log em CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) no *Guia CloudWatch do usuário da Amazon*.

## [CloudWatch.17] ações de CloudWatch alarme devem ser ativadas
<a name="cloudwatch-17"></a>

**Categoria:** Detectar > Serviços de detecção

**Requisitos relacionados:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, Nist.800-53.r5 SI-4 (12)

**Gravidade:** alta

**Tipo de recurso:** `AWS::CloudWatch::Alarm`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se as ações de CloudWatch alarme estão ativadas (`ActionEnabled`devem ser definidas como verdadeiras). O controle falhará se a ação de alarme de um CloudWatch alarme for desativada.

**nota**  
O Security Hub CSPM avalia esse controle com base em CloudWatch alarmes métricos. Os alarmes de métrica podem fazer parte de alarmes compostos que têm ações de alarme ativadas. O controle gera descobertas `FAILED` nos seguintes casos:  
As ações especificadas não estão configuradas para um alarme de métrica.
O alarme de métrica faz parte de um alarme composto que tem ações de alarme ativadas.

Esse controle se concentra no status de ativação de uma ação de CloudWatch alarme, enquanto [CloudWatch.15](#cloudwatch-15) se concentra em saber se alguma `ALARM` ação está configurada em um CloudWatch alarme.

As ações de alarme alertam automaticamente quando uma métrica monitorada estiver fora do limite definido. Se a ação de alarme for desativada, nenhuma ação será executada quando o alarme mudar de estado, e você não será alertado sobre alterações nas métricas monitoradas. Recomendamos ativar as ações de CloudWatch alarme para ajudá-lo a responder rapidamente aos problemas operacionais e de segurança.

### Correção
<a name="cloudwatch-17-remediation"></a>

**Para ativar uma ação CloudWatch de alarme (console)**

1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. No painel de navegação, em **Alarmes**, escolha **Todos os alarmes**.

1. Selecione o alarme para o qual você deseja ativar as ações.

1. Em **Ações**, escolha **Ações de alarme — novas** e, em seguida, escolha **Ativar**.

Para obter mais informações sobre a ativação de ações de CloudWatch alarme, consulte [Ações de alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) no *Guia do CloudWatch usuário da Amazon*.

# Controles CSPM do Security Hub para CodeArtifact
<a name="codeartifact-controls"></a>

Esses controles CSPM do Security Hub avaliam o AWS CodeArtifact serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [CodeArtifact.1] CodeArtifact repositórios devem ser marcados
<a name="codeartifact-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::CodeArtifact::Repository`

**AWS Config regra:** `tagged-codeartifact-repository` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um AWS CodeArtifact repositório tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o repositório não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o repositório não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="codeartifact-1-remediation"></a>

Para adicionar tags a um CodeArtifact repositório, consulte [Marcar um repositório CodeArtifact no Guia](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html) do *AWS CodeArtifact usuário*.

# Controles CSPM do Security Hub para CodeBuild
<a name="codebuild-controls"></a>

Esses controles CSPM do Security Hub avaliam o AWS CodeBuild serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais
<a name="codebuild-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/8.2.1 NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2

**Categoria:** Proteger > Desenvolvimento seguro

**Gravidade:** crítica

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o URL do repositório de origem do Bitbucket do AWS CodeBuild projeto contém tokens de acesso pessoais ou um nome de usuário e senha. O controle falhará se o URL do repositórios Bitbucket de fontes contiver tokens de acesso pessoais ou um nome de usuário e senha.

**nota**  
Esse controle avalia a fonte primária e as fontes secundárias de um projeto de CodeBuild compilação. Para obter mais informações sobre fonte de projetos, consulte [Multiple input sources and output artifacts sample](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html) no *AWS CodeBuild User Guide*.

As credenciais de login nunca devem ser armazenadas ou transmitidas em texto puro ou aparecer no URL do repositório de origem. Em vez de tokens de acesso pessoal ou credenciais de login, você deve acessar seu provedor de origem e alterar a URL do repositório de origem para conter somente o caminho para a localização do repositório Bitbucket. CodeBuild O uso de tokens de acesso pessoais ou credenciais de login poderia resultar em exposição não intencional de dados ou acesso não autorizado.

### Correção
<a name="codebuild-1-remediation"></a>

Você pode atualizar seu CodeBuild projeto para usar OAuth.

**Para remover a autenticação básica/(GitHub) Personal Access Token da fonte do CodeBuild projeto**

1. Abra o CodeBuild console em [https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/).

1. Escolha o projeto de compilação que contém tokens de acesso pessoal ou um nome de usuário e uma senha.

1. Em **Edit (Editar)**, selecione **Source (Origem)**.

1. Escolha **Desconectar de GitHub /Bitbucket**.

1. Escolha **Conectar usando OAuth** e, em seguida, escolha **Conectar a GitHub/Bitbucket**.

1. Quando solicitado, escolha **authorize as appropriate (autorizar conforme apropriado)**.

1. Redefina as configurações de URL do repositório e configuração adicional, conforme necessário.

1. Selecione **Update source (Atualizar origem)**.

Para obter mais informações, consulte [exemplos baseados em casos de CodeBuild uso](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html) no Guia do *AWS CodeBuild usuário*.

## [CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado
<a name="codebuild-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 IA-5 (7), PCI DSS v3.2.1/8.2.1 NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2

**Categoria:** Proteger > Desenvolvimento seguro

**Gravidade:** crítica

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Este controle verifica se o projeto contém as variáveis de ambiente `AWS_ACCESS_KEY_ID` e `AWS_SECRET_ACCESS_KEY`.

As credenciais de autenticação `AWS_ACCESS_KEY_ID` e `AWS_SECRET_ACCESS_KEY` nunca devem ser armazenadas em texto não criptografado, pois isso poderia levar à exposição não intencional de dados e acesso não autorizado.

### Correção
<a name="codebuild-2-remediation"></a>

Para remover variáveis de ambiente de um CodeBuild projeto, consulte [Alterar as configurações de um projeto de compilação AWS CodeBuild no](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) *Guia AWS CodeBuild do usuário*. Certifique-se de que nada esteja selecionado para as **Variáveis de ambiente**.

Você pode armazenar variáveis de ambiente com valores confidenciais no AWS Systems Manager Parameter Store ou AWS Secrets Manager recuperá-las de sua especificação de compilação. Para obter instruções, consulte a caixa chamada **Importante** na [seção Ambiente](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment) do *Guia do usuário do AWS CodeBuild *.

## [CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
<a name="codebuild-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6), PCI DSS v4.0.1/10.3.2

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** baixa

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os registros do Amazon S3 de um AWS CodeBuild projeto estão criptografados. O controle falhará se a criptografia for desativada para os registros do S3 de um CodeBuild projeto.

A criptografia de dados em repouso é uma prática recomendada para adicionar uma camada de gerenciamento de acesso aos seus dados. Criptografar os registros em repouso reduz o risco de um usuário não autenticado acessar AWS os dados armazenados no disco. Ele adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessarem os dados. 

### Correção
<a name="codebuild-3-remediation"></a>

Para alterar as configurações de criptografia dos registros CodeBuild do projeto S3, consulte [Alterar as configurações de um projeto de compilação AWS CodeBuild no](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) *Guia do AWS CodeBuild usuário*.

## [CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
<a name="codebuild-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um ambiente de CodeBuild projeto tem pelo menos uma opção de log, seja para S3 ou para CloudWatch logs habilitados. Esse controle falhará se um ambiente de CodeBuild projeto não tiver pelo menos uma opção de log ativada. 

Do ponto de vista da segurança, o registro em log é um atributo importante para permitir futuros esforços forenses no caso de incidentes de segurança. Correlacionar anomalias em CodeBuild projetos com detecções de ameaças pode aumentar a confiança na precisão dessas detecções de ameaças.

### Correção
<a name="codebuild-4-remediation"></a>

Para obter mais informações sobre como definir as configurações CodeBuild do registro do projeto, consulte [Criar um projeto de compilação (console)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs) no Guia CodeBuild do usuário.

## [CodeBuild.5] ambientes de CodeBuild projeto não devem ter o modo privilegiado ativado
<a name="codebuild-5"></a>

**Importante**  
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** alta

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um ambiente de AWS CodeBuild projeto tem o modo privilegiado ativado ou desativado. O controle falhará se um ambiente de CodeBuild projeto tiver o modo privilegiado ativado.

Por padrão, os contêineres do Docker não permitem acesso a nenhum dispositivo. O modo privilegiado concede acesso a contêiner Docker de um projeto de compilação a todos os dispositivos. A configuração `privilegedMode` com valor `true` permite que o daemon do Docker seja executado dentro de um contêiner do Docker. O daemon do Docker escuta as solicitações da API do Docker e gerencia objetos do Docker, como imagens, contêineres, redes e volumes. Este parâmetro só deve ser definido como true se o projeto de compilação for usado para criar imagens de Docker. Caso contrário, essa configuração deve ser desativada para impedir o acesso não intencional ao Docker APIs e ao hardware subjacente do contêiner. A configuração de `privilegedMode` para `false` ajuda a proteger recursos essenciais contra adulteração e exclusão.

### Correção
<a name="codebuild-5-remediation"></a>

Para definir as configurações do ambiente do CodeBuild projeto, consulte [Criar um projeto de compilação (console)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment) no *Guia CodeBuild do usuário*. Na seção **Ambiente**, não selecione a configuração **Privilegiada**.

## [CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso
<a name="codebuild-7"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::CodeBuild::ReportGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os resultados do teste de um grupo de AWS CodeBuild relatórios que são exportados para um bucket do Amazon Simple Storage Service (Amazon S3) estão criptografados em repouso. O controle falhará se o grupo de relatórios não for criptografado em repouso.

Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.

### Correção
<a name="codebuild-7-remediation"></a>

Para criptografar a exportação do grupo de relatórios para o S3, consulte [Update a report group](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html) no *AWS CodeBuild User Guide*.

# Controles CSPM do Security Hub para Amazon Profiler CodeGuru
<a name="codeguruprofiler-controls"></a>

Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon CodeGuru Profiler.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados
<a name="codeguruprofiler-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::CodeGuruProfiler::ProfilingGroup`

**Regra do AWS Config :** `codeguruprofiler-profiling-group-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um grupo de CodeGuru criação de perfil do Amazon Profiler tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o grupo de criação de perfil filtro não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de criação de perfil não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="codeguruprofiler-1-remediation"></a>

Para adicionar tags a um grupo de criação de CodeGuru perfil do Profiler, consulte Como [marcar grupos de criação de perfil no](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html) Guia do usuário do *Amazon CodeGuru * Profiler.

# Controles de CSPM do Security Hub para Amazon Reviewer CodeGuru
<a name="codegurureviewer-controls"></a>

Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon CodeGuru Reviewer.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
<a name="codegurureviewer-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::CodeGuruReviewer::RepositoryAssociation`

**Regra do AWS Config :** `codegurureviewer-repository-association-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma associação de repositório do Amazon CodeGuru Reviewer tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se a associação do repositório não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a associação do repositório não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="codegurureviewer-1-remediation"></a>

Para adicionar tags a uma associação de repositório de CodeGuru revisores, consulte Como [marcar uma associação de repositório no](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html) Guia do usuário do *Amazon CodeGuru * Reviewer.

# Controles de CSPM do Security Hub para o Amazon Cognito
<a name="cognito-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Cognito. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão
<a name="cognito-1"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `SecurityMode`  |  O modo de aplicação da proteção contra ameaças que o controle verifica.  |  String  |  `AUDIT`, `ENFORCED`  |  `ENFORCED`  | 

Esse controle verifica se um grupo de usuários do Amazon Cognito tem a proteção contra ameaças ativada com o modo de aplicação definido como de função completa para a autenticação padrão. O controle falhará se o grupo de usuários tiver a proteção contra ameaças desativada ou se o modo de aplicação não estiver configurado para função completa para a autenticação padrão. A menos que você forneça valores de parâmetros personalizados, o Security Hub CSPM usa o valor padrão de `ENFORCED` para o modo de imposição definido como função completa para autenticação padrão.

Depois de criar um grupo de usuários do Amazon Cognito, é possível ativar a proteção contra ameaças e personalizar as ações tomadas em resposta a riscos diferentes. Outra opção é usar o modo de auditoria para coletar métricas sobre riscos detectados sem aplicar mitigação de segurança. No modo de auditoria, a proteção contra ameaças publica métricas na Amazon CloudWatch. Você verá métricas depois que o Amazon Cognito gerar o primeiro evento.

### Correção
<a name="cognito-1-remediation"></a>

Para obter informações sobre a ativação da proteção contra ameaças para um grupo de usuários do Amazon Cognito, consulte [Segurança avançada com proteção contra ameaças](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) no *Guia do desenvolvedor do Amazon Cognito*.

## [Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas
<a name="cognito-2"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha

**Gravidade:** média

**Tipo de recurso:** `AWS::Cognito::IdentityPool`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um banco de identidades do Amazon Cognito está configurado para permitir identidades não autenticadas. O controle falhará se o acesso de convidado for ativado (o `AllowUnauthenticatedIdentities` parâmetro está definido como `true`) para o banco de identidades.

Se um grupo de identidades do Amazon Cognito permitir identidades não autenticadas, o grupo de identidades fornecerá AWS credenciais temporárias aos usuários que não se autenticaram por meio de um provedor de identidade (convidados). Isso cria riscos de segurança porque permite acesso anônimo aos AWS recursos. Se você desativar o acesso de convidado, poderá ajudar a garantir que somente usuários devidamente autenticados possam acessar seus AWS recursos, o que reduz o risco de acesso não autorizado e possíveis violações de segurança. Como prática recomendada, um banco de identidades deve exigir autenticação por meio de provedores de identidade com suporte. Se o acesso não autenticado for necessário, é importante restringir cuidadosamente as permissões para identidades não autenticadas e revisar e monitorar seu uso regularmente.

### Correção
<a name="cognito-2-remediation"></a>

Para obter informações sobre a desativação do acesso de convidados para um banco de identidades do Amazon Cognito, consulte [Ativação ou desativação do acesso de convidados](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities) no *Guia do desenvolvedor do Amazon Cognito*.

## [Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes
<a name="cognito-3"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minLength`  | O número mínimo de caracteres que uma senha deve conter.  | Inteiro | `8` para `128` | `8 ` | 
|  `requireLowercase`  | Exige pelo menos um caractere minúsculo na senha.  | Booleano | `True`, `False` | `True`  | 
|  `requireUppercase`  | Exige pelo menos um caractere maiúsculo na senha.  | Booleano | `True`, `False` | `True`  | 
|  `requireNumbers`  | Exige pelo menos um número na senha.  | Booleano | `True`, `False` | `True`  | 
|  `requireSymbols`  | Exige pelo menos um símbolo na senha.  | Booleano | `True`, `False` | `True`  | 
|  `temporaryPasswordValidity`  | O número máximo de dias que uma senha pode existir antes de expirar.  | Inteiro | `7` para `365` | `7`  | 

Esse controle verifica se a política de senha para um grupo de usuários do Amazon Cognito exige o uso de senhas fortes, com base nas configurações recomendadas para políticas de senha. O controle falhará se a política de senha do grupo de usuários não exigir senhas fortes. Opcionalmente, é possível especificar valores personalizados para as configurações de política que o controle verifica.

Senhas fortes são uma prática recomendada de segurança para grupos de usuários do Amazon Cognito. Senhas fracas podem expor as credenciais dos usuários a sistemas que adivinhem senhas e tentem acessar dados. Esse é especialmente o caso de aplicações abertos à Internet. As políticas de senha são um elemento central da segurança dos diretórios de usuários. Usando uma política de senha, é possível configurar um grupo de usuários para exigir a complexidade da senha e outras configurações que estejam em conformidade com seus padrões e requisitos de segurança.

### Correção
<a name="cognito-3-remediation"></a>

Para obter informações sobre como criar ou atualizar a política de senha para um grupo de usuários do Amazon Cognito, consulte [Adição de requisitos de senha ao grupo de usuários](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies) no *Guia do desenvolvedor do Amazon Cognito*.

## [Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada
<a name="cognito-4"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um grupo de usuários do Amazon Cognito tem a proteção contra ameaças ativada com o modo de fiscalização definido como função completa para autenticação personalizada. O controle falhará se o grupo de usuários tiver a proteção contra ameaças desativada ou se o modo de fiscalização não estiver configurado para funcionar totalmente para autenticação personalizada.

A proteção contra ameaças, anteriormente chamada de recursos avançados de segurança, é um conjunto de ferramentas de monitoramento de atividades indesejadas em seu grupo de usuários e ferramentas de configuração para encerrar automaticamente atividades possivelmente mal-intencionadas. Depois de criar um grupo de usuários do Amazon Cognito, você pode ativar a proteção contra ameaças com o modo de imposição de funções completas para autenticação personalizada e personalizar as ações que são tomadas em resposta a diferentes riscos. O modo de função completa inclui um conjunto de reações automáticas para detectar atividades indesejadas e senhas comprometidas.

### Correção
<a name="cognito-4-remediation"></a>

Para obter informações sobre a ativação da proteção contra ameaças para um grupo de usuários do Amazon Cognito, consulte [Segurança avançada com proteção contra ameaças](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) no *Guia do desenvolvedor do Amazon Cognito*.

## [Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
<a name="cognito-5"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação multifatorial

**Gravidade:** média

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um grupo de usuários do Amazon Cognito configurado com uma política de login somente por senha tem a autenticação multifator (MFA) ativada. O controle falhará se o grupo de usuários configurado com uma política de login somente por senha não tiver o MFA habilitado.

A autenticação multifatorial (MFA) adiciona um fator de autenticação “algo que você tem” ao fator “algo que você sabe” (normalmente nome de usuário e senha). Para usuários federados, o Amazon Cognito delega a autenticação ao provedor de identidade (IdP) e não oferece fatores adicionais de autenticação. No entanto, se você tiver usuários locais com autenticação por senha, a configuração da MFA para o grupo de usuários aumentará sua segurança.

**nota**  
Esse controle não é aplicável para usuários federados e usuários que fazem login com fatores sem senha.

### Correção
<a name="cognito-5-remediation"></a>

*Para obter informações sobre como configurar o MFA para um grupo de usuários do Amazon Cognito, consulte [Adicionar MFA a um grupo de usuários no Guia do desenvolvedor do Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html).*

## [Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada
<a name="cognito-6"></a>

**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados

**Gravidade:** média

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um grupo de usuários do Amazon Cognito tem a proteção de exclusão ativada. O controle falhará se a proteção de exclusão estiver desativada para o grupo de usuários.

A proteção contra exclusão ajuda a garantir que seu grupo de usuários não seja excluído acidentalmente. Quando você configura um grupo de usuários com proteção contra exclusão, o pool não pode ser excluído por nenhum usuário. A proteção contra exclusão impede que você solicite a exclusão de um grupo de usuários, a menos que você primeiro modifique o pool e desative a proteção contra exclusão.

### Correção
<a name="cognito-6-remediation"></a>

Para configurar a proteção contra exclusão de um grupo de usuários do Amazon Cognito, [consulte Proteção contra exclusão de grupos de usuários no Guia](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html) do desenvolvedor do Amazon *Cognito*.

# Controles CSPM do Security Hub para AWS Config
<a name="config-controls"></a>

Esses controles CSPM do Security Hub avaliam o AWS Config serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos
<a name="config-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.3, CIS Foundations Benchmark v1.2.0/2.5, CIS AWS Foundations Benchmark v1.4.0/3.5, CIS Foundations Benchmark v3.0.0/3.3, NIST.800-53.r5 CM-3, AWS NIST.800-53.r5 CM-6 (1), NIST.800-53.r5 CM-8, AWS NIST.800-53.r5 M-8 (2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/11.5

**Categoria:** Identificar > Inventário

**Gravidade:** crítica

**Tipo de recurso:** `AWS::::Account`

**AWS Config regra:** Nenhuma (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `includeConfigServiceLinkedRoleCheck`  |  O controle não avalia se AWS Config usa a função vinculada ao serviço se o parâmetro estiver definido como. `false`  |  Booleano  |  `true` ou `false`  |  `true`  | 

Esse controle verifica se AWS Config está ativado em sua conta na atual Região da AWS, registra todos os recursos que correspondem aos controles ativados na região atual e usa a função [vinculada ao serviço AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html). O nome da função vinculada ao serviço é. **AWSServiceRoleForConfig** Se você não usar a função vinculada ao serviço e não definir o `includeConfigServiceLinkedRoleCheck` parâmetro como`false`, o controle falhará porque outras funções podem não ter as permissões necessárias AWS Config para registrar seus recursos com precisão.

O AWS Config serviço executa o gerenciamento da configuração dos AWS recursos compatíveis em sua conta e entrega arquivos de log para você. As informações registradas incluem o item de configuração (AWS recurso), os relacionamentos entre os itens de configuração e quaisquer alterações de configuração nos recursos. Recursos globais são recursos disponíveis em qualquer região.

O controle é avaliado da seguinte maneira:
+ Se a região atual for definida como sua [região de agregação](finding-aggregation.md), o controle produzirá `PASSED` descobertas somente se os recursos globais AWS Identity and Access Management (IAM) forem registrados (se você tiver ativado controles que os exijam).
+ Se a região atual for definida como uma região vinculada, o controle não avaliará se os recursos globais do IAM são registrados.
+ Se a região atual não estiver no agregador ou se a agregação entre regiões não estiver configurada em sua conta, o controle produzirá descobertas `PASSED` somente se os recursos globais do IAM estiverem registrados (se você tiver ativado controles que os exijam).

Os resultados do controle não são afetados se você escolher o registro diário ou o registro contínuo das alterações no estado dos recursos do AWS Config. Porém, os resultados desse controle poderão mudar quando novos controles forem liberados se você tiver configurado a habilitação automática de novos controles ou tiver uma política de configuração central que habilite automaticamente novos controles. Nesses casos, se você não registrar todos os recursos, deverá configurar a gravação dos recursos associados a novos controles para receber uma descoberta `PASSED`.

As verificações de segurança CSPM do Security Hub funcionam conforme o esperado somente se você habilitar AWS Config em todas as regiões e configurar a gravação de recursos para controles que a exijam.

**nota**  
O Config.1 exige que AWS Config esteja habilitado em todas as regiões nas quais você usa o Security Hub CSPM.  
Como o Security Hub CSPM é um serviço regional, a verificação realizada para esse controle avalia somente a região atual da conta.  
Para permitir verificações de segurança em recursos globais do IAM em uma região, é necessário registrar os recursos globais do IAM nessa região. As regiões que não têm os recursos globais do IAM registrados receberão uma descoberta `PASSED` padrão para controles que verificam os recursos globais do IAM. Como os recursos globais do IAM são idênticos Regiões da AWS, recomendamos que você registre os recursos globais do IAM somente na região de origem (se a agregação entre regiões estiver ativada em sua conta). Os recursos do IAM serão registrados somente na região em que a gravação global de recursos estiver ativada.  
Os tipos de recursos registrados globalmente pelo IAM que são AWS Config compatíveis são usuários, grupos, funções e políticas gerenciadas pelo cliente do IAM. Você pode considerar a desativação dos controles CSPM do Security Hub que verificam esses tipos de recursos em regiões onde a gravação global de recursos está desativada. Para obter mais informações, consulte [Sugestões de controles a serem desabilitados no CSPM do Security Hub](controls-to-disable.md).

### Correção
<a name="config-1-remediation"></a>

Na região inicial e nas regiões que não fazem parte de um agregador, registre todos os recursos necessários para os controles habilitados na região atual, incluindo os recursos globais do IAM, se você tiver controles habilitados que exijam esses recursos.

Nas regiões vinculadas, você pode usar qualquer modo de AWS Config gravação, desde que esteja gravando todos os recursos que correspondem aos controles ativados na região atual. Nas regiões vinculadas, se você tiver habilitado controles que exijam o registro dos recursos globais do IAM, você não receberá uma descoberta `FAILED` (o registro de outros recursos é suficiente).

O campo `StatusReasons` no objeto `Compliance` de sua descoberta pode ajudá-lo a determinar por que você teve uma descoberta com falha para esse controle. Para obter mais informações, consulte [Detalhes de conformidade para as descobertas de controle](controls-findings-create-update.md#control-findings-asff-compliance).

Para obter uma lista dos recursos que devem ser registrados para cada controle, consulte [AWS Config Recursos necessários para descobertas de controle](controls-config-resources.md). Para obter informações gerais sobre como habilitar AWS Config e configurar a gravação de recursos, consulte[Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md).

# Controles de CSPM do Security Hub para Amazon Connect
<a name="connect-controls"></a>

Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Connect.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags
<a name="connect-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::CustomerProfiles::ObjectType`

**Regra do AWS Config :** `customerprofiles-object-type-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um tipo de objeto Amazon Connect Customer Profiles tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o tipo de objeto não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o tipo de objeto não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="connect-1-remediation"></a>

Para adicionar tags a um tipo de objeto Customer Profiles, consulte [Aplicação de tags a recursos no Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html) no *Guia do administrador do Amazon Connect*.

## [Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado
<a name="connect-2"></a>

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::Connect::Instance`

**Regra do AWS Config :** [connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma instância do Amazon Connect está configurada para gerar e armazenar registros de fluxo em um grupo de CloudWatch registros da Amazon. O controle falhará se a instância do Amazon Connect não estiver configurada para gerar e armazenar registros de fluxo em um grupo de CloudWatch registros.

Os logs de fluxo do Amazon Connect fornecem detalhes em tempo real sobre eventos nos fluxos do Amazon Connect. Um *fluxo* define a experiência do cliente com uma central de contatos do Amazon Connect do início ao fim. Por padrão, quando você cria uma nova instância do Amazon Connect, um grupo de CloudWatch registros da Amazon é criado automaticamente para armazenar os registros de fluxo da instância. Os logs de fluxo podem ajudar você a analisar fluxos, encontrar erros e monitorar métricas operacionais. Também é possível configurar alertas para eventos específicos que podem ocorrer em um fluxo.

### Correção
<a name="connect-2-remediation"></a>

Para obter informações sobre como habilitar registros de fluxo para uma instância do Amazon Connect, consulte [Habilitar registros de fluxo do Amazon Connect em um grupo de CloudWatch registros do Amazon](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html) Connect no *Guia do administrador do Amazon Connect*.

# Controles CSPM do Security Hub para Amazon Data Firehose
<a name="datafirehose-controls"></a>

Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Data Firehose.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
<a name="datafirehose-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AU-3, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::KinesisFirehose::DeliveryStream`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum 

Esse controle verifica se um fluxo de entrega do Amazon Data Firehose é criptografado em repouso com criptografia no servidor. Esse controle falhará se um fluxo de entrega do Firehose não for criptografado em repouso com criptografia no servidor.

A criptografia do lado do servidor é um recurso nos fluxos de entrega do Amazon Data Firehose que criptografa automaticamente os dados antes que estejam em repouso usando uma chave criada em (). AWS Key Management Service AWS KMS Os dados são criptografados antes de serem gravados na camada de armazenamento de fluxo do Data Firehose e são descriptografados depois de recuperados do armazenamento. Isso permite que você cumpra os requisitos regulatórios e aumente a segurança dos dados.

### Correção
<a name="datafirehose-1-remediation"></a>

Para habilitar a criptografia no servidor dos fluxos de entrega do Firehose, consulte [Proteção de dados no Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html) no *Guia do usuário do Amazon Data Firehose*.

# Controles CSPM do Security Hub para AWS Database Migration Service
<a name="dms-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS Database Migration Service (AWS DMS) e AWS DMS os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
<a name="dms-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6, (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.2 3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** crítica

**Tipo de recurso:** `AWS::DMS::ReplicationInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se AWS DMS as instâncias de replicação são públicas. Para fazer isso, ele examina o valor do campo `PubliclyAccessible`.

Uma instância de replicação privada tem um endereço IP privado que não pode ser acessado fora da rede de replicação. Uma instância de replicação deve ter um endereço IP privado quando os bancos de dados de origem e de destino ficam na mesma rede. A rede também deve estar conectada à VPC da instância de replicação usando uma VPN Direct Connect ou emparelhamento de VPC. Para saber mais sobre instâncias de replicação públicas e privadas, consulte [Instâncias de replicação públicas e privadas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate) no *Guia do usuário do AWS Database Migration Service *.

Você também deve garantir que o acesso à configuração da sua AWS DMS instância seja limitado somente aos usuários autorizados. Para fazer isso, restrinja as permissões do IAM dos usuários para modificar AWS DMS configurações e recursos.

### Correção
<a name="dms-1-remediation"></a>

Você não pode alterar a configuração de acesso público de uma instância de replicação do DMS depois de criá-la. Para alterar a configuração de acesso público, [exclua sua instância atual](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html) e, em seguida, [recrie-a](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html). Não selecione a opção **Acessível ao público**.

## [DMS.2] Os certificados do DMS devem ser marcados
<a name="dms-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::DMS::Certificate`

**AWS Config regra:** `tagged-dms-certificate` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um AWS DMS certificado tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o certificado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o certificado não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="dms-2-remediation"></a>

Para adicionar tags a um certificado do DMS, consulte [Tagging resources in AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) no *AWS Database Migration Service User Guide*.

## [DMS.3] As assinaturas de eventos do DMS devem ser marcadas
<a name="dms-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::DMS::EventSubscription`

**AWS Config regra:** `tagged-dms-eventsubscription` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se uma assinatura de AWS DMS evento tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a assinatura de eventos não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a assinatura de eventos não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="dms-3-remediation"></a>

Para adicionar tags a uma assinatura de eventos do DMS, consulte [Tagging resources in AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) no *AWS Database Migration Service User Guide*.

## [DMS.4] As instâncias de replicação do DMS devem ser marcadas
<a name="dms-4"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::DMS::ReplicationInstance`

**AWS Config regra:** `tagged-dms-replicationinstance` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se uma instância AWS DMS de replicação tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a instância de replicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a instância de replicação não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="dms-4-remediation"></a>

*Para adicionar tags a uma instância de replicação do DMS, consulte [Tagging resources in AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) no AWS Database Migration Service User Guide*.

## [DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
<a name="dms-5"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::DMS::ReplicationSubnetGroup`

**AWS Config regra:** `tagged-dms-replicationsubnetgroup` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um grupo AWS DMS de sub-redes de replicação tem tags com as chaves específicas definidas no parâmetro. `requiredTagKeys` O controle falhará se o grupo de sub-redes de replicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de sub-redes de replicação não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="dms-5-remediation"></a>

Para adicionar tags a um grupo de sub-redes de replicação do DMS, consulte [Tagging resources in AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) no *AWS Database Migration Service User Guide*.

## [DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada
<a name="dms-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** média

**Tipo de recurso:** `AWS::DMS::ReplicationInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a atualização automática de versões secundárias está habilitada para uma instância de AWS DMS replicação. Esse controle falha se a atualização automática de versões secundárias não estiver habilitada para uma instância de replicação do DMS.

O DMS fornece atualização automática de versões secundárias para cada mecanismo de replicação compatível para que você possa manter sua instância de replicação. up-to-date Versões secundárias podem introduzir novos atributos de software, correções de bugs, patches de segurança e melhorias de performance. Ao habilitar a atualização automática de versões secundárias em instâncias de replicação do DMS, atualizações menores são aplicadas automaticamente durante a janela de manutenção ou imediatamente se a **opção Aplicar alterações imediatamente for escolhida**.

### Correção
<a name="dms-6-remediation"></a>

Para habilitar a atualização automática de versões secundárias em instâncias de replicação do DMS, consulte [Modificar uma instância de replicação](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) no *Guia do usuário do AWS Database Migration Service *.

## [DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado
<a name="dms-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::DMS::ReplicationTask`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o registro em log está habilitado com o nível mínimo de gravidade de `LOGGER_SEVERITY_DEFAULT` para as tarefas de replicação do DMS `TARGET_APPLY` e `TARGET_LOAD`. O controle falhará se o registro em log não estiver habilitado para essas tarefas ou se o nível mínimo de gravidade for menor que `LOGGER_SEVERITY_DEFAULT`.

O DMS usa CloudWatch a Amazon para registrar informações durante o processo de migração. Usando as configurações de tarefa de registro, você pode especificar quais atividades de componente serão registradas e qual quantidade de informações será gravada no log. É necessário especificar o registro das seguintes tarefas:
+ `TARGET_APPLY`: as afirmações de dados e linguagem de definição de dados (DDL) são aplicadas ao banco de dados de destino.
+ `TARGET_LOAD`: os dados são carregados no banco de dados de destino.

O registro em log desempenha um papel fundamental nas tarefas de replicação do DMS, permitindo monitoramento, solução de problemas, auditoria, análise de performance, detecção e recuperação de erros, bem como análises e relatórios históricos. Ele ajuda a garantir a replicação bem-sucedida de dados entre bancos de dados, mantendo a integridade dos dados e a conformidade com os requisitos normativos. Níveis de registro em log diferentes de `DEFAULT` raramente são necessários para esses componentes durante a solução de problemas. Recomendamos manter o nível de registro em log como `DEFAULT` para esses componentes, a menos que seja especificamente solicitado alterá-lo por Suporte. Um nível mínimo de registro em log de `DEFAULT` garante que mensagens informativas, avisos e mensagens de erro sejam gravadas nos logs. Esse controle verifica se o nível de registro em log é pelo menos um dos seguintes para as tarefas de replicação anteriores: `LOGGER_SEVERITY_DEFAULT`, `LOGGER_SEVERITY_DEBUG` ou `LOGGER_SEVERITY_DETAILED_DEBUG`.

### Correção
<a name="dms-7-remediation"></a>

Para ativar o registro em log para tarefas de replicação do DMS do banco de dados de destino, consulte [Visualização e gerenciamento de registros de AWS DMS tarefas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) no Guia do *AWS Database Migration Service usuário*.

## [DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado
<a name="dms-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::DMS::ReplicationTask`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o registro em log está habilitado com o nível mínimo de gravidade de `LOGGER_SEVERITY_DEFAULT` para as tarefas de replicação do DMS `SOURCE_CAPTURE` e `SOURCE_UNLOAD`. O controle falhará se o registro em log não estiver habilitado para essas tarefas ou se o nível mínimo de gravidade for menor que `LOGGER_SEVERITY_DEFAULT`.

O DMS usa CloudWatch a Amazon para registrar informações durante o processo de migração. Usando as configurações de tarefa de registro, você pode especificar quais atividades de componente serão registradas e qual quantidade de informações será gravada no log. É necessário especificar o registro das seguintes tarefas:
+ `SOURCE_CAPTURE`: os dados de replicação contínua ou captura de dados de alteração (CDC) são capturados do banco de dados ou serviço de origem e passados para o componente de serviço `SORTER`.
+ `SOURCE_UNLOAD`: os dados são descarregados do banco de dados ou serviço de origem durante a carga total.

O registro em log desempenha um papel fundamental nas tarefas de replicação do DMS, permitindo monitoramento, solução de problemas, auditoria, análise de performance, detecção e recuperação de erros, bem como análises e relatórios históricos. Ele ajuda a garantir a replicação bem-sucedida de dados entre bancos de dados, mantendo a integridade dos dados e a conformidade com os requisitos normativos. Níveis de registro em log diferentes de `DEFAULT` raramente são necessários para esses componentes durante a solução de problemas. Recomendamos manter o nível de registro em log como `DEFAULT` para esses componentes, a menos que seja especificamente solicitado alterá-lo por Suporte. Um nível mínimo de registro em log de `DEFAULT` garante que mensagens informativas, avisos e mensagens de erro sejam gravadas nos logs. Esse controle verifica se o nível de registro em log é pelo menos um dos seguintes para as tarefas de replicação anteriores: `LOGGER_SEVERITY_DEFAULT`, `LOGGER_SEVERITY_DEBUG` ou `LOGGER_SEVERITY_DETAILED_DEBUG`.

### Correção
<a name="dms-8-remediation"></a>

Para habilitar o registro em log para tarefas de replicação do DMS do banco de dados de origem, consulte [Visualização e gerenciamento de registros de AWS DMS tarefas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) no Guia do *AWS Database Migration Service usuário*.

## [DMS.9] Os endpoints do DMS devem usar SSL
<a name="dms-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::DMS::Endpoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um AWS DMS endpoint usa uma conexão SSL. O controle falhará se o endpoint não usar SSL.

As conexões SSL/TLS fornecem uma camada de segurança criptografando conexões entre as instâncias de replicação DMS e seu banco de dados. O uso de um certificado fornece uma camada extra de segurança, validando se a conexão está sendo feita com o banco de dados esperado. Para isso, ele verifica o certificado de servidor que é instalado automaticamente em todas as instâncias de banco de dados que você provisiona. Ao habilitar a conexão SSL em seus endpoints do DMS, você protege a confidencialidade dos dados durante a migração.

### Correção
<a name="dms-9-remediation"></a>

Para adicionar uma conexão SSL a um endpoint do DMS novo ou existente, consulte [Usar SSL com AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure) no *Guia do usuário do AWS Database Migration Service *.

## [DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
<a name="dms-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2,, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-1 7 NIST.800-53.r5 AC-6, NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1

**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha

**Gravidade:** média

**Tipo de recurso:** `AWS::DMS::Endpoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um AWS DMS endpoint para um banco de dados Amazon Neptune está configurado com autorização do IAM. O controle falhará se o endpoint do DMS não tiver a autorização do IAM habilitada.

AWS Identity and Access Management (IAM) fornece controle de acesso refinado em toda parte. AWS Com o IAM, você pode especificar quem pode acessar quais serviços e recursos e em quais condições. Com as políticas do IAM, você gerencia as permissões da força de trabalho e dos sistemas para garantir permissões com privilégio mínimo. Ao habilitar a autorização do IAM em AWS DMS endpoints para bancos de dados Neptune, você pode conceder privilégios de autorização aos usuários do IAM usando uma função de serviço especificada pelo parâmetro. `ServiceAccessRoleARN`

### Correção
<a name="dms-10-remediation"></a>

Para habilitar a autorização do IAM em endpoints do DMS para bancos de dados Neptune, consulte [Using Amazon Neptune as a target for AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html) no *AWS Database Migration Service User Guide*.

## [DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado
<a name="dms-11"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1

**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha

**Gravidade:** média

**Tipo de recurso:** `AWS::DMS::Endpoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um AWS DMS endpoint para o MongoDB está configurado com um mecanismo de autenticação. O controle falhará se um tipo de autenticação não estiver definido para o endpoint.

AWS Database Migration Service **suporta dois métodos de autenticação para MongoDB — **MONGODB-CR para MongoDB versão 2.x e SCRAM-SHA-1** para MongoDB versão 3.x ou posterior.** Esses métodos de autenticação são usados para autenticar e criptografar senhas do MongoDB se os usuários quiserem usá-las para acessar os bancos de dados. A autenticação em AWS DMS endpoints garante que somente usuários autorizados possam acessar e modificar os dados que estão sendo migrados entre bancos de dados. Sem a autenticação adequada, usuários não autorizados podem obter acesso a dados confidenciais durante o processo de migração. Isso pode resultar em violações de dados, perda de dados ou outros incidentes de segurança.

### Correção
<a name="dms-11-remediation"></a>

Para habilitar um mecanismo de autenticação em endpoints do DMS para MongoDB, consulte [Using MongoDB as a source for AWS DMS](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html) no *AWS Database Migration Service User Guide*.

## [DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado
<a name="dms-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::DMS::Endpoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um AWS DMS endpoint para Redis OSS está configurado com uma conexão TLS. O controle falhará se o endpoint não tiver o TLS habilitado.

O TLS fornece end-to-end segurança quando os dados são enviados entre aplicativos ou bancos de dados pela Internet. Quando você configura a criptografia SSL para o endpoint do DMS, ela permite a comunicação criptografada entre os bancos de dados de origem e de destino durante o processo de migração. Isso ajuda a evitar a espionagem e a interceptação de dados confidenciais por agentes mal-intencionados. Sem a criptografia SSL, dados confidenciais podem ser acessados, resultando em violações de dados, perda de dados ou outros incidentes de segurança.

### Correção
<a name="dms-12-remediation"></a>

Para habilitar uma conexão TLS em endpoints do DMS para o Redis, consulte [Using Redis as a target for AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html) no *AWS Database Migration Service User Guide*.

## [DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade
<a name="dms-13"></a>

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::DMS::ReplicationInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma instância de replicação AWS Database Migration Service (AWS DMS) está configurada para usar várias zonas de disponibilidade (implantação Multi-AZ). O controle falhará se a instância de replicação AWS DMS não estiver configurada para usar uma implantação multi-AZ.

Em uma implantação Multi-AZ, provisiona e mantém AWS DMS automaticamente uma réplica em espera de uma instância de replicação em uma zona de disponibilidade (AZ) diferente. A instância de replicação primária é então replicada em sincronia para a réplica em espera. Se a instância de replicação primária falhar ou parar de responder, a instância em espera retoma qualquer tarefa em execução com o mínimo de interrupção. Para obter mais informações, consulte [Trabalho com uma instância de replicação](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html) no *Guia do usuário do AWS Database Migration Service *.

### Correção
<a name="dms-13-remediation"></a>

Depois de criar uma instância de AWS DMS replicação, você pode alterar a configuração de implantação Multi-AZ para ela. Para obter informações sobre como alterar essa e outras configurações de uma instância de replicação existente, consulte [Modificação de uma instância de replicação](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) no *Guia do usuário do AWS Database Migration Service *.

# Controles CSPM do Security Hub para AWS DataSync
<a name="datasync-controls"></a>

Esses controles CSPM do Security Hub avaliam o AWS DataSync serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [DataSync.1] DataSync as tarefas devem ter o registro ativado
<a name="datasync-1"></a>

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::DataSync::Task`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma AWS DataSync tarefa tem o registro ativado. O controle falhará se a tarefa não tiver o registro em log habilitado.

Os logs de auditoria rastreiam e monitoram as atividades do sistema. Eles fornecem um registro de eventos que pode ajudar você a detectar as violações de segurança, investigar os incidentes e cumprir os regulamentos. Os logs de auditoria também aprimoram a responsabilização e a transparência da organização em geral.

### Correção
<a name="datasync-1-remediation"></a>

Para obter informações sobre como configurar o registro em log para AWS DataSync tarefas, consulte [Monitoramento de transferências de dados com o Amazon CloudWatch Logs](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html) no *Guia do AWS DataSync usuário*.

## [DataSync.2] DataSync as tarefas devem ser marcadas
<a name="datasync-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::DataSync::Task`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se uma AWS DataSync tarefa tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se a tarefa não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a tarefa não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="datasync-2-remediation"></a>

Para obter informações sobre como adicionar tags a uma AWS DataSync tarefa, consulte Como [marcar suas AWS DataSync tarefas](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html) no *Guia do AWS DataSync usuário*.

# Controles de CSPM do Security Hub para Amazon Detective
<a name="detective-controls"></a>

Esse AWS Security Hub CSPM controle avalia o serviço e os recursos do Amazon Detective. O controle pode não estar disponível em todas as Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Detective.1] Os gráficos de comportamento do Detective devem ser marcados
<a name="detective-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Detective::Graph`

**AWS Config regra:** `tagged-detective-graph` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um gráfico de comportamento do Amazon Detective tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o gráfico de comportamento não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gráfico de comportamento não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="detective-1-remediation"></a>

Para adicionar tags a um gráfico de comportamento do Detective, consulte [Adding tags to a behavior graph](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console) no *Amazon Detective Administration Guide*.

# Controles CSPM do Security Hub para Amazon DocumentDB
<a name="documentdb-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon DocumentDB (com compatibilidade com o MongoDB). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
<a name="documentdb-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster do Amazon DocumentDB é criptografado em repouso. Esse controle falha se um cluster do Amazon DocumentDB não estiver criptografado em repouso.

Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Os dados nos clusters do Amazon DocumentDB devem ser criptografados em repouso para uma camada adicional de segurança. O Amazon DocumentDB usa o Advanced Encryption Standard de 256 bits (AES-256) para criptografar seus dados usando chaves de criptografia armazenadas em AWS Key Management Service (AWS KMS).

### Correção
<a name="documentdb-1-remediation"></a>

É possível habilitar a criptografia em repouso ao criar um cluster do Amazon DocumentDB. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte [Habilitar criptografia em repouso para um cluster do Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) no *Guia do desenvolvedor do Amazon DocumentDB*.

## [DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
<a name="documentdb-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-12, PCI DSS v4.0.1/3.2.1

**Categoria:** Recuperação > Resiliência > Backups ativados

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Período mínimo de retenção de backups em dias  |  Inteiro  |  `7` para `35`  |  `7`  | 

Esse controle verifica se um cluster do Amazon DocumentDB tem um período de retenção de backup maior ou igual ao período de tempo especificado. O controle falhará se o período de retenção de backup for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção de backup, o Security Hub CSPM usa um valor padrão de 7 dias.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. Ao automatizar backups para seus clusters do Amazon DocumentDB, será possível restaurar seus sistemas em um determinado momento e minimizar o tempo de inatividade e a perda de dados. No Amazon DocumentDB, os clusters têm um período de retenção de backup padrão de 1 dia. Isso deve ser aumentado para um valor entre 7 e 35 dias para passar por esse controle.

### Correção
<a name="documentdb-2-remediation"></a>

Para alterar o período de retenção de backup para seus clusters do Amazon DocumentDB, consulte [Modificar um cluster do Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) no *Guia do desenvolvedor do Amazon DocumentDB*. Em **Backup**, escolha o período de retenção de backup.

## [DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
<a name="documentdb-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** crítica

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um snapshot de cluster manual do Amazon DocumentDB é público. O controle falhará se o snapshot manual do cluster for público.

Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos, a menos que haja razão para tanto. Se você compartilhar um snapshot manual não criptografado como público, isso o disponibilizará para todas as Contas da AWS. Snapshots públicos podem resultar em exposição não intencional de dados.

**nota**  
Esse controle avalia os snapshots manuais do cluster. Você não pode compartilhar um snapshot de cluster automatizado do Amazon DocumentDB. Como alternativa, crie um snapshot manual copiando o snapshot automatizado e compartilhe essa cópia.

### Correção
<a name="documentdb-3-remediation"></a>

Para remover o acesso público aos snapshots manuais do cluster do Amazon DocumentDB, consulte [Compartilhar um snapshot](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) no *Guia do desenvolvedor do Amazon DocumentDB*. Programaticamente, você pode usar a operação Amazon DocumentDB `modify-db-snapshot-attribute`. Defina `attribute-name` como `restore` e `values-to-remove` como `all`.

## [DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch
<a name="documentdb-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.3.3

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster do Amazon DocumentDB publica logs de auditoria no Amazon Logs. CloudWatch O controle falhará se o cluster não publicar registros de auditoria no CloudWatch Logs.

O Amazon DocumentDB (compativel com MongoDB) permite auditar eventos que foram realizados em seu cluster. Exemplos de eventos registrados incluem tentativas de autenticação bem-sucedidas e com falha, eliminação de uma coleção em um banco de dados ou criação de um índice. Por padrão, a auditoria está desativada no Amazon DocumentDB e exige que você tome medidas para habilitá-la.

### Correção
<a name="documentdb-4-remediation"></a>

Para publicar os logs de auditoria do Amazon DocumentDB no Logs, consulte [Habilitar a CloudWatch auditoria](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) no Guia do desenvolvedor do *Amazon* DocumentDB.

## [DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
<a name="documentdb-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster do Amazon DocumentDB tem a proteção contra exclusão habilitada. O controle falhará se o cluster não tiver a proteção contra exclusão habilitada.

A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por um usuário não autorizado. Um cluster do Amazon DocumentDB não pode ser excluído enquanto a proteção contra exclusão está habilitada. Primeiro, é necessário desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida. A proteção contra exclusão está habilitada por padrão ao criar um cluster no console do Amazon DocumentDB.

### Correção
<a name="documentdb-5-remediation"></a>

Para habilitar a proteção contra exclusão para um cluster do Amazon DocumentDB, consulte [Modificar um cluster do Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) no *Guia do desenvolvedor do Amazon DocumentDB*. Na seção **Modificar cluster**, escolha **Habilitar** para **Proteção contra exclusão**.

## [DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
<a name="documentdb-6"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)

**Tipo de programação:** Periódico

**Parâmetros:** `excludeTlsParameters`: `disabled`, `enabled` (não personalizáveis)

Esse controle verifica se um cluster do Amazon DocumentDB requer TLS para conexões com o cluster. O controle falhará se o grupo de parâmetros do cluster associado ao cluster não estiver sincronizado ou se o parâmetro TLS do cluster estiver definido como `disabled` ou `enabled`.

É possível usar o TLS para criptografar a conexão entre uma aplicação e um cluster do Amazon DocumentDB. O uso do TLS pode ajudar a proteger os dados contra interceptação enquanto estiverem em trânsito entre uma aplicação e um cluster do Amazon DocumentDB. A criptografia em trânsito para um cluster do Amazon DocumentDB é gerenciada por meio do parâmetro TLS no grupo de parâmetros de cluster que está associado ao cluster. Ao habilitar a criptografia em trânsito, as conexões seguras usando o TLS são obrigatórias para se conectar ao cluster. Recomendamos usar parâmetros de TLS a seguir: `tls1.2+`, `tls1.3+` e `fips-140-3`.

### Correção
<a name="documentdb-6-remediation"></a>

Para obter mais informações sobre a alteração das configurações de TLS para um cluster do Amazon DocumentDB, consulte [Criptografia de dados em trânsito](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) no *Guia do desenvolvedor do Amazon DocumentDB*.

# Controles CSPM do Security Hub para DynamoDB
<a name="dynamodb-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon DynamoDB. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [DynamoDB.1] As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda
<a name="dynamodb-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::DynamoDB::Table`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados válidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minProvisionedReadCapacity`  |  Número mínimo de unidades de capacidade de leitura provisionada para o ajuste de escala automático  |  Inteiro  |  `1` para `40000`  |  Nenhum valor padrão  | 
|  `targetReadUtilization`  |  Percentual de utilização pretendida para a capacidade de leitura  |  Inteiro  |  `20` para `90`  |  Nenhum valor padrão  | 
|  `minProvisionedWriteCapacity`  |  Número mínimo de unidades de capacidade de gravação provisionada para o ajuste de escala automático  |  Inteiro  |  `1` para `40000`  |  Nenhum valor padrão  | 
|  `targetWriteUtilization`  |  Percentual de utilização pretendida para a capacidade de gravação  |  Inteiro  |  `20` para `90`  |  Nenhum valor padrão  | 

Esse controle verifica se uma tabela do Amazon DynamoDB pode escalar sua capacidade de leitura e gravação conforme necessário. O controle falhará se a tabela não usar o modo de capacidade sob demanda ou o modo provisionado com ajuste de escala automático configurado. Por padrão, esse controle exige apenas que um desses modos seja configurado, independentemente dos níveis específicos de capacidade de leitura ou gravação. Opcionalmente, é possível fornecer valores de parâmetros personalizados para exigir níveis específicos de capacidade de leitura e gravação ou de utilização desejada.

A escalabilidade da capacidade com a demanda evita exceções de controle de utilização, o que ajuda a manter a disponibilidade de seus aplicativos. As tabelas do DynamoDB que usam o modo de capacidade sob demanda são limitadas apenas pelas cotas de tabelas padrão de throughput do DynamoDB. Para aumentar essas cotas, você pode registrar um ticket de suporte com Suporte. As tabelas do DynamoDB que usam o modo provisionado com ajuste de escala automático ajustam dinamicamente a capacidade de throughput provisionada em resposta aos padrões de tráfego. Para obter mais informações sobre o controle de utilização de solicitações do DynamoDB, consulte [Controle de utilização de solicitações e capacidade de expansão](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling) no *Guia do desenvolvedor do Amazon DynamoDB*.

### Correção
<a name="dynamodb-1-remediation"></a>

Para habilitar o ajuste automático do DynamoDB nas tabelas existentes no modo de capacidade, consulte [Habilitar o ajuste de escala automático do DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable) no *Guia do desenvolvedor do Amazon DynamoDB*.

## [DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time
<a name="dynamodb-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Backups ativados

**Gravidade:** média

**Tipo de recurso:** `AWS::DynamoDB::Table`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a point-in-time recuperação (PITR) está habilitada para uma tabela do Amazon DynamoDB.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. A recuperação do point-in-time DynamoDB automatiza os backups das tabelas do DynamoDB. Ele reduz o tempo de recuperação de operações acidentais de exclusão ou gravação. As tabelas do DynamoDB que têm a PITR habilitada podem ser restauradas para qualquer ponto nos últimos 35 dias.

### Correção
<a name="dynamodb-2-remediation"></a>

Para restaurar uma tabela do DynamoDB em um determinado momento, consulte [Restaurar uma tabela do DynamoDB para um ponto no tempo](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html) no *Guia do desenvolvedor do Amazon DynamoDB*.

## [DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
<a name="dynamodb-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::DAX::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um cluster do Amazon DynamoDB Accelerator (DAX) é criptografado em repouso. O controle falhará se um cluster do DAX não for criptografado em repouso.

Criptografar dados em repouso reduz o risco de os dados armazenados em disco serem acessados por um usuário não autenticado. AWS A criptografia adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessarem os dados. Por exemplo, as permissões da API são necessárias para descriptografar os dados antes que eles possam ser lidos.

### Correção
<a name="dynamodb-3-remediation"></a>

Não é possível ativar ou desativar a criptografia em repouso após a criação de um cluster. É necessário recriar o cluster para habilitar a criptografia em repouso. Para obter instruções detalhadas sobre como criar um cluster DAX com a criptografia em repouso ativada, consulte [Ativar criptografia em repouso usando o Console de gerenciamento da AWS](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console) no *Guia do desenvolvedor do Amazon DynamoDB*.

## [DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
<a name="dynamodb-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Backups ativados

**Gravidade:** média

**Tipo de recurso:** `AWS::DynamoDB::Table`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html)**``

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  O controle produz uma `PASSED` descoberta se o parâmetro estiver definido como `true` e o recurso usar o AWS Backup Vault Lock.  |  Booleano  |  `true` ou `false`  |  Nenhum valor padrão  | 

Esse controle avalia se uma tabela do Amazon DynamoDB no estado `ACTIVE` está coberta por um plano de backup. O controle falhará se a tabela do DynamoDB não estiver coberta por um plano de backup. Se você definir o `backupVaultLockCheck` parâmetro igual a`true`, o controle passará somente se o backup da tabela do DynamoDB for feito em AWS Backup um cofre bloqueado.

AWS Backup é um serviço de backup totalmente gerenciado que ajuda você a centralizar e automatizar o backup de dados em todo lugar. Serviços da AWS Com AWS Backup, você pode criar planos de backup que definam seus requisitos de backup, como com que frequência fazer backup de seus dados e por quanto tempo mantê-los. Incluir tabelas do DynamoDB em seus planos de backup ajuda a proteger seus dados contra perda ou exclusão não intencionais.

### Correção
<a name="dynamodb-4-remediation"></a>

*Para adicionar uma tabela do DynamoDB a AWS Backup um plano de backup, [consulte Atribuição de recursos a um plano de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) no Guia do desenvolvedor.AWS Backup *

## [DynamoB.5] As tabelas do DynamoDB devem ser marcadas
<a name="dynamodb-5"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::DynamoDB::Table`

**AWS Config regra:** `tagged-dynamodb-table` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se uma tabela de rotas do Amazon DynamoDB tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a tabela não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a tabela não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="dynamodb-5-remediation"></a>

Para adicionar tags a uma tabela do DynamoDB, consulte [Marcar recursos no DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html) no *Guia do desenvolvedor do Amazon DynamoDB*.

## [DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada
<a name="dynamodb-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados

**Gravidade:** média

**Tipo de recurso:** `AWS::DynamoDB::Table`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html)**``

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma tabela do Amazon DynamoDB tem a proteção contra exclusão habilitada. O controle falhará se a tabela do DynamoDB não tiver a proteção contra exclusão habilitada.

É possível proteger uma tabela do DynamoDB contra exclusão acidental com a propriedade de proteção contra exclusão. Habilitar essa propriedade para tabelas ajuda a garantir que elas não sejam excluídas acidentalmente durante as operações regulares de gerenciamento de tabelas pelos administradores. Isso ajuda a evitar interrupções nas operações empresariais normais.

### Correção
<a name="dynamodb-6-remediation"></a>

Para habilitar a proteção contra exclusão de uma tabela do DynamoDB, consulte [Uso da proteção contra exclusão](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) no *Guia do desenvolvedor do Amazon DynamoDB*.

## [DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito
<a name="dynamodb-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7, 3, NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 3 NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::DAX::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um cluster do Amazon DynamoDB Accelerator (DAX) é criptografado em trânsito, com o tipo de criptografia de endpoint definido como TLS. O controle falhará se um cluster do DAX não for criptografado em trânsito.

O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. É necessário permitir que somente conexões criptografadas por TLS acessem clusters do DAX. Porém, a criptografia de dados em trânsito pode afetar a performance. É necessário testar a aplicação com a criptografia ativada para entender o perfil de performance e o impacto do TLS.

### Correção
<a name="dynamodb-7-remediation"></a>

Você não pode alterar as configurações de criptografia TLS depois de criar um cluster do DAX. Para criptografar um cluster do DAX existente, crie um novo cluster com a criptografia em trânsito habilitada, desvie o tráfego da aplicação para ele e exclua o cluster antigo. Para obter mais informações, consulte [Usar a proteção contra exclusão](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) no *Guia do desenvolvedor do Amazon DynamoDB*.

# Controles CSPM do Security Hub para Amazon EC2
<a name="ec2-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Elastic Compute Cloud (Amazon EC2). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente
<a name="ec2-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** crítica 

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se os snapshots do Amazon Elastic Block Store não são públicos. O controle falhará se os snapshots do Amazon EBS puderem ser restaurados por qualquer pessoa.

Os snapshots do EBS são usados para fazer backup dos dados nos volumes do EBS no Amazon S3 em determinado momento. É possível usar os snapshots para restaurar estados anteriores de volumes do EBS. Raramente é aceitável compartilhar um snapshot com o público. Normalmente, a decisão de compartilhar um snapshot publicamente era tomada erroneamente ou sem uma compreensão completa das implicações. Essa verificação ajuda a garantir que todo esse compartilhamento tenha sido totalmente planejado e intencional.

### Correção
<a name="ec2-1-remediation"></a>

Para transformar um snapshot público do EBS em privado, consulte [Compartilhar um snapshot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) no *Manual do usuário do Amazon EC2*. Em **Ações, modificar permissões**, escolha **Privado**.

## [EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída
<a name="ec2-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS Foundations Benchmark v1.2.0/4.3, CIS Foundations Benchmark v1.4.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.4,, (21), (11), (16), (21), (4), ( AWS 5) AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** alta 

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o grupo de segurança padrão de uma VPC não permite tráfego de entrada ou de saída. O controle falhará se o grupo de segurança permitir tráfego de entrada ou de saída.

As regras do [grupo de segurança padrão](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html) permitem todo o tráfego de saída e entrada de interfaces de rede (e as instâncias associadas) que são atribuídas ao mesmo grupo de segurança. Recomendamos que você não use o grupo de segurança padrão. Como o grupo de segurança padrão não pode ser excluído, altere a configuração das regras do grupo de segurança padrão para restringir o tráfego de entrada e saída. Isso evita o tráfego não intencional se o grupo de segurança padrão for acidentalmente configurado para recursos como as instâncias do EC2.

### Correção
<a name="ec2-2-remediation"></a>

Para corrigir esse problema, comece criando novos grupos de segurança com privilégios mínimos. Para obter instruções, consulte [Regras do grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups) no *Guia do usuário do Amazon VPC*. Em seguida, atribua os novos grupos de segurança às suas instâncias do EC2. Para obter instruções, consulte [Alterar o grupo de segurança de uma instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group) no *Manual do usuário do Amazon EC2*.

Depois de atribuir os novos grupos de segurança aos seus recursos, remova todas as regras de entrada e saída dos grupos de segurança padrão. Para obter instruções, consulte [Configurar regras de grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) no *Manual do usuário da Amazon VPC*.

## [EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso.
<a name="ec2-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::Volume`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os volumes do EBS em um estado anexado estão criptografados. Para passar nessa verificação, os volumes do EBS devem estar em uso e criptografados. Se o volume do EBS não estiver anexado, ele não estará sujeito a essa verificação.

Para obter uma camada adicional de segurança para os dados confidenciais nos volumes do EBS, habilite a criptografia em repouso do EBS. O Amazon EBS oferece uma solução simples de criptografia para os volumes do EBS que não exigem que você crie, mantenha e proteja sua própria infraestrutura de gerenciamento de chaves. Ele usa chaves do KMS ao criar volumes e snapshots criptografados.

Para saber mais sobre a criptografia do Amazon EBS, consulte [Criptografia do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) no *Manual do usuário do Amazon EC2*.

### Correção
<a name="ec2-3-remediation"></a>

Não há uma maneira direta de criptografar um volume ou snapshot existente não criptografado. É possível criptografar um novo volume ou snapshot somente ao criá-lo.

Se você tiver habilitado a criptografia por padrão, o Amazon EBS criptografará o novo volume ou snapshot resultante usando sua chave padrão para a criptografia do EBS. Mesmo se não tiver habilitado a criptografia por padrão, será possível habilitá-la ao criar um volume ou um snapshot individual. Em ambos os casos, é possível substituir a chave padrão para a criptografia do Amazon EBS e escolher uma chave simétrica gerenciada pelo cliente.

Para obter mais informações, consulte [Criar um volume do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) e [Copiar um snapshot do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html) no *Manual do usuário do Amazon EC2*.

## [EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
<a name="ec2-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Identificar > Inventário

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::Instance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `AllowedDays`  |  Número de dias em que a instância do EC2 pode ficar em um estado interrompido antes de gerar uma descoberta com falha.  |  Inteiro  |  `1` para `365`  |  `30`  | 

Esse controle verifica se uma instância do Amazon EC2 foi interrompida por mais do que o número de dias permitido. O controle falhará se uma instância do EC2 for interrompida por mais tempo do que o período máximo permitido. A menos que você forneça um valor de parâmetro personalizado para o período máximo permitido, o Security Hub CSPM usa um valor padrão de 30 dias.

Quando uma instância do EC2 não é executada por um período significativo de tempo, isso cria um risco de segurança porque a instância não está sendo mantida ativamente (analisada, corrigida, atualizada). Se for lançado posteriormente, a falta de manutenção adequada pode resultar em problemas inesperados em seu AWS ambiente. Para manter com segurança uma instância do EC2 ao longo do tempo em um estado inativo, inicie-a periodicamente para manutenção e depois interrompa-a após a manutenção. Idealmente, esse deve ser um processo automatizado.

### Correção
<a name="ec2-4-remediation"></a>

Para encerrar uma instância inativa do EC2, consulte [Como encerrar uma instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console) no *Manual do usuário do Amazon EC2*.

## [EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs
<a name="ec2-6"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.7, CIS Foundations Benchmark v1.2.0/2.9, CIS Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SI-7 (8), AWS NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.1.20, Nist.800-171.r2 3.13.1, PCI AWS DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, PCI DSS v3.2.1/10.3.6

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::VPC`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros:**
+ `trafficType`: `REJECT` (não personalizável)

Esse controle verifica se os registros de fluxo da Amazon VPC foram encontrados e habilitados para. VPCs O tipo de tráfego está definido como `Reject`. O controle falhará se os registros de fluxo de VPC não estiverem habilitados VPCs em sua conta.

**nota**  
Esse controle não verifica se os logs de fluxo da Amazon VPC estão habilitados por meio do Amazon Security Lake para a Conta da AWS.

Com o recurso VPC Flow Logs, você pode capturar informações sobre tráfego IP de entrada e de saída nas interfaces de rede da VPC. Depois de criar um registro de fluxo, você pode visualizar e recuperar seus dados em CloudWatch Registros. Para reduzir custos, você também pode enviar seus logs de fluxo para o Amazon S3. 

O Security Hub CSPM recomenda que você habilite o registro de fluxo para rejeições de pacotes para. VPCs Os registros de fluxo fornecem visibilidade sobre o tráfego de rede que percorre a VPC e podem detectar tráfego ou informações anormais durante fluxos de trabalho de segurança.

Por padrão, o registro inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. Para obter mais informações e descrições dos campos de log, consulte [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) no *Guia do usuário do Amazon VPC*.

### Correção
<a name="ec2-6-remediation"></a>

Para criar uma VPC, consulte [Criar um fluxo de log](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log) no *Guia do usuário do Amazon VPC*. **Depois de abrir o console da Amazon VPC, escolha Seu. VPCs** Em **Filtrar**, escolha **Rejeitar** ou **Todos**.

## [EC2.7] A criptografia padrão do EBS deve estar ativada
<a name="ec2-7"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.1.1, CIS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.2.1, (1), 3, 8, 8 (1), (10), NIST.800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6) AWS NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a criptografia em nível de conta está habilitada por padrão para volumes do Amazon Elastic Block Store (Amazon EBS). O controle falhará se a criptografia no nível da conta não estiver habilitada para volumes do EBS. 

Quando a criptografia está habilitada para sua conta, os volumes e as cópias de snapshot do Amazon EBS são criptografados em repouso. Isso adiciona uma camada adicional de proteção aos dados. Para obter mais informações, consulte [Habilitar a criptografia por padrão](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) no *Manual do usuário do Amazon EC2*.

### Correção
<a name="ec2-7-remediation"></a>

Para configurar a criptografia padrão em volumes do Amazon EBS, consulte [Criptografia por padrão](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) no *Manual do usuário do Amazon EC2*.

## [EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2
<a name="ec2-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.7, CIS Foundations Benchmark v3.0.0/5.6,, ( AWS 15), (7), PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Categoria:** Proteger > Segurança de rede

**Gravidade:** alta

**Tipo de recurso:** `AWS::EC2::Instance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a versão de metadados da sua instância EC2 está configurada com o Instance Metadata Service Version 2 (). IMDSv2 O controle passa se `HttpTokens` estiver definido como necessário para IMDSv2. O controle falha se `HttpTokens` estiver definido como `optional`.

Você usa os metadados da instância para configurar ou gerenciar a instância em execução. O IMDS fornece acesso a credenciais temporárias e frequentemente alternadas. Essas credenciais eliminam a necessidade de codificar ou distribuir credenciais confidenciais às instâncias manual ou programaticamente. O IMDS é conectado localmente a cada instância do EC2. Ele é executado em um endereço IP especial de “link local” de 169.254.169.254. Esse endereço IP só pode ser acessado pelo software executado na instância.

A versão 2 do IMDS adiciona novas proteções para os seguintes tipos de vulnerabilidades. Essas vulnerabilidades podem ser usadas para tentar acessar o IMDS.
+ Firewalls de aplicativos de sites abertos
+ Proxies reversos abertos
+ Vulnerabilidades de falsificação de solicitações do lado do servidor (SSRF)
+ Firewalls Open Layer 3 e conversão de endereços de rede (NAT)

O Security Hub CSPM recomenda que você configure suas instâncias do EC2 com. IMDSv2

### Correção
<a name="ec2-8-remediation"></a>

Para configurar instâncias do EC2 com IMDSv2, consulte [Caminho recomendado para a solicitação IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2) no Guia do usuário do *Amazon EC2*.

## [EC2.9] As instâncias do Amazon EC2 não devem ter um endereço público IPv4
<a name="ec2-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** alta

**Tipo de recurso:** `AWS::EC2::Instance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se as instâncias do EC2 têm um endereço IP público. Esse controle falha se o campo `publicIp` estiver presente no item de configuração da instância do EC2. Esse controle se aplica somente aos IPv4 endereços. 

Um endereço IPv4 público é um endereço IP que é acessível pela Internet. Se você iniciar suas instâncias com um endereço IP público, sua instância do EC2 poderá ser acessada pela Internet. Um endereço IPv4 privado é um endereço IP que não é acessível pela Internet. É possível usar endereços IPv4 privados para comunicação entre instâncias EC2 na mesma VPC ou em sua rede privada conectada.

IPv6 os endereços são globalmente exclusivos e, portanto, podem ser acessados pela Internet. No entanto, por padrão, todas as sub-redes têm o atributo de IPv6 endereçamento definido como false. Para obter mais informações sobre isso IPv6, consulte o [endereçamento IP em sua VPC no Guia](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) do usuário da Amazon *VPC*.

Se você tiver um caso de uso legítimo para manter instâncias do EC2 com endereços IP públicos, poderá suprimir as descobertas desse controle. Para obter mais informações sobre as opções de arquitetura front-end, consulte o [blog de AWS arquitetura](https://aws.amazon.com/blogs/architecture/) ou a série de AWS vídeos da [série This Is My Architecture](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile).

### Correção
<a name="ec2-9-remediation"></a>

Use uma VPC não padrão para que um endereço IP público não seja atribuído à instância por padrão.

Quando você inicia uma instância EC2 em uma VPC padrão, atribuímos a ela um endereço IP público. Quando você executa uma instância do EC2 em uma VPC não padrão, a configuração da sub-rede determina se ela recebe um endereço IP público. A sub-rede tem um atributo para determinar se as novas instâncias do EC2 na sub-rede recebem um endereço IP público do pool de endereços públicos IPv4 .

Você não pode desassociar um endereço IP público atribuído automaticamente da instância do EC2. Para obter mais informações, consulte [ IPv4 Endereços públicos e nomes de host DNS externos no Guia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses) do usuário do *Amazon EC2*.

## [EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2
<a name="ec2-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, (21) NIST.800-53.r5 AC-4,,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1

**Categoria:** Proteger > Configuração de rede segura > Acesso privado a API

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::VPC`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros:** 
+ `serviceName`: `ec2` (não personalizável)

Esse controle verifica se um endpoint de serviço para o Amazon EC2 foi criado para cada VPC. O controle falhará se uma VPC não tiver um endpoint da VPC criado para o serviço Amazon EC2. 

Esse controle avalia os recursos em uma única conta. Ela não pode descrever recursos que estão fora da conta. Como AWS Config o CSPM do Security Hub não realiza verificações entre contas, você verá VPCs que `FAILED` as descobertas são compartilhadas entre contas. O Security Hub CSPM recomenda que você suprima essas descobertas. `FAILED`

Para melhorar a postura de segurança da sua VPC, configure o Amazon EC2 para usar um VPC endpoint de interface. Os endpoints de interface são alimentados por AWS PrivateLink, uma tecnologia que permite que você acesse as operações de API do Amazon EC2 de forma privada. Ele restringe todo o tráfego de rede entre sua VPC e o Amazon EC2 para a rede da Amazon. Como os endpoints são suportados somente na mesma região, não é possível criar um endpoint entre uma VPC e um serviço em uma região diferente. Isso evita chamadas não intencionais da API do Amazon EC2 para outras regiões. 

Para saber mais sobre a criação de endpoints da VPC para o Amazon EC2, consulte [Endpoints da VPC de interface do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html) no *Manual do usuário do Amazon EC2*.

### Correção
<a name="ec2-10-remediation"></a>

Para criar um endpoint de interface para o Amazon EC2 a partir do console Amazon VPC, consulte [Criar um endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) no *Guia do AWS PrivateLink *. Em **Nome do serviço**, escolha **com.amazonaws. *region*.ec2**.

É possível criar e associar uma política de endpoint ao endpoint de sua VPC para controlar o acesso à API do Amazon EC2. Para obter instruções sobre como criar uma política de endpoint da VPC, consulte [Criar uma política de endpoint](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy) no *Manual do usuário do Amazon EC2*.

## [EC2.12] O Amazon EC2 não utilizado deve ser removido EIPs
<a name="ec2-12"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CM-8(1)

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::EIP`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os endereços IP elásticos (EIP) alocados a uma VPC estão conectados às instâncias do EC2 ou às interfaces de rede elástica em uso (). ENIs

Uma falha na descoberta indica que você pode ter EIPs EC2 não utilizado.

Isso ajudará você a manter um inventário preciso de ativos EIPs em seu ambiente de dados de titulares de cartões (CDE).

### Correção
<a name="ec2-12-remediation"></a>

Para liberar um IP elástico não utilizado, consulte [Liberar um endereço IP elástico](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing) no *Manual do usuário do Amazon EC2*.

## [EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22
<a name="ec2-13"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/4.1,, (21), (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.13.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.1 2.2.2, PCI DSS v4.0.1/1.3.1 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)

**Tipo de agendamento:** acionado por alterações e periódico

**Parâmetros**: nenhum

Esse controle verifica se um grupo de segurança do Amazon EC2 permite a entrada de 0.0.0/0 ou ::/0 na porta 22. O controle falhará se o grupo de segurança permitir a entrada de 0.0.0/0 ou ::/0 na porta 22.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . Recomendamos que nenhum grupo de segurança permita o acesso de entrada irrestrito à porta 22. A remoção de conectividade sem restrições aos serviços de console remotos, como SSH, reduz a exposição do servidor ao risco.

### Correção
<a name="ec2-13-remediation"></a>

Para proibir a entrada na porta 22, remova a regra que permite esse acesso para cada grupo de segurança associado a uma VPC. Para obter instruções, consulte [Atualizar regras de grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) no *Manual do usuário do Amazon EC2*. Depois de selecionar um grupo de segurança no console do Amazon EC2, escolha **Ações, editar regras de entrada**. Remova a regra que permite o acesso à porta 22.

## [EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389
<a name="ec2-14"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(a regra criada é`restricted-rdp`)

**Tipo de agendamento:** acionado por alterações e periódico

**Parâmetros**: nenhum

Esse controle verifica se um grupo de segurança do Amazon EC2 permite a entrada de 0.0.0/0 ou ::/0 na porta 3389. O controle falhará se o grupo de segurança permitir a entrada de 0.0.0/0 ou ::/0 na porta 3389.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . Recomendamos que nenhum grupo de segurança de entrada para permitir acesso irrestrito a porta 3389. A remoção de conectividade sem restrições aos serviços de console remotos, como RDP, reduz a exposição do servidor ao risco.

### Correção
<a name="ec2-14-remediation"></a>

Para proibir a entrada na porta 3389, remova a regra que permite esse acesso para cada grupo de segurança associado a uma VPC. Para obter instruções, consulte [Regras do grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules) no *Guia do usuário do Amazon VPC*. Depois de selecionar um grupo de segurança no console do Amazon VPC, escolha **Ações, editar regras de entrada**. Remova a regra que permite o acesso à porta 3389.

## As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos
<a name="ec2-15"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoria:** Proteger > Segurança de rede

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::Subnet`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma sub-rede da Amazon Virtual Private Cloud (Amazon VPC) está configurada para atribuir automaticamente endereços IP públicos. O controle falhará se a sub-rede estiver configurada para atribuir automaticamente IPv6 endereços públicos IPv4 ou públicos.

As sub-redes têm atributos que determinam se as interfaces de rede recebem automaticamente endereços IPv4 e IPv6 públicos. Para IPv4, esse atributo é definido como `TRUE` para sub-redes padrão e `FALSE` para sub-redes não padrão (com exceção das sub-redes não padrão criadas por meio do assistente de instância de inicialização do EC2, onde está definido como). `TRUE` Para IPv6, esse atributo é definido como `FALSE` para todas as sub-redes por padrão. Quando esses atributos são ativados, as instâncias executadas na sub-rede recebem automaticamente os endereços IP correspondentes (IPv4 ou IPv6) em sua interface de rede primária.

### Correção
<a name="ec2-15-remediation"></a>

Para configurar uma sub-rede para não atribuir endereços IP públicos, consulte [Modificação dos atributos de endereçamento IP da sua sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) no *Guia do usuário da Amazon VPC*.

## [EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
<a name="ec2-16"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-8(1), NIST.800-171.r2 3,4.7, PCI DSS v4.0.1/1.2.7

**Categoria:** Proteger > Segurança de rede

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::NetworkAcl`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se há alguma lista de controle de acesso à rede (rede ACLs) não utilizada na sua nuvem privada virtual (VPC). O controle falhará se a ACL da rede não estiver associada a uma sub-rede. O controle não gerará descobertas para uma ACL de rede padrão não utilizada.

O controle verifica a configuração do recurso `AWS::EC2::NetworkAcl` e determina as relações da ACL de rede.

Se o único relacionamento for a VPC da ACL de rede, o controle falhará.

Se outros relacionamentos estiverem listados, o controle será aprovado.

### Correção
<a name="ec2-16-remediation"></a>

Para obter instruções sobre como excluir uma ACL de rede não utilizada, consulte [Excluir uma ACL de rede](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL) no *Guia do usuário do Amazon VPC*. Não é possível excluir a ACL de rede padrão ou uma ACL associada a sub-redes.

## [EC2.17] As instâncias do Amazon EC2 não devem usar várias ENIs
<a name="ec2-17"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21)

**Categoria:** Proteger > Segurança de rede

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::Instance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma instância do EC2 usa várias interfaces de rede elásticas (ENI) ou Elastic Fabric Adapters (EFAs). Esse controle passa se um único adaptador de rede for usado. O controle inclui uma lista de parâmetros opcional para identificar os ENIs permitidos. Esse controle também falhará se uma instância do EC2 que pertence a um cluster do Amazon EKS usar mais de uma ENI. Se suas instâncias do EC2 precisarem ter várias ENIs como parte de um cluster Amazon EKS, você poderá suprimir essas descobertas de controle.

Várias ENIs podem causar instâncias com hospedagem dupla, ou seja, instâncias que têm várias sub-redes. Isso pode aumentar a complexidade da segurança da rede e introduzir caminhos e acessos de rede não intencionais.

### Correção
<a name="ec2-17-remediation"></a>

Para desanexar uma interface de rede de uma instância do EC2, consulte [Desanexar uma interface de rede de uma instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni) no *Manual do usuário do Amazon EC2*.

## [EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas
<a name="ec2-18"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 NIST.800-53.r5 SC-7 3.1.3, NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.13.1

**Categoria:** Proteger > Configuração de rede segura > Configuração do grupo de segurança

**Gravidade:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `authorizedTcpPorts`  |  Lista de portas TCP autorizadas  |  IntegerList (mínimo de 1 item e máximo de 32 itens)  |  `1` para `65535`  |  `[80,443]`  | 
|  `authorizedUdpPorts`  |  Lista de portas UDP autorizadas  |  IntegerList (mínimo de 1 item e máximo de 32 itens)  |  `1` para `65535`  |  Nenhum valor padrão  | 

Esse controle verifica se um grupo de segurança do Amazon EC2 permite tráfego de entrada irrestrito em portas não autorizadas. O status do controle é determinado da forma a seguir:
+ Se você usar o valor padrão para `authorizedTcpPorts`, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito em qualquer porta que não seja as portas 80 e 443.
+ Se você fornecer valores personalizados para `authorizedTcpPorts` ou `authorizedUdpPorts`, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito em qualquer porta não listada.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída para AWS. As regras do grupo de segurança devem seguir o princípio do acesso de privilégio mínimo. O acesso irrestrito (endereço IP com sufixo /0) aumenta a oportunidade de atividades maliciosas, como invasões, denial-of-service ataques e perda de dados. A menos que uma porta seja especificamente permitida, a porta deve negar acesso irrestrito.

### Correção
<a name="ec2-18-remediation"></a>

Para modificar um grupo de segurança, consulte [Trabalho com grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html) no *Guia do usuário da Amazon VPC*.

## [EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco
<a name="ec2-19"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.13.1

**Categoria:** Proteger > Acesso restrito à rede

**Gravidade:** crítica

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(a regra criada é`vpc-sg-restricted-common-ports`)

**Tipo de agendamento:** acionado por alterações e periódico

**Parâmetros:** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` (não personalizável)

Esse controle verifica se o tráfego de entrada irrestrito para um grupo de segurança do Amazon EC2 está acessível às portas especificadas que são consideradas de alto risco. Esse controle falhará se alguma das regras em um grupo de segurança permitir tráfego de entrada de '0.0.0.0/0' ou '::/0' nessas portas.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . O acesso irrestrito (0.0.0.0/0) aumenta as oportunidades de atividades maliciosas, como invasões, denial-of-service ataques e perda de dados. Nenhum grupo de segurança deve permitir acesso irrestrito de entrada às seguintes portas:
+ 20, 21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ 10 (POP3)
+ 135 (RPM)
+ 143 (IMAPA)
+ 445 (CIFS)
+ 1433, 1434 (MSSQL)
+ 3000 (estruturas de desenvolvimento web Go, Node.js e Ruby)
+ 3306 (MySQL)
+ 3389 (RDP)
+ 4333 (ahsp)
+ 5000 (estruturas de desenvolvimento web em Python)
+ 5432 (PostgreSQL)
+ 500 (fcp-addr-srvr1) 
+ 5601 (Painéis) OpenSearch 
+ 8080 (proxy)
+ 8088 (porta HTTP antiga)
+ 8888 (porta HTTP alternativa)
+ 9200 ou 9300 () OpenSearch

### Correção
<a name="ec2-19-remediation"></a>

Para excluir regras de um grupo de segurança, consulte [Excluir regras de grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule) no *Manual do usuário do Amazon EC2*.

## [EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos
<a name="ec2-20"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5), NIST.800-171.r2 3.1.13, NIST.800-171.r2 3.1.20

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média 

**Tipo de recurso:**`AWS::EC2::VPNConnection`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Um túnel VPN é um link criptografado em que os dados podem passar da rede do cliente para ou de AWS dentro de uma conexão AWS Site-to-Site VPN. Cada conexão VPN inclui dois túneis VPN que podem ser usados simultaneamente para alta disponibilidade. Garantir que os dois túneis VPN estejam prontos para uma conexão VPN é importante para confirmar uma conexão segura e altamente disponível entre uma AWS VPC e sua rede remota.

Esse controle verifica se os dois túneis VPN fornecidos pela AWS Site-to-Site VPN estão no status UP. O controle falhará se um ou ambos os túneis estiverem no status DOWN.

### Correção
<a name="ec2-20-remediation"></a>

Para modificar as opções de túnel VPN, consulte [Modificação das opções de túnel Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html) no Guia do usuário da AWS Site-to-Site VPN.

## [EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389
<a name="ec2-21"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.2, CIS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, (21), (1), NIST.800-53.r5 AC-4 (21), (5), NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1, AWS NIST.800-53.r5 CA-9 PCI D2 SS v4.0.1/1.3.1 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média 

**Tipo de recurso:**`AWS::EC2::NetworkAcl`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma lista de controle de acesso à rede (Network ACL) permite acesso irrestrito às portas TCP padrão para SSH/RDP tráfego de entrada. O controle falhará se a entrada de ingresso da ACL de rede permitir um bloco CIDR de origem de '0.0.0.0/0' ou '::/0' para as portas TCP 22 ou 3389. O controle não gera descobertas para uma ACL de rede padrão.

O acesso às portas de administração remota do servidor, como a porta 22 (SSH) e a porta 3389 (RDP), não deve ser acessível ao público, pois isso pode permitir acesso não intencional aos recursos em sua VPC.

### Correção
<a name="ec2-21-remediation"></a>

Para editar as regras de tráfego da ACL de rede, consulte [Trabalhar com rede ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) no Guia do *usuário da Amazon VPC*.

## [PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos
<a name="ec2-22"></a>

**Categoria:** Identificar > Inventário

**Gravidade:** média 

**Tipo de recurso:** `AWS::EC2::NetworkInterface`,`AWS::EC2::SecurityGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se os grupos de segurança estão anexados a instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou a uma interface de rede elástica. O controle falhará se o grupo de segurança não estiver associado a uma instância do Amazon EC2 ou a uma interface de rede elástica.

**Importante**  
Em 20 de setembro de 2023, o Security Hub CSPM removeu esse controle dos padrões AWS Foundational Security Best Practices e NIST SP 800-53 Revision 5. Esse controle continua fazendo parte do padrão AWS Control Tower gerenciado por serviços. Esse controle produz uma descoberta aprovada se os grupos de segurança estiverem conectados a instâncias do EC2 ou a uma interface de rede elástica. No entanto, para determinados casos de uso, grupos de segurança independentes não representam um risco de segurança. É possível usar outros controles do EC2, como EC2.2, EC2.13, EC2.14, EC2.18 e EC2.19, para monitorar seus grupos de segurança.

### Correção
<a name="ec2-22-remediation"></a>

Para criar, atribuir e excluir grupos de segurança, consulte [Grupos de segurança para suas instâncias do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html) no *Guia do usuário do Amazon EC2*.

## [EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC
<a name="ec2-23"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** alta 

**Tipo de recurso:**`AWS::EC2::TransitGateway`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os gateways de trânsito do EC2 estão aceitando automaticamente anexos de VPC compartilhados. Esse controle falha em um gateway de trânsito que aceita automaticamente solicitações compartilhadas de anexos de VPC.

A ativação de `AutoAcceptSharedAttachments` configura um gateway de trânsito para aceitar automaticamente qualquer solicitação de anexo de VPC entre contas sem verificar a solicitação ou a conta da qual o anexo é originário. Para seguir as melhores práticas de autorização e autenticação, recomendamos desativar esse atributo para garantir que somente solicitações autorizadas de anexos de VPC sejam aceitas.

### Correção
<a name="ec2-23-remediation"></a>

Para modificar um gateway de trânsito, consulte [Modificar um gateway de trânsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying) no Guia do desenvolvedor do Amazon VPC.

## Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
<a name="ec2-24"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** média 

**Tipo de recurso:**`AWS::EC2::Instance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o tipo de virtualização de uma instância do EC2 é paravirtual. O controle falhará se o `virtualizationType` da instância do EC2 estiver definida como `paravirtual`.

O Linux Amazon Machine Images (AMIs) usa um dos dois tipos de virtualização: paravirtual (PV) ou máquina virtual de hardware (HVM). As principais diferenças entre PV e HVM AMIs são a maneira pela qual eles inicializam e se eles podem tirar proveito de extensões de hardware especiais (CPU, rede e armazenamento) para obter melhor desempenho.

Historicamente, os hóspedes fotovoltaicos tinham melhor desempenho do que os convidados HVM em muitos casos, mas devido aos aprimoramentos na virtualização de HVM e à disponibilidade de drivers fotovoltaicos para HVM, isso não é mais verdade. AMIs Para obter mais informações, consulte [Tipos de virtualização de AMI do Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html) no Manual do usuário do Amazon EC2.

### Correção
<a name="ec2-24-remediation"></a>

Para atualizar uma instância do EC2 para um novo tipo de instância, consulte [Alterar o tipo de instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html) no *Manual do usuário do Amazon EC2*.

## [EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede
<a name="ec2-25"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** alta 

**Tipo de recurso:**`AWS::EC2::LaunchTemplate`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os modelos de execução do Amazon EC2 estão configurados para atribuir endereços IP públicos às interfaces de rede após o lançamento. O controle falhará se um modelo de execução do EC2 estiver configurado para atribuir um endereço IP público às interfaces de rede ou se houver pelo menos uma interface de rede que tenha um endereço IP público.

Um endereço IP público é aquele que é acessível pela Internet. Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional às suas workloads.

### Correção
<a name="ec2-25-remediation"></a>

Para atualizar um modelo de execução do EC2, consulte [Alterar as configurações de interface de rede padrão](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface) no *Guia do usuário do Amazon EC2 Auto Scaling*.

## [EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
<a name="ec2-28"></a>

**Categoria:** Recuperação > Resiliência > Backups ativados

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::Volume`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html)**``

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  O controle produzirá uma descoberta `PASSED` se o parâmetro estiver definido como `true` e o recurso usar o Vault Lock do AWS Backup .  |  Booleano  |  `true` ou `false`  |  Nenhum valor padrão  | 

Esse controle avalia se um volume do Amazon EBS no estado `in-use` está coberto por um plano de backup. O controle falhará se um volume do EBS não estiver coberto por um plano de backup. Se você definir o `backupVaultLockCheck` parâmetro igual a`true`, o controle passará somente se o volume do EBS for copiado em um cofre AWS Backup bloqueado.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. Incluir os volumes do Amazon EBS em seus planos de backup ajuda a proteger seus dados contra perda ou exclusão não intencionais.

### Correção
<a name="ec2-28-remediation"></a>

Para adicionar um volume do Amazon EBS a um plano de AWS Backup backup, consulte [Atribuição de recursos a um plano de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) no Guia do *AWS Backup desenvolvedor*.

## [EC2.33] Os anexos do gateway de trânsito do EC2 devem ser marcados
<a name="ec2-33"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::TransitGatewayAttachment`

**AWS Config regra:** `tagged-ec2-transitgatewayattachment` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um anexo do gateway de trânsito do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o anexo do gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o anexo do gateway de trânsito não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-33-remediation"></a>

Para adicionar tags a um anexo do gateway de trânsito do EC2, consulte [Marcar com tag seus recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no Manual do usuário do *Amazon EC2*.

## [EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas
<a name="ec2-34"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::TransitGatewayRouteTable`

**AWS Config regra:** `tagged-ec2-transitgatewayroutetable` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma tabela de rotas do gateway de trânsito do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a tabela de rotas do gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a tabela de rotas do gateway de trânsito não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-34-remediation"></a>

Para adicionar tags a uma tabela de rotas do gateway de trânsito do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.35] As interfaces de rede do EC2 devem ser marcadas
<a name="ec2-35"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::NetworkInterface`

**AWS Config regra:** `tagged-ec2-networkinterface` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma interface de rede do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a interface de rede não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a interface de rede não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-35-remediation"></a>

Para adicionar tags a uma interface de rede do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.36] Os gateways dos clientes do EC2 devem ser marcados
<a name="ec2-36"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::CustomerGateway`

**AWS Config regra:** `tagged-ec2-customergateway` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um gateway do cliente do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o gateway do cliente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway do cliente não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-36-remediation"></a>

Para adicionar tags a um gateway do cliente do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.37] Os endereços IP elásticos do EC2 devem ser marcados
<a name="ec2-37"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::EIP`

**AWS Config regra:** `tagged-ec2-eip` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um endereço IP elástico do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o endereço IP elástico não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o endereço IP elástico não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-37-remediation"></a>

Para adicionar tags a um endereço IP elástico do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.38] As instâncias do EC2 devem ser marcadas
<a name="ec2-38"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::Instance`

**AWS Config regra:** `tagged-ec2-instance` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma instância do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a instância do cliente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a instância não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-38-remediation"></a>

Para adicionar tags a uma instância do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.39] Os gateways da Internet do EC2 devem ser marcados
<a name="ec2-39"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::InternetGateway`

**AWS Config regra:** `tagged-ec2-internetgateway` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um gateway da Internet do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o gateway da Internet não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway da Internet não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-39-remediation"></a>

Para adicionar tags a um gateway da Internet do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.40] Os gateways de NAT do EC2 devem ser marcados
<a name="ec2-40"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::NatGateway`

**AWS Config regra:** `tagged-ec2-natgateway` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um gateway de conversão de endereços de rede (NAT) do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o gateway de NAT não tiver nenhuma chave de tag ou se ele não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway de NAT não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-40-remediation"></a>

Para adicionar tags a um gateway de NAT do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.41] A rede ACLs EC2 deve ser marcada
<a name="ec2-41"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::NetworkAcl`

**AWS Config regra:** `tagged-ec2-networkacl` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma lista de controle de acesso à rede (ACL da rede) do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a ACL de rede não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a ACL de rede não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-41-remediation"></a>

Para adicionar tags a uma ACL de rede do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.42] As tabelas de rotas do EC2 devem ser marcadas
<a name="ec2-42"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::RouteTable`

**AWS Config regra:** `tagged-ec2-routetable` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma tabela de rotas do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a tabela de rotas não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a tabela de rotas não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-42-remediation"></a>

Para adicionar tags a uma tabela de rotas do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.43] Os grupos de segurança do EC2 devem ser marcados
<a name="ec2-43"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**AWS Config regra:** `tagged-ec2-securitygroup` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um grupo de segurança do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o grupo de segurança não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de segurança não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-43-remediation"></a>

Para adicionar tags a um grupo de segurança do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.44] As sub-redes do EC2 devem ser marcadas
<a name="ec2-44"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::Subnet`

**AWS Config regra:** `tagged-ec2-subnet` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma sub-rede do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a ACL de rede não tiver nenhuma chave de tag ou se a sub-rede não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a sub-rede não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-44-remediation"></a>

Para adicionar tags a uma sub-rede do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.45] Os volumes do EC2 devem ser marcados
<a name="ec2-45"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::Volume`

**AWS Config regra:** `tagged-ec2-volume` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um volume do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a ACL de rede não tiver nenhuma chave de tag ou se o volume não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o volume não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-45-remediation"></a>

Para adicionar tags a um volume do EC2 [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.46] Amazon VPCs deve ser etiquetada
<a name="ec2-46"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::VPC`

**AWS Config regra:** `tagged-ec2-vpc` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma Amazon Virtual Private Cloud (Amazon VPC) tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a VPC de rede não tiver nenhuma chave de tag ou se o volume não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a Amazon VPC não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-46-remediation"></a>

Para adicionar tags a uma VPC, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.47] Os serviços de endpoint da Amazon VPC devem ser marcados
<a name="ec2-47"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::VPCEndpointService`

**AWS Config regra:** `tagged-ec2-vpcendpointservice` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um serviço de endpoint da Amazon VPV tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o serviço de endpoint não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o serviço de endpoint não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-47-remediation"></a>

*Para adicionar tags a um serviço de endpoint da Amazon VPC, consulte [Gerenciar tags](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags) na seção [Configurar um serviço de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html) no Guia do AWS PrivateLink *.

## [EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados
<a name="ec2-48"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::FlowLog`

**AWS Config regra:** `tagged-ec2-flowlog` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um log de fluxo da Amazon VPC tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o log de fluxo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o log de fluxo não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-48-remediation"></a>

Para adicionar tags a um log de fluxo da Amazon VPC, consulte [Marcar um log de fluxo](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs) no *Guia do usuário da Amazon VPC*.

## [EC2.49] As conexões de emparelhamento da Amazon VPC devem ser marcadas
<a name="ec2-49"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::VPCPeeringConnection`

**AWS Config regra:** `tagged-ec2-vpcpeeringconnection` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma conexão de emparelhamento da Amazon VPC tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a conexão de emparelhamento não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a conexão de emparelhamento não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-49-remediation"></a>

Para adicionar tags a uma conexão de emparelhamento da Amazon VPC, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Manual do usuário do Amazon EC2*.

## [EC2.50] Os gateways de VPN do EC2 devem ser marcados
<a name="ec2-50"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::VPNGateway`

**AWS Config regra:** `tagged-ec2-vpngateway` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um gateway da VPN do Amazon EC2 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o gateway da VPN não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway da VPN não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-50-remediation"></a>

Para adicionar tags a um gateway da VPN do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Manual do usuário do Amazon EC2*.

## [EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado
<a name="ec2-51"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), (26), NIST.800-53.r5 AC-2 (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.12, ist.800-171.r2 3.1.20, PCI DSS v4.0.1/10.2.1

**Categoria:** Identificar > Registro em log

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::ClientVpnEndpoint`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html)**``

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um AWS Client VPN endpoint tem o registro de conexão do cliente ativado. O controle falhará se o endpoint não tiver o registro em log de conexão do cliente habilitado.

Os endpoints do Client VPN permitem que clientes remotos se conectem com segurança aos recursos em uma nuvem privada virtual (VPC) na AWS. Os registros em log de conexão permitem que você acompanhe a atividade do usuário no endpoint da VPN e forneça visibilidade. Ao habilitar o registro em log de conexão, é possível especificar o nome de um stream de logs no grupo de logs. Se você não especificar um fluxo de logs, o serviço do Client VPN criará um para você.

### Correção
<a name="ec2-51-remediation"></a>

Para habilitar o registro em log de conexão, consulte [Habilitar o registro em log de conexão para um endpoint do Client VPN existente](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing) no *Manual do administrador do AWS Client VPN *.

## [EC2.52] Os gateways de trânsito do EC2 devem ser marcados
<a name="ec2-52"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::TransitGateway`

**AWS Config regra:** `tagged-ec2-transitgateway` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um anexo do gateway de trânsito do Amazon EC2tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o gateway de NAT não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway de trânsito não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="ec2-52-remediation"></a>

Para adicionar tags a um gateway de trânsito do EC2, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) no *Manual do usuário do Amazon EC2*.

## [EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto
<a name="ec2-53"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.3, CIS Foundations Benchmark v3.0.0/5.2, PCI AWS DSS v4.0.1/1.3.1

**Categoria:** Proteger > Configuração de rede segura > Configuração do grupo de segurança

**Gravidade:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  A versão de IP  |  String  |  Não personalizável  |  `IPv4`  | 
|  `restrictPorts`  |  Lista de portas que devem rejeitar o tráfego de entrada  |  IntegerList  |  Não personalizável  |  `22,3389`  | 

Esse controle verifica se um grupo de segurança do Amazon EC2 permite a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto (portas 22 e 3389). O controle falhará se o grupo de segurança permite a entrada de 0.0.0.0/0 na porta 22 ou 3389.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . Recomendamos que nenhum grupo de segurança permita acesso irrestrito às portas de administração de servidor remoto, como SSH à porta 22 e RDP à porta 3389, usando os protocolos TDP (6), UDP (17) ou ALL (-1). Permitir o acesso público a essas portas aumenta a superfície de ataque e o risco de comprometimento dos recursos.

### Correção
<a name="ec2-53-remediation"></a>

Para atualizar uma regra de grupo de segurança do EC2 para proibir o tráfego de entrada nas portas especificadas, consulte [Atualizar regras do grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) no *Manual do usuário do Amazon EC2*. Depois de selecionar um grupo de segurança no console do Amazon EC2, escolha **Ações, editar regras de entrada**. Remova a regra que permite o acesso à porta 22 ou 3389.

## [EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto
<a name="ec2-54"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.4, CIS Foundations Benchmark v3.0.0/5.3, PCI AWS DSS v4.0.1/1.3.1

**Categoria:** Proteger > Configuração de rede segura > Configuração do grupo de segurança

**Gravidade:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  A versão de IP  |  String  |  Não personalizável  |  `IPv6`  | 
|  `restrictPorts`  |  Lista de portas que devem rejeitar o tráfego de entrada  |  IntegerList  |  Não personalizável  |  `22,3389`  | 

Esse controle verifica se um grupo de segurança do Amazon EC2 permite a entrada de ::/0 nas portas de administração do servidor remoto (portas 22 e 3389). O controle falhará se o grupo de segurança permitir a entrada de ::/0 na porta 22 ou 3389.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . Recomendamos que nenhum grupo de segurança permita acesso irrestrito às portas de administração de servidor remoto, como SSH à porta 22 e RDP à porta 3389, usando os protocolos TDP (6), UDP (17) ou ALL (-1). Permitir o acesso público a essas portas aumenta a superfície de ataque e o risco de comprometimento dos recursos.

### Correção
<a name="ec2-54-remediation"></a>

Para atualizar uma regra de grupo de segurança do EC2 para proibir o tráfego de entrada nas portas especificadas, consulte [Atualizar regras do grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) no *Manual do usuário do Amazon EC2*. Depois de selecionar um grupo de segurança no console do Amazon EC2, escolha **Ações, editar regras de entrada**. Remova a regra que permite o acesso à porta 22 ou 3389.

## [EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR
<a name="ec2-55"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::VPC`,`AWS::EC2::VPCEndpoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Obrigatório | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obrigatório  | O nome do serviço que o controle avalia  | String  | Não personalizável  | ecr.api | 
| vpcIds  | Opcional  | Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no parâmetro serviceName não tiverem um desses endpoints da VPC.  | StringList  | Personalize com uma ou mais VPC IDs  | Nenhum valor padrão  | 

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um endpoint da VPC de interface para a API do Amazon ECR. O controle falhará se a VPC não tiver um endpoint da VPC de interface para a API do ECR. Esse controle avalia os recursos em uma única conta.

AWS PrivateLink permite que os clientes AWS acessem serviços hospedados de forma altamente disponível e escalável, mantendo todo o tráfego da rede dentro da AWS rede. Os usuários do serviço podem acessar de forma privada os serviços fornecidos por meio PrivateLink de sua VPC ou local, sem usar o IPs público e sem exigir que o tráfego percorra a Internet.

### Correção
<a name="ec2-55-remediation"></a>

*Para configurar um VPC endpoint, consulte [Acessar e AWS service (Serviço da AWS) usar uma interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) endpoint no Guia.AWS PrivateLink *

## [EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry
<a name="ec2-56"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::VPC`,`AWS::EC2::VPCEndpoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Obrigatório | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obrigatório  | O nome do serviço que o controle avalia  | String  | Não personalizável  | ecr.dkr | 
| vpcIds  | Opcional  | Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no parâmetro serviceName não tiverem um desses endpoints da VPC.  | StringList  | Personalize com uma ou mais VPC IDs  | Nenhum valor padrão  | 

Esse controle verifica se uma nuvem privada virtual (VPC) gerenciada tem um endpoint da VPC de interface para o registro do Docker. O controle falhará se a VPC não tiver um endpoint da VPC de interface para o registro do Docker. Esse controle avalia os recursos em uma única conta.

AWS PrivateLink permite que os clientes AWS acessem serviços hospedados de forma altamente disponível e escalável, mantendo todo o tráfego da rede dentro da AWS rede. Os usuários do serviço podem acessar de forma privada os serviços fornecidos por meio PrivateLink de sua VPC ou local, sem usar o IPs público e sem exigir que o tráfego percorra a Internet.

### Correção
<a name="ec2-56-remediation"></a>

*Para configurar um VPC endpoint, consulte [Acessar e AWS service (Serviço da AWS) usar uma interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) endpoint no Guia.AWS PrivateLink *

## [EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager
<a name="ec2-57"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::VPC`,`AWS::EC2::VPCEndpoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Obrigatório | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obrigatório  | O nome do serviço que o controle avalia  | String  | Não personalizável  | ssm | 
| vpcIds  | Opcional  | Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no parâmetro serviceName não tiverem um desses endpoints da VPC.  | StringList  | Personalize com uma ou mais VPC IDs  | Nenhum valor padrão  | 

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem um endpoint da VPC de interface para o AWS Systems Manager. O controle falhará se a VPC não tiver um endpoint da VPC de interface para o Systems Manager. Esse controle avalia os recursos em uma única conta.

AWS PrivateLink permite que os clientes AWS acessem serviços hospedados de forma altamente disponível e escalável, mantendo todo o tráfego da rede dentro da AWS rede. Os usuários do serviço podem acessar de forma privada os serviços fornecidos por meio PrivateLink de sua VPC ou local, sem usar o IPs público e sem exigir que o tráfego percorra a Internet.

### Correção
<a name="ec2-57-remediation"></a>

*Para configurar um VPC endpoint, consulte [Acessar e AWS service (Serviço da AWS) usar uma interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) endpoint no Guia.AWS PrivateLink *

## [EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager
<a name="ec2-58"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::VPC`,`AWS::EC2::VPCEndpoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Obrigatório | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obrigatório  | O nome do serviço que o controle avalia  | String  | Não personalizável  | ssm-contacts | 
| vpcIds  | Opcional  | Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no parâmetro serviceName não tiverem um desses endpoints da VPC.  | StringList  | Personalize com uma ou mais VPC IDs  | Nenhum valor padrão  | 

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem uma interface VPC endpoint para contatos do Incident Manager. AWS Systems Manager O controle falhará se a VPC não tiver um endpoint da VPC de interface para os contatos do Systems Manager Incident Manager. Esse controle avalia os recursos em uma única conta.

AWS PrivateLink permite que os clientes AWS acessem serviços hospedados de forma altamente disponível e escalável, mantendo todo o tráfego da rede dentro da AWS rede. Os usuários do serviço podem acessar de forma privada os serviços fornecidos por meio PrivateLink de sua VPC ou local, sem usar o IPs público e sem exigir que o tráfego percorra a Internet.

### Correção
<a name="ec2-58-remediation"></a>

*Para configurar um VPC endpoint, consulte [Acessar e AWS service (Serviço da AWS) usar uma interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) endpoint no Guia.AWS PrivateLink *

## [EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager
<a name="ec2-60"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::VPC`,`AWS::EC2::VPCEndpoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Obrigatório | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obrigatório  | O nome do serviço que o controle avalia  | String  | Não personalizável  | ssm-incidents | 
| vpcIds  | Opcional  | Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no parâmetro serviceName não tiverem um desses endpoints da VPC.  | StringList  | Personalize com uma ou mais VPC IDs  | Nenhum valor padrão  | 

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem uma interface VPC endpoint para o Incident Manager. AWS Systems Manager O controle falhará se a VPC não tiver um endpoint da VPC de interface para o Systems Manager Incident Manager. Esse controle avalia os recursos em uma única conta.

AWS PrivateLink permite que os clientes AWS acessem serviços hospedados de forma altamente disponível e escalável, mantendo todo o tráfego da rede dentro da AWS rede. Os usuários do serviço podem acessar de forma privada os serviços fornecidos por meio PrivateLink de sua VPC ou local, sem usar o IPs público e sem exigir que o tráfego percorra a Internet.

### Correção
<a name="ec2-60-remediation"></a>

*Para configurar um VPC endpoint, consulte [Acessar e AWS service (Serviço da AWS) usar uma interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) endpoint no Guia.AWS PrivateLink *

## [EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2
<a name="ec2-170"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/2.2.6

**Categoria:** Proteger > Segurança de rede

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::LaunchTemplate`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um modelo de execução do Amazon EC2 está configurado com o Instance Metadata Service Version 2 (). IMDSv2 O controle falha se `HttpTokens` estiver definido como `optional`.

Executar os recursos em versões de software compatíveis garante a performance, a segurança e o acesso ideais aos recursos mais novos. Atualizações regulares protegem contra vulnerabilidades, o que ajuda a garantir uma experiência de usuário estável e eficiente.

### Correção
<a name="ec2-170-remediation"></a>

Para exigir o IMDSv2 em um modelo de inicialização do EC2, consulte [Configurar as opções de serviço de metadados de instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) no *Manual do usuário do Amazon EC2*.

## [EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado
<a name="ec2-171"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::VPNConnection`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma conexão AWS Site-to-Site VPN tem o Amazon CloudWatch Logs habilitado para os dois túneis. O controle falhará se uma conexão Site-to-Site VPN não tiver CloudWatch registros habilitados para os dois túneis.

AWS Site-to-Site Os registros de VPN fornecem uma visibilidade mais profunda de suas implantações de Site-to-Site VPN. Com esse recurso, você tem acesso aos registros de conexão Site-to-Site VPN que fornecem detalhes sobre o estabelecimento do túnel IP Security (IPsec), negociações do Internet Key Exchange (IKE) e mensagens do protocolo Dead Peer Detection (DPD). Site-to-Site Os registros de VPN podem ser publicados em CloudWatch Registros. Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar registros detalhados de todas as suas conexões Site-to-Site VPN.

### Correção
<a name="ec2-171-remediation"></a>

Para ativar o registro de túneis em uma conexão VPN EC2, consulte [Registros de AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs) no *Guia do usuário de AWS Site-to-Site VPN*.

## [EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet
<a name="ec2-172"></a>

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::VPCBlockPublicAccessOptions`

**AWS Config regra:** `ec2-vpc-bpa-internet-gateway-blocked` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `vpcBpaInternetGatewayBlockMode`  |  Valor da string do modo de opções de BPA da VPC.  |  Enum  |  `block-bidirectional`, `block-ingress`  |  Nenhum valor padrão  | 

Esse controle verifica se as configurações do Amazon EC2 VPC Block Public Access (BPA) estão definidas para bloquear o tráfego do gateway de internet para toda a Amazon no. VPCs Conta da AWS O controle falhará se as configurações de BPA da VPC não estiverem definidas para bloquear o tráfego do gateway da Internet. Para que o controle seja aprovado, o `InternetGatewayBlockMode` do BPA da VPC deve ser definido como `block-bidirectional` ou `block-ingress`. Se o parâmetro `vpcBpaInternetGatewayBlockMode` for fornecido, o controle passará somente se o valor de BPA da VPC para `InternetGatewayBlockMode` corresponder ao parâmetro.

Definir as configurações de VPC BPA para sua conta em Região da AWS an permite impedir que recursos e sub-redes que você possui nessa região VPCs cheguem ou sejam acessados pela Internet por meio de gateways de Internet e gateways de Internet somente de saída. Se você precisar de sub-redes específicas VPCs para acessar ou ser acessado pela Internet, você pode excluí-las configurando as exclusões de VPC BPA. Para obter instruções sobre como criar e excluir exclusões, consulte [Criação e exclusão de exclusões](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions) no *Guia do usuário da Amazon VPC*.

### Correção
<a name="ec2-172-remediation"></a>

Para habilitar o BPA bidirecional no nível da conta, consulte [Habilitação do modo bidirecional de BPA para sua conta](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir) no *Guia do usuário da Amazon VPC*. Para habilitar o BPA somente de entrada, consulte [Alteração do modo de BPA da VPC para somente entrada](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only). Para habilitar o BPA da VPC no nível da organização, consulte [Habilitação do BPA da VPC no nível da organização](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs).

## [EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS
<a name="ec2-173"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::SpotFleet`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma solicitação de frota spot do Amazon EC2 que especifica os parâmetros de inicialização está em todos os volumes do Amazon Elastic Block Store (Amazon EBS) anexados a instâncias do EC2. O controle falhará se a solicitação da frota spot especificar parâmetros de lançamento e não habilitar a criptografia para um ou mais volumes do EBS especificados na solicitação.

Para obter uma camada adicional de segurança, é necessário habilitar a criptografia para volumes do Amazon EBS. As operações de criptografia ocorrem nos servidores que hospedam as instâncias do Amazon EC2, o que garante a segurança dos dados em repouso e dos dados em trânsito entre uma instância e seu armazenamento do EBS anexado. A criptografia do Amazon EBS é uma solução de criptografia direta para seus recursos do EBS associados às suas instâncias do EC2. Com a criptografia do EBS, não é necessário criar, manter e proteger sua própria infraestrutura de gerenciamento de chaves. A criptografia do EBS é usada AWS KMS keys ao criar volumes criptografados.

**Observações**  
Esse controle não gera descobertas para solicitações de frota spot do Amazon EC2 que usam modelos de lançamento. Ele também não gera descobertas para solicitações de frota spot que não especificam explicitamente um valor para o parâmetro `encrypted`.

### Correção
<a name="ec2-173-remediation"></a>

Não há uma forma direta de criptografar um volume do Amazon EBS existente não criptografado. É possível criptografar um novo volume somente ao criá-lo.

Contudo, se você habilitar a criptografia por padrão, o Amazon EBS criptografará novos volumes usando sua chave do KMS padrão para a criptografia do EBS. Se você não tiver habilitado a criptografia por padrão, será possível habilitá-la ao criar um volume individual. Em ambos os casos, é possível substituir a chave padrão para a criptografia do EBS e escolher uma AWS KMS key gerenciada pelo cliente. Para obter mais informações sobre a criptografia do EBS, consulte [Criptografia do Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) no *Guia do usuário do Amazon EBS*.

Para obter informações sobre a criação de uma solicitação de frota spot do Amazon EC2, consulte [Criação de uma frota spot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html) no *Guia do usuário do Amazon Elastic Compute Cloud*.

## [EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags
<a name="ec2-174"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::DHCPOptions`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se um conjunto de opções de DHCP do Amazon EC2 tem as chaves de tags especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se o conjunto de opções não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o conjunto de opções não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="ec2-174-remediation"></a>

Para obter informações sobre a aplicação de tags no conjunto de opções de DHCP do Amazon EC2, consulte [Aplicação de tags em recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.

## [EC2.175] Os modelos de execução do EC2 devem ser marcados com tags
<a name="ec2-175"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::LaunchTemplate`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se um modelo de execução do Amazon EC2 tem as chaves de tags especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se o modelo de execução não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o modelo de execução não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="ec2-175-remediation"></a>

Para obter informações sobre a aplicação de tags a um modelo de execução do Amazon EC2, consulte [Aplicação de tags em recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.

## [EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags
<a name="ec2-176"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::PrefixList`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se uma lista de prefixos do Amazon EC2 tem as chaves de tags especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se a lista de prefixos não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a lista de prefixos não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="ec2-176-remediation"></a>

Para obter informações sobre a aplicação de tags a uma lista de prefixos do Amazon EC2, consulte [Aplicação de tags em recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.

## [EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags
<a name="ec2-177"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::TrafficMirrorSession`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se uma sessão de espelhamento de tráfego do Amazon EC2 tem as chaves de tag especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se a sessão não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a sessão não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="ec2-177-remediation"></a>

Para obter informações sobre a aplicação de tags a uma sessão de espelhamento de tráfego do Amazon EC2, consulte [Aplicação de tags em recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.

## [EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags
<a name="ec2-178"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::TrafficMirrorFilter`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se um filtro de espelhamento de tráfego do Amazon EC2 tem as chaves de tag especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se o filtro não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o filtro não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="ec2-178-remediation"></a>

Para obter informações sobre a aplicação de tags a um filtro de espelhamento de tráfego do Amazon EC2, consulte [Aplicação de tags em recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.

## [EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags
<a name="ec2-179"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EC2::TrafficMirrorTarget`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se um destino de espelhamento de tráfego do Amazon EC2 tem as chaves de tag especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se o destino não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o destino não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="ec2-179-remediation"></a>

Para obter informações sobre a aplicação de tags a um destino de espelhamento de tráfego do Amazon EC2, consulte [Aplicação de tags em recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.

## [EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination
<a name="ec2-180"></a>

**Categoria:** Proteger > Segurança de rede

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::NetworkInterface`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a source/destination verificação está habilitada para uma interface de rede elástica (ENI) do Amazon EC2 gerenciada por usuários. O controle falhará se a source/destination verificação for desativada para a ENI gerenciada pelo usuário. Esse controle verifica somente os seguintes tipos de ENIs: `aws_codestar_connections_managed` `branch``efa`,`interface`,`lambda`,, `quicksight` e.

Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationvalidação de endereço, que garante que uma instância seja a origem ou o destino de qualquer tráfego recebido. Isso fornece uma camada adicional de segurança de rede, impedindo que os recursos manipulem tráfego não intencional e impedindo a falsificação de endereços IP.

**nota**  
Se você estiver usando uma instância do EC2 como instância NAT e tiver desativado a source/destination verificação de sua ENI, poderá usar um gateway [NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) em vez disso.

### Correção
<a name="ec2-180-remediation"></a>

Para obter informações sobre como habilitar source/destination verificações para uma ENI do Amazon EC2, consulte [Modificar atributos da interface de rede no Guia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check) do usuário do *Amazon* EC2.

## [EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS
<a name="ec2-181"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::EC2::LaunchTemplate`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um modelo de execução do Amazon EC2 habilita a criptografia para todos os volumes do EBS anexados. O controle falhará se o parâmetro de criptografia for definido como `False` para qualquer volume do EBS especificado pelo modelo de execução do EC2.

A criptografia do Amazon EBS é uma solução de criptografia direta para recursos do EBS associados a instâncias do Amazon EC2. Com a criptografia do EBS, não é necessário criar, manter e proteger sua própria infraestrutura de gerenciamento de chaves. A criptografia do EBS usa AWS KMS keys ao criar volumes e snapshots criptografados. As operações de criptografia ocorrem nos servidores que hospedam as instâncias do Amazon EC2, o que ajuda a garantir a segurança dos dados em repouso e dos dados em trânsito entre uma instância do EC2 e seu armazenamento do EBS anexado. Para obter mais informações, consulte [Criptografia do Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) no *Guia do usuário do Amazon EBS*.

É possível habilitar a criptografia do EBS durante execuções manuais de instâncias individuais do EC2. Entretanto, há vários benefícios em usar modelos de execução do EC2 e definir as configurações de criptografia nesses modelos. É possível aplicar a criptografia como padrão e garantir o uso de configurações de criptografia consistentes. Também é possível reduzir o risco de erros e lacunas de segurança que podem ocorrer com execuções manuais de instâncias.

**nota**  
Quando esse controle verifica um modelo de execução do EC2, ele avalia somente as configurações de criptografia do EBS que são explicitamente especificadas pelo modelo. A avaliação não inclui configurações de criptografia herdadas das configurações de criptografia do EBS no nível da conta, dos mapeamentos de dispositivos de blocos da AMI ou dos status de criptografia do snapshot de origem.

### Correção
<a name="ec2-181-remediation"></a>

Depois que criar um modelo de execução do Amazon EC2, você não poderá modificá-lo. No entanto, é possível criar uma nova versão de um modelo de execução e alterar as configurações de criptografia nessa nova versão do modelo. É possível especificar a nova versão como a versão padrão do modelo de execução. Em seguida, se você iniciar uma instância do EC2 a partir de um modelo de execução e não especificar uma versão do modelo, o EC2 usará as configurações da versão padrão ao iniciar a instância. Para obter mais informações, consulte [Modificação de um modelo de execucão](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) no *Guia do usuário do Amazon EC2*.

## [EC2.182] Os snapshots do Amazon EBS não devem estar acessíveis ao público
<a name="ec2-182"></a>

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** alta

**Tipo de recurso:** `AWS::EC2::SnapshotBlockPublicAccess`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

O controle verifica se o bloqueio de acesso público está habilitado para bloquear todo o compartilhamento de snapshots do Amazon EBS. O controle falhará se o bloqueio de acesso público não estiver habilitado para bloquear todo o compartilhamento de todos os snapshots do Amazon EBS.

Para evitar o compartilhamento público de seus snapshots do Amazon EBS, você pode habilitar o bloqueio do acesso público para snapshots. Quando o bloqueio do acesso público para instantâneos é ativado em uma região, qualquer tentativa de compartilhar publicamente os instantâneos nessa região é automaticamente bloqueada. Isso ajuda a melhorar a segurança dos instantâneos e a proteger os dados dos instantâneos contra acesso não autorizado ou não intencional. 

### Correção
<a name="ec2-182-remediation"></a>

Para habilitar o bloqueio de acesso público para snapshots, consulte [Configurar bloqueio de acesso público para snapshots do Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html) no Guia do usuário do *Amazon EBS*. Em **Bloquear acesso público**, escolha **Bloquear todo o acesso público**.

# Controles CSPM do Security Hub para Auto Scaling
<a name="autoscaling-controls"></a>

Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon EC2 Auto Scaling.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB
<a name="autoscaling-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.2, NIST.800-53.r5 CP-2 (2) NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

**Categoria:** Identificar > Inventário

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um grupo do Amazon EC2 Auto Scaling associado a um balanceador de carga usa as verificações de saúde do Elastic Load Balancing (ELB). O controle falhará se o grupo do Auto Scaling não usar as verificações de integridade do ELB.

As verificações de integridade do ELB garantem que o grupo do Auto Scaling possa determinar a integridade de uma instância com base em testes adicionais fornecidos pelo balanceador de carga. O uso das verificações de integridade do Elastic Load Balancing também ajuda a apoiar a disponibilidade de aplicativos que usam grupos de Auto EC2 Scaling.

### Correção
<a name="autoscaling-1-remediation"></a>

Para adicionar verificações de saúde do Elastic Load Balancing, consulte [Adicionar verificações de saúde do Elastic Load Balancing](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) no Guia do usuário do Amazon *Auto EC2 Scaling.*

## [AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade
<a name="autoscaling-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Número mínimo de zonas de disponibilidade  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Esse controle verifica se um grupo do Amazon EC2 Auto Scaling abrange pelo menos o número especificado de zonas de disponibilidade (). AZs O controle falhará se um grupo de Auto Scaling não abranger pelo menos o número especificado de. AZs A menos que você forneça um valor de parâmetro personalizado para o número mínimo de AZs, o Security Hub CSPM usa um valor padrão de dois. AZs

Um grupo de Auto Scaling que não abrange várias não AZs pode iniciar instâncias em outra AZ para compensar se a única AZ configurada ficar indisponível. Entretanto, um grupo do Auto Scaling com uma única zona de disponibilidade pode ser preferível em alguns casos de uso, como trabalhos em lote ou quando os custos de transferência entre AZs precisam ser reduzidos ao mínimo. Nesses casos, é possível desabilitar esse controle ou suprimir suas descobertas. 

### Correção
<a name="autoscaling-2-remediation"></a>

 AZs Para adicionar a um grupo existente do Auto Scaling, consulte [Adicionar e remover zonas de disponibilidade](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) no Guia do usuário do *Amazon Auto EC2 Scaling*.

## [AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2
<a name="autoscaling-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7),, NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.6

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** alta

**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se IMDSv2 está habilitado em todas as instâncias iniciadas pelos grupos do Amazon EC2 Auto Scaling. O controle falhará se a versão do Instance Metadata Service (IMDS) não estiver incluída na configuração de execução ou estiver configurada como`token optional`, o que é uma configuração que permite ou IMDSv1 . IMDSv2

O IMDS fornece dados da instância que você pode usar para configurar ou gerenciar a instância em execução.

A versão 2 do IMDS adiciona novas proteções que não estavam disponíveis IMDSv1 para proteger ainda mais suas instâncias. EC2 

### Correção
<a name="autoscaling-3-remediation"></a>

Um grupo do Auto Scaling é associado a uma configuração de execução de cada vez. Não é possível modificar uma configuração de execução de uma instância, não é possível modificá-la. Para alterar a configuração de lançamento de um grupo de Auto Scaling, use uma configuração de inicialização existente como base para uma nova configuração de inicialização com IMDSv2 habilitada. Para obter mais informações, consulte [Configurar opções de metadados de instância para novas instâncias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) no *Guia do EC2 usuário da Amazon*.

## [AutoScaling.4] A configuração de inicialização do grupo Auto Scaling não deve ter um limite de salto de resposta de metadados maior que 1
<a name="autoscaling-4"></a>

**Importante**  
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** alta

**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica o número de saltos de rede que um token de metadados pode percorrer. O controle falhará se o limite de salto de resposta de metadados for maior que `1`.

O Instance Metadata Service (IMDS) fornece informações de metadados sobre uma EC2 instância da Amazon e é útil para configuração de aplicativos. Restringir a `PUT` resposta HTTP do serviço de metadados somente à EC2 instância protege o IMDS do uso não autorizado.

O campo Time To Live (TTL) no pacote IP é reduzido em um em cada salto. Essa redução pode ser usada para garantir que o pacote não viaje para fora EC2. IMDSv2 protege EC2 instâncias que podem ter sido configuradas incorretamente como roteadores abertos, firewalls de camada 3, túneis ou dispositivos NAT VPNs, o que impede que usuários não autorizados recuperem metadados. Com IMDSv2, a `PUT` resposta que contém o token secreto não pode sair da instância porque o limite de salto de resposta de metadados padrão está definido como. `1` No entanto, se esse valor for maior que`1`, o token poderá sair da EC2 instância. 

### Correção
<a name="autoscaling-4-remediation"></a>

Para modificar o limite de salto de resposta de metadados para uma configuração de execução existente, consulte [Modificar opções de metadados de instância para instâncias existentes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) no Guia * EC2 do usuário da Amazon*.

## [Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos
<a name="autoscaling-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** alta

**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a configuração de inicialização associada a um grupo do Auto Scaling atribui um [endereço IP público](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) às instâncias do grupo. O controle falhará se a configuração de inicialização associada atribuir um endereço IP público.

 EC2 As instâncias da Amazon em uma configuração de lançamento em grupo do Auto Scaling não devem ter um endereço IP público associado, exceto em casos extremos limitados. EC2 As instâncias da Amazon só devem ser acessíveis por trás de um balanceador de carga, em vez de serem expostas diretamente à Internet.

### Correção
<a name="autoscaling-5-remediation"></a>

Um grupo do Auto Scaling é associado a uma configuração de execução de cada vez. Não é possível modificar uma configuração de execução de uma instância, não é possível modificá-la. Para alterar a configuração de execução para um grupo do Auto Scaling, use uma configuração de execução existente como base para uma nova configuração de execução. Em seguida, atualize o grupo do Auto Scaling para usar a nova configuração de execução. Para step-by-step obter instruções, consulte [Alterar a configuração de lançamento de um grupo de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) no Guia do usuário do *Amazon Auto EC2 Scaling*. Ao criar a nova configuração de execução, em **Configuração adicional**, para **Detalhes avançados, tipo de endereço IP**, escolha **Não atribuir um endereço IP público a nenhuma instância**.

Depois de alterar a configuração de execução, o Ajuste de escala automático inicia novas instâncias com as novas opções de configuração. As instâncias existentes não são afetadas. Para atualizar uma instância existente, recomendamos que você atualize-a ou permita que a escalabilidade automática substitua gradualmente as instâncias mais antigas por instâncias mais novas com base em suas políticas de término. Para obter mais informações sobre a atualização de instâncias do Auto Scaling, consulte [Atualizar instâncias do Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) no Guia do usuário do Amazon *Auto EC2 Scaling.*

## [AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade
<a name="autoscaling-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um grupo do Amazon EC2 Auto Scaling usa vários tipos de instância. O controle falhará se o grupo do Auto Scaling tiver apenas um tipo de instância definido.

É possível aprimorar a disponibilidade ao implantar seu aplicativo em vários tipos de instâncias em execução em várias zonas de disponibilidade. O Security Hub CSPM recomenda o uso de vários tipos de instância para que o grupo do Auto Scaling possa iniciar outro tipo de instância se não houver capacidade de instância suficiente nas zonas de disponibilidade escolhidas.

### Correção
<a name="autoscaling-6-remediation"></a>

Para criar um grupo de Auto Scaling com vários tipos de instância, consulte [Grupos de Auto Scaling com vários tipos de instância e opções de compra](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) no Guia do usuário do Amazon *Auto EC2 Scaling*.

## [AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2
<a name="autoscaling-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Identificar > Configuração de recursos

**Gravidade:** média

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um grupo do Amazon EC2 Auto Scaling foi criado a partir de um modelo de EC2 lançamento. Esse controle falhará se um grupo do Amazon EC2 Auto Scaling não for criado com um modelo de execução ou se um modelo de execução não for especificado em uma política de instâncias mistas.

Um grupo de EC2 Auto Scaling pode ser criado a partir de um modelo de EC2 execução ou de uma configuração de execução. No entanto, usar um modelo de execução para criar um grupo do Auto Scaling garante que você tenha acesso aos recursos e melhorias mais recentes.

### Correção
<a name="autoscaling-9-remediation"></a>

Para criar um grupo de Auto Scaling com um modelo de EC2 lançamento, consulte [Criar um grupo de Auto Scaling usando um modelo de lançamento](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) no Guia do usuário do Amazon *Auto EC2 Scaling*. Para obter informações sobre como substituir uma configuração de lançamento por um modelo de lançamento, consulte [Substituir uma configuração de lançamento por um modelo de lançamento](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) no *Guia EC2 do usuário da Amazon*.

## [AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados
<a name="autoscaling-10"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config regra:** `tagged-autoscaling-autoscalinggroup` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um grupo do Amazon EC2 Auto Scaling tem tags com as chaves específicas definidas no parâmetro. `requiredTagKeys` O controle falhará se o grupo do Auto Scaling não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo do Auto Scaling não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="autoscaling-10-remediation"></a>

Para adicionar tags a um grupo do Auto Scaling, consulte [Grupos e instâncias do Tag Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) no Guia do usuário do Amazon *Auto EC2 Scaling.*

# Controles de CSPM do Security Hub para Amazon ECR
<a name="ecr-controls"></a>

Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Elastic Container Registry (Amazon ECR).

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
<a name="ecr-1"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/6.2.3 NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.4

**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** alta

**Tipo de recurso:** `AWS::ECR::Repository`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um repositório privado do Amazon ECR tem a digitalização de imagens configurada. O controle falhará se o repositório ECR privado não estiver configurado para digitalização por push ou varredura contínua.

A verificação de imagens do ECR ajuda a identificar vulnerabilidades de software nas imagens de seu contêiner. A configuração da digitalização de imagens em repositórios ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas.

### Correção
<a name="ecr-1-remediation"></a>

Para configurar a digitalização de imagens para um repositório ECR, consulte [Digitalização de imagens](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html) no *Guia do usuário do Amazon Elastic Container Registry*.

## [ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
<a name="ecr-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-8 (1)

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** média

**Tipo de recurso:** `AWS::ECR::Repository`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um repositório ECR privado tem a imutabilidade de tags ativada. Esse controle falhará se um repositório ECR privado tiver a imutabilidade de tags desativada. Essa regra é aprovada se a imutabilidade da tag estiver ativada e tiver o valor `IMMUTABLE`.

O Amazon ECR Tag Immutability permite que os clientes confiem nas tags descritivas de uma imagem como um mecanismo confiável para rastrear e identificar imagens de forma exclusiva. Uma tag imutável é estática, o que significa que cada tag se refere a uma imagem exclusiva. Isso melhora a confiabilidade e a escalabilidade, pois o uso de uma tag estática sempre resultará na implantação da mesma imagem. Quando configurada, a imutabilidade das tags evita que elas sejam substituídas, o que reduz a superfície de ataque.

### Correção
<a name="ecr-2-remediation"></a>

Para criar um repositório com tags imutáveis configuradas ou para atualizar as configurações de mutabilidade da tag de imagem para um repositório existente, consulte [Mutabilidade da tag de imagem](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html) no *Guia do usuário do Amazon Elastic Container Registry*.

## [ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
<a name="ecr-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Identificar > Configuração de recursos

**Gravidade:** média

**Tipo de recurso:** `AWS::ECR::Repository`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um repositório do Amazon ECR tem pelo menos uma política de ciclo de vida configurada. Esse controle falhará se um repositório ECR não tiver nenhuma política de ciclo de vida configurada.

As políticas de ciclo de vida do Amazon ECR permitem que você especifique o gerenciamento do ciclo de vida das imagens em um repositório. Ao configurar as políticas de ciclo de vida, você pode automatizar a limpeza de imagens não usadas e a expiração das imagens com base na idade ou contagem. Automatizar essas tarefas pode ajudar você a evitar o uso involuntário de imagens desatualizadas em seu repositório.

### Correção
<a name="ecr-3-remediation"></a>

Para configurar uma política de ciclo de vida, consulte [Criar uma prévia da política de ciclo de vida](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html) no *Guia do usuário do Amazon Elastic Container Registry*.

## [ECR.4] Os repositórios públicos do ECR devem ser marcados
<a name="ecr-4"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::ECR::PublicRepository`

**AWS Config regra:** `tagged-ecr-publicrepository` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um repositório Public do Amazon ECR Public tem tags com chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o repositório público não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o repositório público não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="ecr-4-remediation"></a>

Para adicionar tags a um repositório público do ECR, consulte [Tagging an Amazon ECR public repository](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html) no *Amazon Elastic Container Registry User Guide*.

## [ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys
<a name="ecr-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), (1), NIST.800-53.r5 SC-7 NIST.800-53.r5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.r5 AU-9

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::ECR::Repository`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Uma lista de nomes de recursos da Amazon (ARNs) AWS KMS keys a serem incluídos na avaliação. O controle gerará uma descoberta `FAILED` se um repositório de ECR não estiver criptografado com uma chave do KMS na lista.  |  StringList (máximo de 10 itens)  |  1 a 10 ARNs das chaves KMS existentes. Por exemplo: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`  |  Nenhum valor padrão  | 

Esse controle verifica se um repositório do Amazon ECR está criptografado em repouso com uma AWS KMS key gerenciada pelo cliente. O controle falhará se o repositório do ECR não for criptografado com uma chave do KMS gerenciada pelo cliente. Opcionalmente, é possível especificar uma lista de chaves do KMS para o controle incluir na avaliação.

Por padrão, o Amazon ECR criptografa os dados de repositórios com chaves gerenciadas pelo Amazon S3 (SSE-S3), usando um algoritmo AES-256. Para controle adicional, você pode configurar o Amazon ECR para criptografar os dados com um AWS KMS key (SSE-KMS ou DSSE-KMS) em vez disso. A chave do KMS pode ser: uma Chave gerenciada pela AWS que o Amazon ECR cria e gerencia para você e tem o alias `aws/ecr`, ou uma chave gerenciada pelo cliente que você cria e gerencia em sua Conta da AWS. Com uma chave do KMS gerenciada pelo cliente, você tem controle total sobre a chave. Isso inclui definir e manter a política de chaves, gerenciar concessões, alternar material criptográfico, atribuir tags, criar aliases e habilitar e desabilitar a chave.

**nota**  
AWS KMS oferece suporte ao acesso entre contas às chaves KMS. Se um repositório do ECR for criptografado com uma chave do KMS de propriedade de outra conta, esse controle não executará verificações entre contas ao avaliar o repositório. O controle não avalia se o Amazon ECR pode acessar e usar a chave ao realizar operações criptográficas para o repositório.

### Correção
<a name="ecr-5-remediation"></a>

Não é possível alterar as configurações de criptografia de um repositório do ECR existente. No entanto, é possível especificar configurações de criptografia diferentes para repositórios do ECR que você criar posteriormente. O Amazon ECR oferece suporte ao uso de diferentes configurações de criptografia para repositórios individuais.

Para obter mais informações sobre as opções de criptografia para repositórios do ECR, consulte [Criptografia em repouso](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) no *Guia do usuário do Amazon ECR*. Para obter mais informações sobre gerenciamento de clientes AWS KMS keys, consulte [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)o *Guia do AWS Key Management Service desenvolvedor*.

# Controles CSPM do Security Hub para Amazon ECS
<a name="ecs-controls"></a>

Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Elastic Container Service (Amazon ECS). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário
<a name="ecs-1"></a>

**Importante**  
O Security Hub CSPM retirou esse controle em março de 2026. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md). Você pode consultar os seguintes controles para avaliar a configuração privilegiada, a configuração do modo de rede e a configuração do usuário:   
 [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](#ecs-4) 
 [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](#ecs-17) 
 [[ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux](#ecs-20) 
 [[ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows](#ecs-21) 

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `SkipInactiveTaskDefinitions`: `true` (não personalizável)

Esse controle verifica se uma definição de tarefa ativa do Amazon ECS com o modo de rede do host tem definições de contêiner de`privileged` ou `user`. O controle falha nas definições de tarefas que têm o modo de rede do host e as definições de contêiner de `privileged=false`, vazio e `user=root` ou vazio.

Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.

O objetivo desse controle é garantir que o acesso seja definido intencionalmente quando você executa tarefas que usam o modo de rede do host. Se uma definição de tarefa tiver privilégios elevados, é porque você escolheu essa configuração. Esse controle verifica o escalonamento inesperado de privilégios quando uma definição de tarefa tem a rede de host ativada e você não escolhe privilégios elevados.

### Correção
<a name="ecs-1-remediation"></a>

Para obter informações sobre como atualizar uma definição de tarefa, consulte [Atualizar uma definição de tarefa](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) no *Guia do desenvolvedor do Amazon Elastic Container Service*.

Quando você atualiza uma definição de tarefa, ela não atualiza as tarefas em execução que foram iniciadas a partir da definição de tarefa anterior. Para atualizar uma tarefa em execução, é necessário reimplantar a tarefa com a nova definição de tarefa.

## [ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente
<a name="ecs-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** alta

**Tipo de recurso:** `AWS::ECS::Service`

**AWS Config regra:** `ecs-service-assign-public-ip-disabled` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os serviços do Amazon ECS estão configurados para atribuir automaticamente endereços IP públicos. Esse controle falhará se `AssignPublicIP` for `ENABLED`. Esse controle será aprovado se `AssignPublicIP` for `DISABLED`.

Um endereço IP público é um endereço IP que é acessível pela Internet. Se você iniciar suas instâncias do Amazon ECS com um endereço IP público, suas instâncias do Amazon ECS poderão ser acessadas pela Internet. Os serviços do Amazon ECS não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus servidores de aplicativos de contêineres.

### Correção
<a name="ecs-2-remediation"></a>

Primeiro, é necessário criar uma definição de tarefa para o cluster que use o modo de rede `awsvpc` e especifique **FARGATE** em `requiresCompatibilities`. Depois, em **Configuração de computação**, escolha **Tipo de inicialização** e **FARGATE**. Por fim, no campo **Rede**, desative **IP público** para desabilitar a atribuição automática de um IP público para seu serviço.

## [ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
<a name="ecs-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Identificar > Configuração de recursos

**Gravidade:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se as definições de tarefas do Amazon ECS estão configuradas para compartilhar o namespace do processo de um host com seus contêineres. O controle falhará se a definição da tarefa compartilhar o namespace do processo do host com os contêineres em execução nele. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.

Um namespace de ID de processo (PID) fornece separação entre processos. Ele impede que os processos do sistema sejam visíveis e permite que PIDs sejam reutilizados, incluindo o PID 1. Se o namespace PID do host for compartilhado com contêineres, isso permitirá que os contêineres vejam todos os processos no sistema host. Isso reduz o benefício do isolamento em nível de processo entre o host e os contêineres. Essas circunstâncias podem levar ao acesso não autorizado aos processos no próprio host, incluindo a capacidade de manipulá-los e encerrá-los. Os clientes não devem compartilhar o namespace do processo do host com os contêineres em execução nele.

### Correção
<a name="ecs-3-remediation"></a>

Para configurar o `pidMode` na definição de uma tarefa, consulte [Parâmetros de definição de tarefa](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) no Guia do desenvolvedor do Amazon Elastic Container Service.

## [ECS.4] Os contêineres ECS devem ser executados sem privilégios
<a name="ecs-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Categoria:** Proteger > Gerenciamento de acesso seguro > Restrições de acesso do usuário raiz

**Gravidade:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o parâmetro `privileged` na definição do contêiner das definições de tarefas do Amazon ECS está definido como `true`. O controle falhará se esse parâmetro for igual a `true`. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.

Recomendamos que você remova privilégios elevados de suas definições de tarefas do ECS. Quando esse parâmetro do privilégio é `true`, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz).

### Correção
<a name="ecs-4-remediation"></a>

Para configurar o parâmetro `privileged` na definição de uma tarefa, consulte [Parâmetros avançados de definição de tarefa](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) no Guia do desenvolvedor do Amazon Elastic Container Service.

## [ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz
<a name="ecs-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se as definições de tarefas do ECS configuram os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz montados. O controle falhará se o `readonlyRootFilesystem` parâmetro nas definições de contêiner da definição de tarefa do ECS estiver definido como ou se `false` o parâmetro não existir na definição do contêiner dentro da definição da tarefa. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.

Se o parâmetro `readonlyRootFilesystem` estiver definido como `true` em uma definição de tarefa do Amazon ECS, o contêiner do ECS receberá acesso somente de leitura ao sistema de arquivos raiz. Isso reduz os vetores de ataque de segurança, pois porque o sistema de arquivos raiz da instância de contêiner não pode ser adulterado ou gravado sem montagens explícitas de volume com permissões de leitura e gravação para pastas e diretórios do sistema de arquivos. Habilitar essa opção também segue o princípio do privilégio mínimo.

**nota**  
O `readonlyRootFilesystem` parâmetro não é compatível com contêineres do Windows. As definições de tarefas `runtimePlatform` configuradas para especificar uma família de `WINDOWS_SERVER` sistemas operacionais são marcadas como `NOT_APPLICABLE` e não gerarão descobertas para esse controle. 

### Correção
<a name="ecs-5-remediation"></a>

Para dar a um contêiner do Amazon ECS acesso somente de leitura ao seu sistema de arquivos raiz, adicione o parâmetro `readonlyRootFilesystem` à definição da tarefa do contêiner e defina o valor do parâmetro como `true`. Para obter informações sobre parâmetros de definição de tarefa e como adicioná-los a uma definição de tarefa, consulte [Definições de tarefa do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) e [Atualizar uma definição de tarefa](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) no *Guia do desenvolvedor do Amazon Elastic Container Service*.

## [ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
<a name="ecs-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/8.6.2

**Categoria:** Proteger > Desenvolvimento seguro > Credenciais sem codificação rígida

**Gravidade:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros:** `secretKeys`: `AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`,`ECS_ENGINE_AUTH_DATA` (não personalizáveis) 

Esse controle verifica se o valor da chave de qualquer variável no parâmetro `environment` das definições do contêiner inclui `AWS_ACCESS_KEY_ID`, `AWS_SECRET_ACCESS_KEY` ou `ECS_ENGINE_AUTH_DATA`. Esse controle falhará se uma única variável de ambiente em qualquer definição de contêiner for igual a `AWS_ACCESS_KEY_ID`, `AWS_SECRET_ACCESS_KEY` ou `ECS_ENGINE_AUTH_DATA`. Esse controle não abrange variáveis ambientais transmitidas de outros locais, como o Amazon S3. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.

AWS Systems Manager O Parameter Store pode ajudá-lo a melhorar a postura de segurança da sua organização. Recomendamos usar o Parameter Store para armazenar segredos e credenciais em vez de passá-los diretamente para suas instâncias de contêiner ou codificá-los em seu código.

### Correção
<a name="ecs-8-remediation"></a>

Para criar parâmetros usando o SSM, consulte [Criar parâmetros do Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) no *Guia do usuário do AWS Systems Manager *. Para obter mais informações sobre a criação de uma definição de tarefa que especifica um segredo, consulte [Especificar dados sigilosos usando segredos do Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) no *Guia do desenvolvedor do Amazon Elastic Container Service*.

## [ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log
<a name="ecs-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificar > Registro em log

**Gravidade:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**AWS Config regra: ecs-task-definition-log** [-configuração](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a última definição de tarefa ativa do Amazon ECS tem uma configuração de registro em log especificada. O controle falhará se a definição da tarefa não tiver a propriedade `logConfiguration` definida ou se o valor para `logDriver` for nulo em pelo menos uma definição de contêiner.

O registro em log ajuda a manter a confiabilidade, a disponibilidade e a performance do Amazon ECS. A coleta de dados das definições de tarefas fornece visibilidade, o que pode ajudá-lo a depurar processos e encontrar a causa raiz dos erros. Se você estiver usando uma solução de registro em log que não precisa ser definida na definição de tarefas do ECS (como uma solução de registro em log de terceiros), você pode desativar esse controle depois de garantir que seus logs sejam capturados e entregues adequadamente.

### Correção
<a name="ecs-9-remediation"></a>

Para definir uma configuração de log para suas definições de tarefas do Amazon ECS, consulte [Especificar uma configuração de log na definição de tarefa](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) no *Guia do desenvolvedor do Amazon Elastic Container Service*.

## [ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
<a name="ecs-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** média

**Tipo de recurso:** `AWS::ECS::Service`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `latestLinuxVersion: 1.4.0` (não personalizável)
+ `latestWindowsVersion: 1.0.0` (não personalizável)

Esse controle verifica se os serviços do Amazon ECS Fargate estão executando a versão da plataforma Fargate mais recente. Esse controle falhará se a versão da plataforma não for a mais recente.

AWS Fargate as versões de plataforma se referem a um ambiente de tempo de execução específico para a infraestrutura de tarefas do Fargate, que é uma combinação das versões de tempo de execução do kernel e do contêiner. Novas versões da plataforma são lançadas à medida que o ambiente de runtime evolui. Por exemplo, uma nova versão pode ter sido lançada para o kernel ou haver atualizações para o sistema operacional, novos recursos, correções de erros ou atualizações de segurança. As atualizações de segurança e patches são implantadas automaticamente nas tarefas do Fargate. Se for encontrado um problema de segurança que afete uma versão da plataforma, AWS corrija a versão da plataforma. 

### Correção
<a name="ecs-10-remediation"></a>

Para atualizar um serviço existente, incluindo sua versão da plataforma, consulte [Atualizar um serviço](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) no *Guia do desenvolvedor do Amazon Elastic Container Service*.

## [ECS.12] Os clusters do ECS devem usar Container Insights
<a name="ecs-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::ECS::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os clusters do ECS usam o Container Insights. Esse controle falhará se o Container Insights não estiver configurado para um cluster.

O monitoramento é uma parte importante para manter a confiabilidade, a disponibilidade e a performance dos clusters do Amazon ECS. Use o CloudWatch Container Insights para coletar, agregar e resumir métricas e registros de seus aplicativos e microsserviços em contêineres. CloudWatch coleta automaticamente métricas para vários recursos, como CPU, memória, disco e rede. O Container Insights também fornece informações de diagnóstico, como falhas de reinicialização de contêiner, para ajudar a isolar problemas e resolvê-los rapidamente. Você também pode definir CloudWatch alarmes nas métricas que o Container Insights coleta.

### Correção
<a name="ecs-12-remediation"></a>

Para usar o Container Insights, consulte [Atualização de um serviço](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) no *Guia CloudWatch do usuário da Amazon*.

## [ECS.13] Os serviços do ECS devem ser marcados
<a name="ecs-13"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::ECS::Service`

**AWS Config regra:** `tagged-ecs-service` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um serviço do Amazon ECS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o serviço não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o serviço não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="ecs-13-remediation"></a>

Para adicionar tags a um serviço do ECS, consulte [Marcação de recursos do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html), no *Guia do Desenvolvedor do Amazon Elastic Container Service*.

## [ECS.14] Os clusters do ECS devem ser marcados
<a name="ecs-14"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::ECS::Cluster`

**AWS Config regra:** `tagged-ecs-cluster` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um cluster do Amazon ECS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="ecs-14-remediation"></a>

Para adicionar tags a um cluster do ECS, consulte [Marcação de recursos do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html), no *Guia do Desenvolvedor do Amazon Elastic Container Service*.

## [ECS.15] As definições de tarefas do ECS devem ser marcadas
<a name="ecs-15"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**AWS Config regra:** `tagged-ecs-taskdefinition` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma definição de tarefa do Amazon ECS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a definição de tarefa não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a definição de tarefa não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="ecs-15-remediation"></a>

Para adicionar tags a uma definição de tarefa do ECS, consulte [Marcação de recursos do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html), no *Guia do Desenvolvedor do Amazon Elastic Container Service*.

## [ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos
<a name="ecs-16"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** alta

**Tipo de recurso:** `AWS::ECS::TaskSet`

**AWS Config regra:** `ecs-taskset-assign-public-ip-disabled` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um conjunto de tarefas do Amazon ECS está configurado para atribuir automaticamente endereços IP públicos. O controle falha se `AssignPublicIP` estiver definido como `ENABLED`.

Um endereço IP público é acessível pela Internet. Se você configurar seu conjunto de tarefas com um endereço IP público, os recursos associados ao conjunto de tarefas poderão ser acessados pela Internet. Os conjuntos de tarefas do ECS não devem ser acessíveis ao público, pois isso pode permitir acesso não pretendido aos servidores de aplicações de contêiner.

### Correção
<a name="ecs-16-remediation"></a>

Para atualizar um conjunto de tarefas do ECS para que ele não use um endereço IP público, consulte [Atualização de um serviço do Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) no *Guia do desenvolvedor do Amazon Elastic Container Service*.

## [ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host
<a name="ecs-17"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a última revisão ativa de uma definição de tarefa do Amazon ECS usa o modo de rede de `host`. O controle falhará se a última revisão ativa de definição de tarefa do ECS usa o modo de rede de `host`.

Com o uso do modo de rede de `host`, a rede do contêiner do Amazon ECS é vinculada diretamente ao host subjacente que está executando o contêiner. Em consequência, esse modo permite que os contêineres se conectem a serviços de rede de loopback privados no host e personifiquem o hospedeiro. Outras desvantagens significativas são que não há como remapear uma porta de contêiner ao usar o modo de rede de `host`, e não é possível executar mais do que uma única instanciação de uma tarefa em cada host.

### Correção
<a name="ecs-17-remediation"></a>

Para obter informações sobre modos e opções de rede para tarefas do Amazon ECS hospedadas em instâncias do Amazon EC2, consulte [Opções de rede de tarefas do Amazon ECS para o tipo de execução do EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) no *Guia do desenvolvedor do Amazon Elastic Container Service*. Para obter informações sobre como criar uma nova revisão de uma definição de tarefa e especificar um modo de rede diferente, consulte [Atualização de uma definição de tarefa do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) nesse guia.

Se a definição de tarefa do Amazon ECS foi criada por AWS Batch, consulte [Modos de rede para AWS Batch trabalhos para](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) aprender sobre os modos de rede e o uso típico dos tipos de AWS Batch trabalho e escolher uma opção segura.

## [ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS
<a name="ecs-18"></a>

**Categoria:** Proteger > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a última revisão ativa de uma definição de tarefa do Amazon ECS usa criptografia em trânsito para volumes EFS. O controle falhará se a última revisão ativa da definição de tarefa do ECS tiver a criptografia em trânsito desativada para volumes EFS.

Os volumes do Amazon EFS fornecem armazenamento de arquivos compartilhado simples, escalável e persistente para uso com suas tarefas do Amazon ECS. O Amazon EFS comporta a criptografia de dados em trânsito com Transport Layer Security (TLS). Quando a criptografia de dados em trânsito é declarada como uma opção de montagem para o sistema de arquivos EFS, o Amazon EFS estabelece conexão de TLS segura com o sistema de arquivos EFS ao montar o sistema de arquivos.

### Correção
<a name="ecs-18-remediation"></a>

Para obter informações sobre como habilitar a criptografia em trânsito para Amazon ECS Task Definition com volumes EFS, consulte [Etapa 5: Criar uma definição de tarefa](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) no *Amazon Elastic Container Service Developer Guide*.

## [ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada
<a name="ecs-19"></a>

**Categoria:** Proteger > Proteção de dados

**Gravidade:** média

**Tipo de recurso:** `AWS::ECS::CapacityProvider`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um provedor de capacidade do Amazon ECS tem a proteção gerenciada de terminação ativada. O controle falhará se a proteção gerenciada de terminação não estiver habilitada em um provedor de capacidade ECS.

Provedores de capacidade do Amazon ECS gerenciam a escalabilidade da infraestrutura das tarefas dos clusters. Ao usar instâncias do Amazon EC2 para sua capacidade, você usa grupos do Auto Scaling para gerenciar as instâncias do EC2. A proteção gerenciada contra encerramento permite o ajuste de escala automático de cluster para controlar quais instâncias serão encerradas. Quando você usa a proteção gerenciada contra encerramento, o Amazon ECS encerra somente as instâncias do EC2 que não têm tarefas do Amazon ECS em execução.

**nota**  
Quando você usa a proteção contra encerramento gerenciada, a escalabilidade gerenciada também deve ser usada. Caso contrário, a proteção contra encerramento gerenciada não funcionará.

### Correção
<a name="ecs-19-remediation"></a>

Para habilitar a proteção gerenciada de rescisão para um provedor de capacidade do Amazon ECS, consulte [Atualização da proteção gerenciada de rescisão para provedores de capacidade do Amazon ECS no Guia](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) do *desenvolvedor do Amazon Elastic Container Service*.

## [ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux
<a name="ecs-20"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro > Restrições de acesso do usuário raiz

**Gravidade:** média

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a última revisão ativa de uma definição de tarefa do Amazon ECS configura os contêineres Linux para serem executados como usuários não root. O controle falhará se um usuário raiz padrão estiver configurado ou se a configuração do usuário estiver ausente em qualquer contêiner.

Quando os contêineres Linux são executados com privilégios de root, eles apresentam vários riscos de segurança significativos. Os usuários root têm acesso irrestrito ao contêiner. Esse acesso elevado aumenta o risco de ataques de fuga de contêineres, nos quais um invasor poderia sair do isolamento do contêiner e acessar o sistema hospedeiro subjacente. Se um contêiner executado como root for comprometido, os invasores poderão explorar isso para acessar ou modificar os recursos do sistema do host, afetando outros contêineres ou o próprio host. Além disso, o acesso root pode permitir ataques de escalonamento de privilégios, permitindo que os invasores obtenham permissões adicionais além do escopo pretendido do contêiner. O parâmetro de usuário nas definições de tarefas do ECS pode especificar usuários em vários formatos, incluindo nome de usuário, ID de usuário, nome de usuário com grupo ou UID com ID de grupo. É importante estar ciente desses vários formatos ao configurar as definições de tarefas para garantir que nenhum acesso root seja concedido inadvertidamente. Seguindo o princípio do privilégio mínimo, os contêineres devem ser executados com as permissões mínimas necessárias usando usuários não root. Essa abordagem reduz significativamente a superfície de ataque em potencial e mitiga o impacto de possíveis violações de segurança. 

**nota**  
Esse controle só avalia as definições de contêiner em uma definição de tarefa se `operatingSystemFamily` estiver configurado como `LINUX` ou `operatingSystemFamily` não configurado na definição da tarefa. O controle gerará uma `FAILED` descoberta para uma definição de tarefa avaliada se alguma definição de contêiner na definição da tarefa `user` não tiver sido configurada ou `user` configurada como usuário raiz padrão. Os usuários root padrão para `LINUX` contêineres são `"root"` `"0"` e.

### Correção
<a name="ecs-20-remediation"></a>

Para obter informações sobre como criar uma nova revisão de uma definição de tarefa do Amazon ECS e atualizar o `user` parâmetro na definição do contêiner, consulte [Atualização de uma definição de tarefa do Amazon ECS no Guia do desenvolvedor](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) do *Amazon Elastic Container Service*.

## [ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows
<a name="ecs-21"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro > Restrições de acesso do usuário raiz

**Gravidade:** média

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a última revisão ativa de uma definição de tarefa do Amazon ECS configura os contêineres do Windows para serem executados como usuários que não são administradores padrão. O controle falhará se um administrador padrão estiver configurado como usuário ou se a configuração do usuário estiver ausente em qualquer contêiner.

Quando os contêineres do Windows são executados com privilégios de administrador, eles apresentam vários riscos de segurança significativos. Os administradores têm acesso irrestrito ao contêiner. Esse acesso elevado aumenta o risco de ataques de fuga de contêineres, nos quais um invasor poderia sair do isolamento do contêiner e acessar o sistema hospedeiro subjacente.

**nota**  
Esse controle só avalia as definições de contêiner em uma definição de tarefa se `operatingSystemFamily` estiver configurado como `WINDOWS_SERVER` ou `operatingSystemFamily` não configurado na definição da tarefa. O controle gerará uma `FAILED` descoberta para uma definição de tarefa avaliada se alguma definição de contêiner na definição da tarefa `user` não tiver sido configurada ou `user` configurada como administrador padrão para `WINDOWS_SERVER` contêineres, ou seja,`"containeradministrator"`.

### Correção
<a name="ecs-21-remediation"></a>

Para obter informações sobre como criar uma nova revisão de uma definição de tarefa do Amazon ECS e atualizar o `user` parâmetro na definição do contêiner, consulte [Atualização de uma definição de tarefa do Amazon ECS no Guia do desenvolvedor](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) do *Amazon Elastic Container Service*.

# Controles de CSPM do Security Hub para Amazon EFS
<a name="efs-controls"></a>

Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Elastic File System (Amazon EFS). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS
<a name="efs-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.3.1, CIS AWS Foundations Benchmark v3.0.0/2.4.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o Amazon Elastic File System está configurado para criptografar os dados do arquivo usando AWS KMS. A verificação falhará nos seguintes casos.
+ `Encrypted` está definido como `false` na resposta do [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html).
+ A chave `KmsKeyId` na resposta do [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) não corresponde ao parâmetro `KmsKeyId` para [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html).

Observe que esse controle não usa o parâmetro `KmsKeyId` para [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html). Ele só verifica o valor de `Encrypted`.

Para obter uma camada de segurança adicional para os dados confidenciais no Amazon EFS, é necessário criar sistemas de arquivos criptografados. O Amazon EFS é compatível com criptografia de sistemas de arquivos em repouso. É possível ativar a criptografia em repouso ao criar um sistema de arquivos do Amazon EFS. Para obter mais informações sobre a criptografia Amazon EFS, consulte [Criptografia de dados no Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) no *Guia do usuário do Amazon Elastic File System*.

### Correção
<a name="efs-1-remediation"></a>

Para obter detalhes sobre como criptografar um novo sistema de arquivos do Amazon EFS [, consulte ](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html)Criptografar dados em repouso* no *Guia do usuário do Amazon Elastic File System.

## [EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
<a name="efs-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Backups

**Gravidade:** média

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) foram adicionados aos planos de backup em AWS Backup. O controle falhará se os sistemas de arquivos do Amazon EFS não estiverem incluídos nos planos de backup. 

Incluir sistemas de arquivos EFS nos planos de backup ajuda você a proteger seus dados contra exclusão e perda de dados.

### Correção
<a name="efs-2-remediation"></a>

Para habilitar backups automáticos para um sistema de arquivos Amazon EFS existente, consulte [Conceitos básicos 4: Criar backups automáticos do Amazon EFS](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html) no *Guia do desenvolvedor do AWS Backup *.

## [EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz
<a name="efs-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-6 (10)

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::EFS::AccessPoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os pontos de acesso do Amazon EFS estão configurados para impor um diretório raiz. O controle falhará se o valor de `Path` for definido como `/` (o diretório raiz padrão do sistema de arquivos).

Ao impor um diretório raiz, o cliente NFS usando o ponto de acesso utiliza o diretório raiz configurado no ponto de acesso em vez do diretório raiz do sistema de arquivos. A imposição de um diretório raiz para um ponto de acesso ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso só possam acessar arquivos do subdiretório especificado.

### Correção
<a name="efs-3-remediation"></a>

Para obter instruções sobre como aplicar um diretório raiz para um ponto de acesso do Amazon EFS, consulte [Aplicação de um diretório raiz com um ponto de acesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point) no *Guia do usuário do Amazon Elastic File System*. 

## [EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário
<a name="efs-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::EFS::AccessPoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os pontos de acesso do Amazon EFS estão configurados para executar uma identidade de usuário. Esse controle falhará se uma identidade de usuário POSIX não for definida durante a criação do ponto de acesso EFS.

Os pontos de acesso do Amazon EFS são pontos de entrada específicos da aplicação para um sistema de arquivos do EFS que facilitam o gerenciamento do acesso de aplicações a conjuntos de dados compartilhados. Os pontos de acesso podem impor uma identidade de usuário, inclusive grupos POSIX do usuário, para todas as solicitações do sistema de arquivamento feitas por meio do ponto de acesso. Os pontos de acesso também podem impor um diretório raiz diferente para o sistema de arquivamento fazendo com que clientes só possam acessar dados no diretório especificado ou em seus subdiretórios.

### Correção
<a name="efs-4-remediation"></a>

Para impor uma identidade de usuário para um ponto de acesso do Amazon EFS, consulte [Impor uma identidade de usuário usando um ponto de acesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points) no *Guia do usuário do Amazon Elastic File System*. 

## [EFS.5] Os pontos de acesso do EFS devem ser marcados
<a name="efs-5"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EFS::AccessPoint`

**AWS Config regra:** `tagged-efs-accesspoint` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um ponto de acesso do Amazon EFS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o ponto de acesso não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o ponto de acesso não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="efs-5-remediation"></a>

Para adicionar tags a um ponto de acesso do EFS, consulte [Tagging Amazon EFS resources](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html) no *Amazon Elastic File System User Guide*.

## [EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização
<a name="efs-6"></a>

**Categoria:** Proteger > Configuração de rede > Recursos não acessíveis ao público

**Gravidade:** média

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o destino de montagem do Amazon EFS está associado a sub-redes que atribuem endereços IP públicos na inicialização. O controle falhará se o destino de montagem estiver associado a sub-redes que atribuem endereços IP públicos na inicialização.

As sub-redes têm atributos que determinam se as interfaces de rede recebem automaticamente endereços IPv4 e IPv6 públicos. Para IPv4, esse atributo é definido como `TRUE` para sub-redes padrão e `FALSE` para sub-redes não padrão (com exceção das sub-redes não padrão criadas por meio do assistente de instância de inicialização do EC2, onde está definido como). `TRUE` Para IPv6, esse atributo é definido como `FALSE` para todas as sub-redes por padrão. Quando esses atributos são ativados, as instâncias executadas na sub-rede recebem automaticamente os endereços IP correspondentes (IPv4 ou IPv6) em sua interface de rede primária. Os destinos de montagem do Amazon EFS que são executados em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à interface de rede primária.

### Correção
<a name="efs-6-remediation"></a>

Para associar um destino de montagem existente a outra sub-rede, é necessário criar um novo destino de montagem em uma sub-rede que não atribua endereços IP na inicialização e, em seguida, remover o antigo destino de montagem. Para obter informações sobre o gerenciamento de destinos de montagem, consulte [Creating and managing mount targets and security groups](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) no *Amazon Elastic File System User Guide*. 

## [EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados
<a name="efs-7"></a>

**Categoria:** Recuperação > Resiliência > Backups ativados

**Gravidade:** média

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um sistema de arquivos do Amazon EFS tem backups automáticos habilitados. Esse controle falhará se o sistema de arquivos EFS não tiver backups automáticos habilitados.

Um backup de dados é uma cópia dos dados do sistema, da configuração ou da aplicação que é armazenada separa do original. Habilitar backups regulares ajuda a proteger dados valiosos contra eventos imprevistos, como falhas no sistema, ataques cibernéticos ou exclusões acidentais. Ter uma estratégia de backup robusta também facilita recuperações mais rápidas, continuidade dos negócios e tranquilidade diante da possível perda de dados.

### Correção
<a name="efs-7-remediation"></a>

Para obter informações sobre o uso AWS Backup de sistemas de arquivos EFS, consulte [Backup de sistemas de arquivos EFS](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) no *Guia do usuário do Amazon Elastic File System*.

## [EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso
<a name="efs-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.3.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um sistema de arquivos do Amazon EFS criptografa dados com AWS Key Management Service (AWS KMS). O controle falhará se um sistema de arquivos não for criptografado.

Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.

### Correção
<a name="efs-8-remediation"></a>

Para habilitar a criptografia em repouso de um novo sistema de arquivos do EFS, consulte [Encrypting data at rest](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) no *Amazon Elastic File System User Guide*.

# Controles CSPM do Security Hub para Amazon EKS
<a name="eks-controls"></a>

Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Elastic Kubernetes Service (Amazon EKS). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público
<a name="eks-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** alta

**Tipo de recurso:** `AWS::EKS::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um endpoint de cluster do Amazon EKS está acessível publicamente. O controle falhará se um cluster EKS tiver um endpoint acessível ao público.

Quando você cria um novo cluster, o Amazon EKS cria um endpoint para o servidor gerenciado de API do Kubernetes que é usado para comunicação com o cluster. Por padrão, esse endpoint do servidor de API está disponível publicamente na Internet. O acesso ao servidor da API é protegido usando uma combinação do AWS Identity and Access Management (IAM) e do Kubernetes Role Based Access Control (RBAC) nativo. Ao remover o acesso público ao endpoint, você pode evitar a exposição e o acesso não intencionais ao seu cluster.

### Correção
<a name="eks-1-remediation"></a>

Para modificar o acesso ao endpoint para um cluster EKS existente, consulte [Modificar o acesso ao endpoint do cluster](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) no **Guia do usuário do Amazon EKS**. É possível configurar o acesso ao endpoint para um novo cluster EKS ao criá-lo. Para obter instruções sobre como criar um novo cluster do Amazon EKS, consulte [Criar um cluster do Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html) no **Guia do usuário do Amazon EKS**. 

## [EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
<a name="eks-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, Nist.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** alta

**Tipo de recurso:** `AWS::EKS::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `oldestVersionSupported`: `1.33` (não personalizável)

Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. O controle falhará se o cluster do EKS for executado em uma versão não compatível.

Se a sua aplicação não exigir uma versão específica do Kubernetes, recomendamos que você use a versão do Kubernetes mais recente disponível compatível com o EKS para seus clusters. Para obter mais informações, consulte o [calendário de lançamento do Amazon EKS Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar) e o [Noções básicas sobre o ciclo de vida das versões do Kubernetes no Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation) no **Guia do usuário do Amazon EKS**.

### Correção
<a name="eks-2-remediation"></a>

Para atualizar um cluster do EKS, consulte [Atualização de um cluster existente para uma nova versão do Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html) no **Guia do usuário do Amazon EKS**. 

## [EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes
<a name="eks-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, PCI DSS v4.0.1/8.3.2

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::EKS::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um cluster do Amazon EKS usa segredos criptografados do Kubernetes. O controle falhará se os segredos do Kubernetes do cluster não forem criptografados.

Ao criptografar segredos, você pode usar as chaves AWS Key Management Service (AWS KMS) para fornecer criptografia de envelope dos segredos do Kubernetes armazenados no etcd para seu cluster. Essa criptografia é adicional à criptografia de volume do EBS que é habilitada por padrão para todos os dados (incluindo segredos) armazenados no etcd como parte de um cluster do EKS. Usar criptografia de segredos para o cluster do EKS permite implantar uma estratégia de defesa em profundidade para aplicações do Kubernetes, criptografando os segredos do Kubernetes com uma chave do KMS que você define e gerencia.

### Correção
<a name="eks-3-remediation"></a>

Para habilitar a criptografia de segredos em um cluster do EKS, consulte [Habilitar a criptografia de segredos em um cluster existente](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) no **Manual do usuário do Amazon EKS**. 

## [EKS.6] Os clusters do EKS devem ser marcados
<a name="eks-6"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EKS::Cluster`

**AWS Config regra:** `tagged-eks-cluster` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um cluster do Amazon EKS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="eks-6-remediation"></a>

Para adicionar tags a um cluster do EKS, consulte [Marcar recursos do Amazon EKS com tags](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) no **Manual do usuário do Amazon EKS**.

## [EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas
<a name="eks-7"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::EKS::IdentityProviderConfig`

**AWS Config regra:** `tagged-eks-identityproviderconfig` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se a configuração de um provedor de identidades do Amazon EKS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a configuração não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a configuração não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="eks-7-remediation"></a>

Para adicionar tags às configurações de um provedor de identidades EKS, consulte [Marcar recursos do Amazon EKS com tags](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) no **Manual do usuário do Amazon EKS**.

## [EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado
<a name="eks-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::EKS::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `logTypes: audit` (não personalizável)

Esse controle verifica se um cluster do Amazon EKS tem o registro em log de auditoria habilitado. O controle falhará se o registro em log de auditoria não estiver habilitado para o cluster.

**nota**  
Esse controle não verifica se o registro em log de auditoria do Amazon EKS é habilitado por meio do Amazon Security Lake para Conta da AWS.

O registro do plano de controle do EKS fornece registros de auditoria e diagnóstico diretamente do plano de controle do EKS para o Amazon CloudWatch Logs em sua conta. Você pode selecionar os tipos de registro necessários e os registros são enviados como fluxos de log para um grupo para cada cluster EKS em CloudWatch. O registro em log fornece visibilidade sobre o acesso e a performance dos clusters EKS. Ao enviar registros do plano de controle EKS para seus clusters EKS para o CloudWatch Logs, você pode registrar operações para fins de auditoria e diagnóstico em um local central.

### Correção
<a name="eks-8-remediation"></a>

Para habilitar registros em log de auditoria para seu cluster do EKS, consulte [Habilitação e desabilitação de logs do ambiente de gerenciamento](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export) no **Guia do usuário do Amazon EKS**. 

# Controles CSPM do Security Hub para ElastiCache
<a name="elasticache-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o ElastiCache serviço e os recursos da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
<a name="elasticache-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Backups ativados

**Gravidade:** alta

**Tipo de recurso:** `AWS::ElastiCache::CacheCluster`,`AWS:ElastiCache:ReplicationGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `snapshotRetentionPeriod`  |  Período mínimo de retenção de snapshot em dias  |  Inteiro  |  `1` para `35`  |  `1`  | 

Esse controle avalia se um cluster Amazon ElastiCache (Redis OSS) tem backups automáticos habilitados. O controle falhará se o `SnapshotRetentionLimit` para o cluster do Redis OSS for menor que o período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do snapshot, o Security Hub CSPM usa um valor padrão de 1 dia.

ElastiCache Os clusters (Redis OSS) podem fazer backup de seus dados. O backup pode ser usado para restaurar um cluster ou propagar um novo cluster. O backup consiste nos metadados do cluster, juntamente com todos os dados do cluster. Todos os backups são gravados no Amazon S3, que fornece armazenamento durável. Você pode restaurar seus dados criando um novo ElastiCache cluster e preenchendo-o com dados de um backup. Você pode gerenciar backups usando a Console de gerenciamento da AWS AWS CLI, a e a ElastiCache API.

**nota**  
Esse controle também avalia grupos de replicação ElastiCache (Redis OSS e Valkey).

### Correção
<a name="elasticache-1-remediation"></a>

Para obter informações sobre o agendamento de backups automáticos para um ElastiCache cluster, consulte [Programação de backups automáticos](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html) no Guia * ElastiCache do usuário da Amazon*.

## [ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas
<a name="elasticache-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5) PCI DSS v4.0.1/6.3.3

**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** alta

**Tipo de recurso:** `AWS::ElastiCache::CacheCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle avalia se a Amazon aplica ElastiCache automaticamente atualizações de versões menores a um cluster de cache. Esse controle falhará se o cluster de cache não aplicar automaticamente atualizações de versões secundárias.

**nota**  
Esse controle não se aplica aos clusters do ElastiCache Memcached.

A atualização automática de versões secundárias é um recurso que você pode ativar na Amazon ElastiCache para atualizar automaticamente seus clusters de cache quando uma nova versão secundária do mecanismo de cache estiver disponível. Essas atualizações podem incluir patches de segurança e correções de erros. Continuar up-to-date com a instalação do patch é uma etapa importante para proteger os sistemas.

### Correção
<a name="elasticache-2-remediation"></a>

Para aplicar automaticamente pequenas atualizações de versões a um cluster de ElastiCache cache existente, consulte [Gerenciamento de versões ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html) no *Guia do ElastiCache usuário da Amazon*.

## [ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado
<a name="elasticache-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um grupo de ElastiCache replicação tem o failover automático ativado. O controle falhará se o failover automático não estiver habilitado para um grupo de replicação.

Quando o failover automático é habilitado para um grupo de replicação, o perfil do nó primário fará failover automaticamente para uma das réplicas de leitura. O failover e a promoção de réplica garantem que você possa continuar a gravar no novo primário assim que a promoção estiver concluída, reduzindo o tempo de interrupção geral em caso de falha.

### Correção
<a name="elasticache-3-remediation"></a>

Para habilitar o failover automático para um grupo de ElastiCache replicação existente, consulte [Modificação de um ElastiCache cluster](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON) no Guia do usuário da *Amazon ElastiCache *. Se você usa o ElastiCache console, defina o **failover automático** como ativado.

## [ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso
<a name="elasticache-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um grupo de ElastiCache replicação está criptografado em repouso. O controle falhará se o grupo de replicação não for criptografado em repouso.

Criptografar dados em repouso reduz o risco de um usuário não autenticado ter acesso aos dados armazenados em disco. ElastiCache Os grupos de replicação (Redis OSS) devem ser criptografados em repouso para uma camada adicional de segurança.

### Correção
<a name="elasticache-4-remediation"></a>

Para configurar a criptografia em repouso em um grupo de ElastiCache replicação, consulte [Habilitar a criptografia em repouso no Guia](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable) do usuário da *Amazon ElastiCache *.

## [ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito
<a name="elasticache-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um grupo de ElastiCache replicação está criptografado em trânsito. O controle falhará se o grupo de replicação não for criptografado em trânsito.

Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede. A ativação da criptografia em trânsito em um grupo de ElastiCache replicação criptografa seus dados sempre que eles são movidos de um lugar para outro, como entre os nós do cluster ou entre o cluster e o aplicativo.

### Correção
<a name="elasticache-5-remediation"></a>

Para configurar a criptografia em trânsito em um grupo de ElastiCache replicação, consulte [Habilitar a criptografia em trânsito no Guia](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html) do usuário da *Amazon ElastiCache *.

## [ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado
<a name="elasticache-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.3.1

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um grupo de replicação ElastiCache (Redis OSS) tem o Redis OSS AUTH ativado. O controle falhará se a versão do Redis OSS dos nós do grupo de replicação for abaixo de 6.0 e o `AuthToken` não estiver em uso.

Ao usar os tokens de autenticação do Redis, ou senhas, o Redis exige uma senha antes de permitir que os clientes executem comandos, melhorando assim a segurança dos dados. Para o Redis 6.0 e versões posteriores, recomendamos o uso do Role-Based Access Control (RBAC — Controle de acesso baseado em perfil). Como o RBAC não é compatível com versões do Redis anteriores à 6.0, esse controle avalia apenas as versões que não podem usar o atributo RBAC.

### Correção
<a name="elasticache-6-remediation"></a>

*Para usar o Redis AUTH em um grupo de replicação ElastiCache (Redis OSS), consulte [Modificação do token AUTH em um cluster existente ElastiCache (Redis OSS) no](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token) Guia do usuário da Amazon. ElastiCache *

## [ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão
<a name="elasticache-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** alta

**Tipo de recurso:** `AWS::ElastiCache::CacheCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um ElastiCache cluster está configurado com um grupo de sub-rede personalizado. O controle falhará se `CacheSubnetGroupName` for um ElastiCache cluster tiver o valor`default`.

Ao iniciar um ElastiCache cluster, um grupo de sub-rede padrão é criado, caso ainda não exista um. O grupo padrão usa sub-redes da Nuvem privada virtual (VPC) padrão. Recomendamos usar grupos de sub-redes personalizados que sejam mais restritivos em relação às sub-redes em que o cluster reside e à rede que o cluster herda das sub-redes.

### Correção
<a name="elasticache-7-remediation"></a>

Para criar um novo grupo de sub-redes para um ElastiCache cluster, consulte [Criação de um grupo de sub-redes no Guia ElastiCache ](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html) *do usuário da Amazon*.

# Controles de CSPM do Security Hub para o Elastic Beanstalk
<a name="elasticbeanstalk-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS Elastic Beanstalk serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados
<a name="elasticbeanstalk-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

**Categoria:** Detectar > Serviços de detecção > Monitoramento de aplicativos

**Gravidade:** baixa

**Tipo de recurso:** `AWS::ElasticBeanstalk::Environment`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os relatórios de integridade aprimorados estão habilitados para seus ambientes AWS Elastic Beanstalk .

Os relatórios de saúde aprimorados do Elastic Beanstalk permitem uma resposta mais rápida às alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade do aplicativo.

Os relatórios de saúde aprimorados do Elastic Beanstalk fornecem um descritor de status para avaliar a gravidade dos problemas identificados e identificar possíveis causas a serem investigadas. O agente de saúde do Elastic Beanstalk, incluído nas Amazon Machine AMIs Images () suportadas, avalia registros e métricas de instâncias do ambiente. EC2

Para obter informações adicionais, consulte [Monitoramento e relatório de integridade aprimorada](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html) no *Guia do desenvolvedor do AWS Elastic Beanstalk *.

### Correção
<a name="elasticbeanstalk-1-remediation"></a>

Para obter instruções sobre como habilitar relatórios de saúde aprimorados, consulte [Habilitar relatórios de integridade aprimorada usando o console do Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console) no * Guia do desenvolvedor do AWS Elastic Beanstalk *.

## [ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas
<a name="elasticbeanstalk-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2,NIST.800-53.r5 SI-2(2),NIST.800-53.r5 SI-2(4),NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** alta

**Tipo de recurso:** `AWS::ElasticBeanstalk::Environment`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `UpdateLevel`  |  Nível de atualização da versão  |  Enum  |  `minor`, `patch`  |  Nenhum valor padrão  | 

Esse controle verifica se as atualizações da plataforma gerenciadas estão habilitadas para o ambiente do Elastic Beanstalk. O controle falhará se nenhuma atualização da plataforma gerenciada estiver habilitada. Por padrão, o controle passará se algum tipo de atualização da plataforma estiver habilitado. Opcionalmente, é possível fornecer um valor de parâmetro personalizado para exigir um nível de atualização específico.

A ativação das atualizações gerenciadas da plataforma garante que as correções, atualizações e recursos mais recentes da plataforma disponíveis para o ambiente sejam instalados. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas.

### Correção
<a name="elasticbeanstalk-2-remediation"></a>

Para permitir atualizações da plataforma gerenciadas, consulte [Para configurar atualizações da plataforma gerenciadas em Atualizações da plataforma gerenciadas](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html) no *Guia do desenvolvedor do AWS Elastic Beanstalk *.

## [ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
<a name="elasticbeanstalk-3"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** alta

**Tipo de recurso:** `AWS::ElasticBeanstalk::Environment`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `RetentionInDays`  |  Número de dias para manter eventos de log antes que expirem  |  Enum  |  `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653`   |  Nenhum valor padrão  | 

Esse controle verifica se um ambiente do Elastic Beanstalk está configurado para enviar registros para o Logs. CloudWatch O controle falhará se um ambiente do Elastic Beanstalk não estiver configurado para enviar registros para o Logs. CloudWatch Opcionalmente, é possível fornecer um valor personalizado para o parâmetro `RetentionInDays` se quiser que o controle passe somente se os logs forem retidos pelo número especificado de dias antes da expiração.

CloudWatch ajuda você a coletar e monitorar várias métricas para seus aplicativos e recursos de infraestrutura. Você também pode usar CloudWatch para configurar ações de alarme com base em métricas específicas. Recomendamos integrar o Elastic CloudWatch Beanstalk para obter maior visibilidade do seu ambiente do Elastic Beanstalk. Os logs do Elastic Beanstalk incluem o eb-activity.log, logs de acesso do ambiente nginx ou do servidor proxy Apache e logs específicos de um ambiente.

### Correção
<a name="elasticbeanstalk-3-remediation"></a>

*Para integrar o Elastic CloudWatch Beanstalk com o Logs[, consulte Streaming de registros de instâncias para CloudWatch registros](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming) no Guia do desenvolvedor.AWS Elastic Beanstalk *

# Controles CSPM do Security Hub para Elastic Load Balancing
<a name="elb-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Elastic Load Balancing. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS
<a name="elb-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3 NIST.800-53.r5 AC-4, 3, 3 NIST.800-53.r5 IA-5 (3), (4), NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) 

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o redirecionamento HTTP para HTTPS está configurado em todos os receptores HTTP dos Application Load Balancers. O controle falhará se algum dos receptores HTTP dos Application Load Balancers não tiver o redirecionamento de HTTP para HTTPS configurado.

Antes de começar a usar seu Application Load Balancer, é necessário adicionar ao menos um receptor. Um listener é um processo que usa o protocolo e a porta configurados para verificar solicitações de conexão. Os listeners oferecem suporte para os protocolos HTTP e HTTPS. É possível usar um listener HTTPS para descarregar o trabalho de criptografia e descriptografia para seu balanceador de cargas. Para executar a criptografia em trânsito, é necessário usar ações de redirecionamento com os Application Load Balancers para redirecionar uma solicitação HTTP do cliente para uma solicitação do HTTPS na porta 443.

Para saber mais, consulte [Receptores para seus Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html) no *Guia do usuário dos Application Load Balancers*.

### Correção
<a name="elb-1-remediation"></a>

Para redirecionar solicitações HTTP para HTTPS, é necessário adicionar uma regra de receptor do Application Load Balancer ou editar uma regra existente.

Para obter instruções sobre como adicionar uma nova regra, consulte [Adicionar uma regra](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule) no *Guia do usuário dos Application Load Balancers*. Para **Protocolo : Porta**, escolha **HTTP** e insira **80**. Em **Adicionar ação, Redirecionar para**, escolha **HTTPS** e, em seguida, insira **443**.

Para obter instruções sobre como adicionar uma nova regra, consulte [Adicionar uma regra](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule) no *Guia do usuário dos Application Load Balancers*. Para **Protocolo : Porta**, escolha **HTTP** e insira **80**. Em **Adicionar ação, Redirecionar para**, escolha **HTTPS** e, em seguida, insira **443**.

## [ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager
<a name="elb-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (5), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.8 NIST.800-53.r5 SC-8

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o Classic Load Balancer usa HTTPS/SSL certificados fornecidos pelo AWS Certificate Manager (ACM). O controle falhará se o Classic Load Balancer configurado com o HTTPS/SSL ouvinte não usar um certificado fornecido pelo ACM.

Para criar um certificado, você pode usar o ACM ou uma ferramenta que ofereça suporte aos protocolos SSL e TLS, como OpenSSL. O Security Hub CSPM recomenda que você use o ACM para criar ou importar certificados para seu balanceador de carga.

O ACM se integra aos Classic Load Balancers para que você possa implantar o certificado em seu balanceador de carga. Você também deve renovar automaticamente esses certificados.

### Correção
<a name="elb-2-remediation"></a>

Para obter informações sobre como associar um SSL/TLS certificado ACM a um Classic Load Balancer, consulte AWS o [artigo do Knowledge Center Como posso associar um certificado SSL/TLS ACM a um Classic, Application ou Network Load Balancer](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/)?

## Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS
<a name="elb-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (3), (4), NIST.800-53.r5 SC-1, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se seus receptores do Classic Load Balancer estão configurados com o protocolo HTTPS ou TLS para conexões front-end (cliente para balanceador de carga). O controle é aplicável se um Classic Load Balancer tiver receptores. Se o Classic Load Balancer não tiver um receptor configurado, o controle não relatará nenhuma descoberta.

O controle passa se os receptores do Classic Load Balancer estiverem configurados com TLS ou HTTPS para conexões front-end.

O controle falha se o receptor não estiver configurado com TLS ou HTTPS para conexões front-end.

Antes de começar a usar um balanceador de cargas, é necessário adicionar ao menos um receptor. Um listener é um processo que usa o protocolo e a porta configurados para verificar solicitações de conexão. Os ouvintes podem suportar tanto HTTP quanto HTTPS/TLS protocolos. É necessário sempre usar um receptor HTTPS ou TLS, para que o balanceador de carga faça o trabalho de criptografia e descriptografia em trânsito.

### Correção
<a name="elb-3-remediation"></a>

Para corrigir esse problema, atualize seus receptores para usar o protocolo TLS ou HTTPS.

**Para transformar todos os ouvintes não compatíveis em ouvintes TLS/HTTPS**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, em **Load Balancing**, selecione **Load Balancers**.

1. Selecione seu Classic Load Balancer.

1. Na guia **Listeners**, selecione **Editar**.

1. Para todos os receptores em que o **Protocolo balanceador de carga** não está definido como HTTPS ou SSL, altere a configuração para HTTPS ou SSL.

1. Para todos os receptores modificados, na guia **Certificados**, escolha **Alterar padrão**.

1. Em **Certificados do ACM e do IAM**, selecione um certificado.

1. Escolha **Salvar como padrão**.

1. Depois de atualizar todos os receptores, escolha **Salvar**.

## [ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos
<a name="elb-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/6.2.4

**Categoria:** Proteger > Segurança de rede

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle avalia seu um Application Load Balancers está configurado para descartar cabeçalhos HTTP inválidos. O controle falha se o valor de `routing.http.drop_invalid_header_fields.enabled` estiver definido como `false`.

Por padrão, os Application Load Balancers não estão configurados para eliminar valores de cabeçalho HTTP inválidos. A remoção desses valores de cabeçalho evita ataques de dessincronização de HTTP.

**nota**  
Recomendamos desabilitar esse controle se o ELB.12 estiver habilitado em sua conta. Para obter mais informações, consulte [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](#elb-12).

### Correção
<a name="elb-4-remediation"></a>

Para corrigir esse problema, configure seu balanceador de carga para eliminar campos de cabeçalho inválidos.

**Para configurar o balanceador de carga para eliminar campos de cabeçalho inválidos**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Load balancers**.

1. Escolha um Application Load Balancer

1. Em **Ações**, escolha **Editar atributos**.

1. Em **Eliminar campos de cabeçalho inválidos**, escolha **Habilitar**.

1. Escolha **Salvar**.

## [ELB.5] O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado
<a name="elb-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`,`AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o Application Load Balancer e o Classic Load Balancer têm o registro em log ativado. O controle falha se `access_logs.s3.enabled` for `false`.

O Elastic Load Balancing fornece logs de acesso que capturam informações detalhadas sobre as solicitações enviadas ao seu balanceador de carga. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. É possível usar esses logs de acesso para analisar padrões de tráfego e solucionar problemas. 

Para saber mais, consulte [Logs de acesso para seu Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) no *Guia do usuário dos Classic Load Balancers*.

### Correção
<a name="elb-5-remediation"></a>

Para ativar os registros de acesso, consulte [Etapa 3: Configurar logs de acesso](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) no *Guia do usuário dos Application Load Balancers*.

## [ELB.6] A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada
<a name="elb-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se seu Application, Gateway ou Network Load Balancer tem a proteção contra exclusão habilitada. O controle falhará se a proteção contra exclusão não estiver habilitada.

Habilite a proteção contra exclusão para proteger o Application, Gateway ou Network Load Balancer contra exclusão.

### Correção
<a name="elb-6-remediation"></a>

Para evitar que seu load balancer seja excluído acidentalmente, é possível ativar a proteção contra exclusão. Por padrão, a proteção contra exclusão está desativada para seu load balancer.

Se você ativar a proteção contra exclusão para o load balancer, deverá desativá-la antes de excluir o load balancer.

Para habilitar a proteção contra exclusão de um Application Load Balancer, consulte [Deletion protection](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection) no *Guia do usuário de Application Load Balancers*. Para habilitar a proteção contra exclusão de um balanceador de carga de gateway, consulte [Deletion protection](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection) no *User Guide for Application Load Balancers*. Para habilitar a proteção contra exclusão de um Network Load Balancer, consulte [Deletion protection](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection) no *Guia do usuário de Network Load Balancers*.

## [ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada
<a name="elb-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Recuperação > Resiliência

**Gravidade:** baixa

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config regra:** `elb-connection-draining-enabled` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os Classic Load Balancers têm drenagem da conexão habilitada.

Habilitar a drenagem da conexão em Classic Load Balancers garante que o balanceador de carga interromperá o envio de solicitações para instâncias cujo registro está sendo cancelado ou que não sejam íntegras. Ele mantém as conexões existentes abertas. Isso é particularmente útil para instâncias em grupos do Auto Scaling, para garantir que as conexões não sejam interrompidas abruptamente.

### Correção
<a name="elb-7-remediation"></a>

Para habilitar a drenagem da conexão em Classic Load Balancers, consulte [Configurar a drenagem da conexão para o Classic Load Balancer *no *Guia do usuário dos Classic Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html).

## [ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config
<a name="elb-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (3), (4), NIST.800-53.r5 SC-1, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `predefinedPolicyName`: `ELBSecurityPolicy-TLS-1-2-2017-01` (não personalizável)

Esse controle verifica se os HTTPS/SSL ouvintes do Classic Load Balancer usam a política predefinida. `ELBSecurityPolicy-TLS-1-2-2017-01` O controle falhará se os HTTPS/SSL ouvintes do Classic Load Balancer não usarem. `ELBSecurityPolicy-TLS-1-2-2017-01`

A política de segurança é uma combinação de protocolos SSL, cifras SSL e a opção Preferência de ordem do servidor. Políticas predefinidas controlam as cifras, os protocolos e as ordens de preferência a serem suportadas durante as negociações de SSL entre um cliente e um balanceador de carga.

O uso de `ELBSecurityPolicy-TLS-1-2-2017-01` pode ajudá-lo a atender aos padrões de conformidade e segurança que exigem a desativação de versões específicas de SSL e TLS. Para obter mais informações, consulte [Políticas de segurança SSL predefinidas para Classic Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html) no *Guia do usuário dos Classic Load Balancers*.

### Correção
<a name="elb-8-remediation"></a>

Para obter informações sobre como usar a política de segurança predefinida `ELBSecurityPolicy-TLS-1-2-2017-01` com um Classic Load Balancer, consulte [Definir configurações de segurança](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth) no *Guia do usuário dos Classic Load Balancers*.

## [ELB.9] Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado
<a name="elb-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o balanceamento de carga entre zonas está ativado para os Classic Load Balancers (). CLBs O controle falhará se o balanceamento de carga entre zonas não estiver habilitado para um CLB.

Um nó de load balancer distribui tráfego para destinos registrados somente na sua zona de disponibilidade. Quando o balanceamento de carga entre zonas estiver desabilitado, cada nó do load balancer distribuirá o tráfego somente para os destinos registrados na respectiva zona de disponibilidade. Se o número de destinos registrados não for o mesmo nas zonas de disponibilidade, o tráfego não será distribuído uniformemente e as instâncias em uma zona poderão acabar sendo superutilizadas em comparação com as instâncias em outra zona. Com o balanceamento de carga entre zonas, cada nó do balanceador de carga do seu Classic Load Balancer distribui solicitações uniformemente a todas as instâncias registradas em todas as zonas de disponibilidade habilitadas. Para detalhes, consulte [Balanceamento de carga entre zonas](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) no Guia do usuário do Elastic Load Balancing.

### Correção
<a name="elb-9-remediation"></a>

Para habilitar o balanceamento de carga entre zonas em um Classic Load Balancer, consulte [Habilitar balanceamento de carga entre zonas](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone) no *Guia do usuário dos Classic Load Balancers*.

## [ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
<a name="elb-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Número mínimo de zonas de disponibilidade  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Esse controle verifica se um Classic Load Balancer foi configurado para abranger pelo menos o número especificado de zonas de disponibilidade ()AZs. O controle falhará se o Classic Load Balancer não abranger pelo menos o número especificado de. AZs A menos que você forneça um valor de parâmetro personalizado para o número mínimo de AZs, o Security Hub CSPM usa um valor padrão de dois. AZs

 É possível configurar o Classic Load Balancer no Amazon EC2-Classic para distribuir as solicitações de entrada em instâncias EC2 em uma única Zona de disponibilidade ou em várias Zonas de disponibilidade. Um Classic Load Balancer que não abrange várias zonas de disponibilidade não consegue redirecionar o tráfego para destinos em outra zona de disponibilidade se a única zona de disponibilidade configurada ficar indisponível. 

### Correção
<a name="elb-10-remediation"></a>

 Para adicionar zonas de disponibilidade a um Classic Load Balancer, consulte [Adicionar ou remover sub-redes para seu Classic Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html) no *Guia do usuário de Classic Load Balancers*. 

## [ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso
<a name="elb-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4

**Categoria:** Proteção > Integridade dos dados

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `desyncMode`: `defensive, strictest` (não personalizável)

Esse controle verifica se um Application Load Balancer está configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso. O controle falhará se um Application Load Balancer não estiver configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso.

Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar os aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Por sua vez, essas vulnerabilidades podem levar ao preenchimento de credenciais ou à execução de comandos não autorizados. Os Application Load Balancers configurados com o modo defensivo ou de mitigação de dessincronização mais rigorosa protegem seu aplicativo contra problemas de segurança que podem ser causados pela dessincronização HTTP. 

### Correção
<a name="elb-12-remediation"></a>

Para atualizar o modo de mitigação de dessincronização de um Application Load Balancer, consulte [Modo de mitigação de dessincronização](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode) no *Guia do usuário dos Application Load Balancers*. 

## [ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade
<a name="elb-13"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade 

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Número mínimo de zonas de disponibilidade  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Esse controle verifica se um Elastic Load Balancer V2 (Load Balancer de aplicativo, rede ou gateway) registrou instâncias de pelo menos o número especificado de zonas de disponibilidade (). AZs O controle falhará se um Elastic Load Balancer V2 não tiver instâncias registradas em pelo menos o número especificado de. AZs A menos que você forneça um valor de parâmetro personalizado para o número mínimo de AZs, o Security Hub CSPM usa um valor padrão de dois. AZs

O Elastic Load Balancing distribui automaticamente seu tráfego de entrada entre vários destinos, como instâncias do EC2, contêineres e endereços IP, em uma ou mais zonas de disponibilidade. O Elastic Load Balancing escala seu balanceador de carga conforme seu tráfego de entrada muda com o tempo. É recomendável configurar pelo menos duas zonas de disponibilidade para garantir a disponibilidade dos serviços, pois o Elastic Load Balancer poderá direcionar o tráfego para outra zona de disponibilidade se uma ficar indisponível. Ter várias zonas de disponibilidade configuradas ajudará a eliminar um único ponto de falha para o aplicativo. 

### Correção
<a name="elb-13-remediation"></a>

Para adicionar uma zona de disponibilidade a um Application Load Balancer, consulte [Zonas de disponibilidade para Application Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html) no *Guia do usuário dos Application Load Balancers*. Para criar uma Zona de disponibilidade em um Network Load Balancer load balancer de rede, consulte [Conceitos básicos sobre load balancers de rede](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones) no *Guia do usuário do load balancer de rede*. Para adicionar uma zona de disponibilidade a um Gateway Load Balancer, consulte [Criar um Gateway Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html) no *Guia do usuário dos Gateway Load Balancers*. 

## O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso
<a name="elb-14"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4

**Categoria:** Proteção > Integridade dos dados

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `desyncMode`: `defensive, strictest` (não personalizável)

Esse controle verifica se um Classic Load Balancer está configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso. O controle falhará se um Classic Load Balancer não estiver configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso.

Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar os aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Por sua vez, essas vulnerabilidades podem levar ao sequestro de credenciais ou à execução de comandos não autorizados. Os Classic Load Balancers configurados com o modo defensivo ou de mitigação de dessincronização mais rigorosa protegem seu aplicativo contra problemas de segurança que podem ser causados pela dessincronização HTTP. 

### Correção
<a name="elb-14-remediation"></a>

Para atualizar o modo de mitigação de dessincronização de um Classic Load Balancer, consulte [Modo de mitigação de dessincronização](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode) no *Guia do usuário dos Classic Load Balancers*. 

## [ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma ACL da web AWS WAF
<a name="elb-16"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21)

**Categoria:** Proteger > Serviços de proteção

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um Application Load Balancer está associado a uma lista de controle de acesso AWS WAF clássica ou à AWS WAF web (web ACL). O controle falhará se o `Enabled` campo da AWS WAF configuração estiver definido como`false`.

AWS WAF é um firewall de aplicativos da Web que ajuda a proteger os aplicativos da Web e APIs contra ataques. Com AWS WAF, você pode configurar uma ACL da web, que é um conjunto de regras que permite, bloqueia ou conta solicitações da web com base nas regras e condições de segurança da web personalizáveis que você define. Recomendamos associar seu Application Load Balancer a AWS WAF uma ACL da web para ajudar a protegê-lo contra ataques maliciosos.

### Correção
<a name="elb-16-remediation"></a>

*Para associar um Application Load Balancer a uma ACL da web, consulte Como [associar ou desassociar uma ACL da web a um recurso](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html) no Guia do desenvolvedor. AWS AWS WAF * 

## [ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas
<a name="elb-17"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::Listener`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:** `sslPolicies`: `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` (não personalizável)

Esse controle verifica se o receptor de HTTPS para um Application Load Balancer ou o receptor de TLS para um Network Load Balancer está configurado para criptografar dados em trânsito usando uma política de segurança recomendada. O controle falhará se o receptor de HTTPS ou de TLS de um balanceador de carga não for configurado para usar uma política de segurança recomendada.

O Elastic Load Balancing usa uma configuração de negociação SSL, conhecida como uma *política de segurança*, para negociar conexões entre um cliente e um balanceador de carga. A política de segurança especifica uma combinação de cifras e protocolos. O protocolo estabelece uma conexão segura entre um cliente e um servidor. Uma cifra é um algoritmo criptográfico que usa chaves de criptografia para criar uma mensagem codificada. Durante o processo de negociação de conexão, o cliente e o load balancer apresentam uma lista de cifras e protocolos que cada um suporta, em ordem de preferência. Usar uma política de segurança recomendada para um balanceador de carga pode ajudar você a atender aos padrões de conformidade e segurança.

### Correção
<a name="elb-17-remediation"></a>

Para obter informações sobre as políticas de segurança recomendadas e como atualizar os receptores, consulte as seções a seguir dos *Guias do usuário do Elastic Load Balancing*: [Políticas de segurança para Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html), [Políticas de segurança para Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html), [Atualização de um receptor de HTTPS para seu Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html) e [Atualização de um receptor para seu Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html).

## [ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito
<a name="elb-18"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::Listener`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o receptor de um Application Load Balancer ou Network Load Balancer está configurado para usar um protocolo seguro para a criptografia de dados em trânsito. O controle falhará se um receptor do Application Load Balancer não estiver configurado para usar o protocolo HTTPS ou se um receptor do Network Load Balancer não estiver configurado para usar o protocolo TLS.

Para criptografar dados transmitidos entre um cliente e um balanceador de carga, os receptores do Elastic Load Balancer devem ser configurados para usar protocolos de segurança padrão do setor: HTTPS para Application Load Balancers ou TLS para Network Load Balancers. Caso contrário, os dados transmitidos entre um cliente e um balanceador de carga ficam vulneráveis a interceptação, adulteração e acesso não autorizado. O uso de HTTPS ou TLS por um receptor alinha-se às práticas recomendadas de segurança e ajuda a garantir a confidencialidade e a integridade dos dados durante a transmissão. Isso é particularmente importante para aplicações que lidem com informações sensíveis ou precisem estar em conformidade com padrões de segurança que exijam criptografia de dados em trânsito.

### Correção
<a name="elb-18-remediation"></a>

Para obter informações sobre como configurar protocolos de segurança para receptores, consulte as seções a seguir dos *Guias do usuário do Elastic Load Balancing*: [Criação de um ouvinte de HTTPS para seu Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html) e [Criação de um ouvinte para seu Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html).

## [ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados
<a name="elb-21"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o grupo-alvo das verificações de integridade do balanceador de carga do aplicativo e da rede usa um protocolo de transporte criptografado. O controle falhará se o protocolo de verificação de integridade não usar HTTPS. Esse controle não é aplicável aos tipos de alvo Lambda.

 Os balanceadores de carga enviam solicitações de verificação de integridade aos alvos registrados para determinar seu status e rotear o tráfego adequadamente. O protocolo de verificação de integridade especificado na configuração do grupo-alvo determina como essas verificações são realizadas. Quando os protocolos de verificação de integridade usam comunicação não criptografada, como HTTP, as solicitações e respostas podem ser interceptadas ou manipuladas durante a transmissão. Isso permite que os invasores obtenham informações sobre a configuração da infraestrutura, alterem os resultados da verificação de integridade ou conduzam man-in-the-middle ataques que afetam as decisões de roteamento. O uso de HTTPS para verificações de saúde fornece comunicação criptografada entre o balanceador de carga e seus alvos, protegendo a integridade e a confidencialidade das informações de status de saúde.

### Correção
<a name="elb-21-remediation"></a>

Para configurar verificações de saúde criptografadas para seu grupo-alvo do Application Load Balancer, consulte [Atualizar as configurações de verificação de saúde de um grupo-alvo do Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html) no Guia do Usuário do *Elastic Load Balancing*. Para configurar verificações de saúde criptografadas para seu grupo-alvo do Network Load Balancer, consulte [Atualizar as configurações de verificação de saúde de um grupo-alvo do Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html) no Guia do Usuário do *Elastic Load Balancing*.

## [ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados
<a name="elb-22"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um grupo-alvo do Elastic Load Balancing usa um protocolo de transporte criptografado. Esse controle não se aplica a grupos-alvo com um tipo de alvo de Lambda ou ALB, ou grupos-alvo que usam o protocolo GENEVE. O controle falhará se o grupo-alvo não usar o protocolo HTTPS, TLS ou QUIC.

 A criptografia de dados em trânsito os protege da interceptação por usuários não autorizados. Os grupos-alvo que usam protocolos não criptografados (HTTP, TCP, UDP) transmitem dados sem criptografia, tornando-os vulneráveis à espionagem. O uso de protocolos criptografados (HTTPS, TLS, QUIC) garante que os dados transmitidos entre balanceadores de carga e destinos sejam protegidos.

### Correção
<a name="elb-22-remediation"></a>

Para usar um protocolo criptografado, você deve criar um novo grupo-alvo com o protocolo HTTPS, TLS ou QUIC. O protocolo do grupo-alvo não pode ser modificado após a criação. Para criar um grupo-alvo do Application Load Balancer, consulte [Criar um grupo-alvo para seu Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html) Balancer no Guia do Usuário do *Elastic Load Balancing*. Para criar um grupo-alvo do Network Load Balancer, consulte [Criar um grupo-alvo para seu Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html) Balancer no Guia do Usuário do *Elastic Load Balancing*. 

# Security Hub CSPM para Elasticsearch
<a name="es-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Elasticsearch.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
<a name="es-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se os domínios do Elasticsearch têm a configuração da criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada.

Para uma camada adicional de segurança para seus dados confidenciais OpenSearch, você deve configurá-los OpenSearch para serem criptografados em repouso. Os domínios do Elasticsearch oferecem criptografia de dados em repouso. O recurso é usado AWS KMS para armazenar e gerenciar suas chaves de criptografia. Para executar a criptografia, ele usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).

Para saber mais sobre OpenSearch criptografia em repouso, consulte [Criptografia de dados em repouso para o Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) no *Amazon OpenSearch Service Developer Guide*.

Certos tipos de instâncias, como `t.small` e `t.medium`, não oferecem suporte à criptografia de dados em repouso. Para obter detalhes, consulte [Tipos de instância compatíveis](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) no *Amazon OpenSearch Service Developer Guide*.

### Correção
<a name="es-1-remediation"></a>

Para habilitar a criptografia em repouso para domínios novos e existentes do Elasticsearch, consulte [Habilitar a criptografia de dados em repouso no](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) *Amazon OpenSearch Service* Developer Guide.

## [ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
<a name="es-2"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16), (20), (21), (3), (4), (9) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura > Recursos na VPC 

**Gravidade:** crítica

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se os domínios do Elasticsearch estão em uma VPC. Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. É necessário garantir que os domínios do Elasticsearch não estejam anexados a sub-redes públicas. Consulte as [políticas baseadas em recursos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) no *Amazon OpenSearch Service Developer Guide*. Você também deve garantir que a VPC esteja configurada de acordo com as melhores práticas recomendadas. Para saber mais, consulte [Grupos de segurança para a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) no *Guia do usuário do Amazon VPC*.

Os domínios do Elasticsearch implantados em uma VPC podem se comunicar com os recursos da VPC pela rede AWS privada, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. VPCs forneça vários controles de rede para proteger o acesso aos domínios do Elasticsearch, incluindo ACL de rede e grupos de segurança. O Security Hub CSPM recomenda que você migre domínios públicos do Elasticsearch VPCs para aproveitar esses controles.

### Correção
<a name="es-2-remediation"></a>

Se você criar um domínio com um endpoint público, não será possível colocá-lo em uma VPC posteriormente. Em vez disso, é necessário criar um novo domínio e migrar seus dados. O inverso também é verdadeiro. Se você criar um domínio com uma VPC, ele não poderá ter um endpoint público. Em vez disso, é necessário [criar outro domínio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) ou desabilitar esse controle.

Consulte [Lançamento de seus domínios do Amazon OpenSearch Service em uma VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) no * OpenSearch Amazon Service* Developer Guide.

## [ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
<a name="es-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um domínio do Elasticsearch tem node-to-node criptografia habilitada. O controle falhará se o domínio Elasticsearch não tiver a node-to-node criptografia habilitada. O controle também produz descobertas malsucedidas se uma versão do Elasticsearch não oferecer suporte a verificações de node-to-node criptografia. 

O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores espionem ou manipulem o tráfego da rede usando ataques similares. person-in-the-middle Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Habilitar a node-to-node criptografia para domínios do Elasticsearch garante que as comunicações dentro do cluster sejam criptografadas em trânsito.

Pode haver uma penalidade de performance associada a essa configuração. É necessário estar ciente e testar a compensação de performance antes de habilitar essa opção. 

### Correção
<a name="es-3-remediation"></a>

Para obter informações sobre como habilitar a node-to-node criptografia em domínios novos e existentes, consulte [Habilitar a node-to-node criptografia](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) no *Amazon OpenSearch Service Developer Guide*.

## [ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
<a name="es-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificar – Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `logtype = 'error'` (não personalizável)

Esse controle verifica se os domínios do Elasticsearch estão configurados para enviar registros de erros para o Logs. CloudWatch 

Você deve habilitar os registros de erros para os domínios do Elasticsearch e enviá-los aos Logs para CloudWatch retenção e resposta. Os logs de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.

### Correção
<a name="es-4-remediation"></a>

Para obter informações sobre como habilitar a publicação de registros, consulte [Habilitando a publicação de registros (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) no *Amazon OpenSearch Service Developer Guide*.

## [ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado
<a name="es-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regra:** `elasticsearch-audit-logging-enabled` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `cloudWatchLogsLogGroupArnList` (não personalizável). O CSPM do Security Hub não preenche esse parâmetro. Lista separada por vírgulas de grupos de CloudWatch registros de registros que devem ser configurados para registros de auditoria.

  Essa regra é válida `NON_COMPLIANT` se o grupo de CloudWatch registros de registros do domínio Elasticsearch não estiver especificado nessa lista de parâmetros.

Esse controle verifica se os domínios do Elasticsearch têm o registro em log de auditoria ativado. Esse controle falhará se um domínio do Elasticsearch não tiver o registro em log de auditoria ativado. 

Os registros em log de auditoria são altamente personalizáveis. Eles permitem que você acompanhe a atividade do usuário em seus clusters do Elasticsearch, incluindo sucessos e falhas de autenticação, solicitações, alterações de indexação e consultas de pesquisa recebidas. OpenSearch

### Correção
<a name="es-5-remediation"></a>

Para obter instruções detalhadas sobre como habilitar registros de auditoria, consulte [Habilitar registros de auditoria](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) no *Amazon OpenSearch Service Developer Guide*.

## [ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados
<a name="es-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regra:** `elasticsearch-data-node-fault-tolerance` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os domínios do Elasticsearch estão configurados com pelo menos três nós de dados e `zoneAwarenessEnabled` é `true`.

Um domínio do Elasticsearch requer pelo menos três nós de dados para alta disponibilidade e tolerância a falhas. A implantação de um domínio do Elasticsearch com pelo menos três nós de dados garante as operações do cluster se um nó falhar.

### Correção
<a name="es-6-remediation"></a>

**Para modificar o número de nós de dados em um domínio do Elasticsearch**

1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Em **Domínios**, escolha o nome do domínio que você deseja editar.

1. Selecione **Edit domain (Editar domínio)**.

1. Em **Nós de dados**, defina **Número de nós** como um número maior ou igual a `3`.

   Para três implantações de zona de disponibilidade, defina um múltiplo de três para garantir uma distribuição igual entre as zonas de disponibilidade.

1. Selecione **Enviar**.

## [ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados
<a name="es-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regra:** `elasticsearch-primary-node-fault-tolerance` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os domínios do Elasticsearch estão configurados com pelo menos três nós primários dedicados. Esse controle indicará falha se o domínio não usar nós primários dedicados. Esse controle indicará sucesso se os domínios do Elasticsearch tiverem cinco nós primários dedicados. Porém, usar mais de três nós primários pode ser desnecessário para reduzir o risco de disponibilidade e resultará em custos adicionais.

Um domínio do Elasticsearch requer pelo menos três nós primários dedicados para garantir alta disponibilidade e tolerância a falhas. Os recursos dedicados do nó primário podem ser sobrecarregados durante blue/green as implantações dos nós de dados porque há nós adicionais para gerenciar. A implantação de um domínio do Elasticsearch com pelo menos três nós primários dedicados garante suficiente capacidade de recursos dos nós primários e operações do cluster se um nó falhar.

### Correção
<a name="es-7-remediation"></a>

**Para modificar o número de nós primários dedicados em um OpenSearch domínio**

1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Em **Domínios**, escolha o nome do domínio que você deseja editar.

1. Selecione **Edit domain (Editar domínio)**.

1. Em **Nós principais dedicados**, defina o **Tipo de instância** como o tipo de instância desejado.

1. Defina o **Número de nós principais** igual a três ou mais.

1. Selecione **Enviar**.

## [ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente
<a name="es-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regra:** `elasticsearch-https-required` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um endpoint de domínio do Elasticsearch está configurado para usar a política de segurança TLS mais recente. O controle falhará se o endpoint do domínio Elasticsearch não estiver configurado para usar a política mais recente suportada ou se HTTPs não estiver habilitado. A política de segurança TLS mais recente compatível atualmente é a `Policy-Min-TLS-1-2-PFS-2023-10`.

O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS. O TLS 1.2 fornece vários aprimoramentos de segurança em relação às versões anteriores do TLS.

### Correção
<a name="es-8-remediation"></a>

Para habilitar a criptografia TLS, use a operação da API [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) para configurar o objeto [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html). Isso define a `TLSSecurityPolicy`.

## [ES.9] Os domínios do Elasticsearch devem ser marcados
<a name="es-9"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regra:** `tagged-elasticsearch-domain` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um domínio do Elasticsearch tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o domínio não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o domínio não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="es-9-remediation"></a>

Para adicionar tags a um domínio do Elasticsearch, consulte Como [trabalhar com tags](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) no *Amazon OpenSearch Service Developer Guide*.

# Controles de CSPM do Security Hub para Amazon EMR
<a name="emr-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon EMR (anteriormente chamado de Amazon Elastic MapReduce). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos
<a name="emr-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, 1, (7), (21),, (11), (16), (20)), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** alta

**Tipo de recurso:** `AWS::EMR::Cluster`

**AWS Config regra: emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se os nós principais nos clusters do Amazon EMR têm endereços IP públicos. O controle falhará se os endereços IP públicos estiverem associados a qualquer uma das instâncias do nó principal.

Os endereços IP públicos são designados no campo `PublicIp` da configuração `NetworkInterfaces` da instância. Esse controle verifica somente os clusters do Amazon EMR que estão em um estado `RUNNING` ou `WAITING`.

### Correção
<a name="emr-1-remediation"></a>

Durante a execução, você pode controlar se sua instância em uma sub-rede padrão ou não padrão recebe um endereço público IPv4 . Por padrão, as sub-redes padrão têm esse atributo definido como `true`. As sub-redes não padrão têm o atributo de endereçamento IPv4 público definido como`false`, a menos que tenham sido criadas pelo assistente de instância de EC2 inicialização da Amazon. Nesse caso, o atributo é definido como `true`.

Após o lançamento, você não pode desassociar manualmente um IPv4 endereço público da sua instância.

Para corrigir uma falha na descoberta, você deve iniciar um novo cluster em uma VPC com uma sub-rede privada que tenha IPv4 o atributo de endereçamento público definido como. `false` Para obter instruções, consulte [Executar clusters em uma VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) no *Guia de gerenciamento do Amazon EMR*.

## [EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada
<a name="emr-2"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21) NIST.800-53.r5 AC-4,,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

**Gravidade:** crítica

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se sua conta está configurada com o bloqueio de acesso público do Amazon EMR. O controle falhará se a configuração de bloqueio de acesso público não estiver habilitada ou se qualquer porta diferente da porta 22 for permitida.

O bloqueio de acesso público do Amazon EMR impede que você inicie um cluster em uma sub-rede pública se o cluster tiver uma configuração de segurança que permita tráfego de entrada de endereços IP públicos em uma porta. Quando um usuário de sua Conta da AWS inicia um cluster, o Amazon EMR verifica as regras de porta no grupo de segurança do cluster e as compara com as regras de tráfego de entrada. Se o grupo de segurança tiver uma regra de entrada que abre portas para os endereços IP públicos IPv4 0.0.0.0/0 ou IPv6 : :/0, e essas portas não forem especificadas como exceções para sua conta, o Amazon EMR não permitirá que o usuário crie o cluster.

**nota**  
O bloqueio de acesso público é habilitado por padrão. Para aumentar a proteção da conta, é recomendável mantê-la habilitada.

### Correção
<a name="emr-2-remediation"></a>

Para configurar o bloqueio de acesso público para o Amazon EMR, consulte [Uso do bloqueio de acesso público do Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) no *Guia de gerenciamento do Amazon EMR*.

## [EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
<a name="emr-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CP-9 (8), NIST.800-53.r5 SI-12

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::EMR::SecurityConfiguration`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Este controle verifica se uma configuração de segurança do Amazon EMR tem a criptografia em repouso habilitada. O controle falhará se a configuração de segurança não habilitar a criptografia em repouso.

Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.

### Correção
<a name="emr-3-remediation"></a>

Para habilitar a criptografia em repouso em uma configuração de segurança do Amazon EMR, consulte [Configuração da criptografia de dados](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) no *Guia de gerenciamento do Amazon EMR*.

## [EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
<a name="emr-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8,, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::EMR::SecurityConfiguration`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Este controle verifica se uma configuração de segurança do Amazon EMR tem a criptografia em trânsito habilitada. O controle falhará se a configuração de segurança não habilitar a criptografia em trânsito.

Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.

### Correção
<a name="emr-4-remediation"></a>

Para habilitar a criptografia em trânsito em uma configuração de segurança do Amazon EMR, consulte [Configuração da criptografia de dados](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) no *Guia de gerenciamento do Amazon EMR*.

# Controles CSPM do Security Hub para EventBridge
<a name="eventbridge-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o EventBridge serviço e os recursos da Amazon.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
<a name="eventbridge-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Events::EventBus`

**AWS Config regra:** `tagged-events-eventbus` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um barramento de EventBridge eventos da Amazon tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o barramento de eventos não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o barramento de eventos não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="eventbridge-2-remediation"></a>

Para adicionar tags a um ônibus de EventBridge eventos, consulte as [ EventBridge tags da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) no *Guia EventBridge do usuário da Amazon*.

## [EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada
<a name="eventbridge-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7),,, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/10.3.1

**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Events::EventBus`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um barramento de eventos EventBridge personalizado da Amazon tem uma política baseada em recursos anexada. Esse controle falhará se o barramento de eventos personalizado não tiver uma política baseada em recursos.

Por padrão, um barramento de eventos EventBridge personalizado não tem uma política baseada em recursos anexada. Isso permite que as entidades principais na conta acessem o barramento de eventos. Ao vincular uma política baseada em recursos ao barramento de eventos, você pode limitar o acesso ao barramento de eventos a contas especificadas, bem como conceder acesso intencional a entidades em outra conta.

### Correção
<a name="eventbridge-3-remediation"></a>

*Para anexar uma política baseada em recursos a um barramento de eventos EventBridge personalizado, consulte [Usando políticas baseadas em recursos para a Amazon no Guia EventBridge do usuário](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html) da Amazon. EventBridge *

## [EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
<a name="eventbridge-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::Events::Endpoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a replicação de eventos está habilitada para um endpoint EventBridge global da Amazon. O controle falhará se a replicação de eventos não estiver habilitada para um endpoint global.

Os endpoints globais ajudam a tornar seu aplicativo tolerante a falhas regionais. Para começar, você atribui uma verificação de integridade do Amazon Route 53 ao endpoint. Quando o failover é iniciado, a verificação de integridade relata um estado “não íntegro”. Poucos minutos após o início do failover, todos os eventos personalizados são roteados para um barramento de eventos na região secundária e processados por esse barramento de eventos. Ao usar endpoints globais, você pode ativar a replicação de eventos. A replicação de eventos envia todos os eventos personalizados para os barramentos de eventos nas regiões primária e secundária usando regras gerenciadas. Recomendamos ativar a replicação de eventos ao configurar endpoints globais. A replicação de eventos ajuda você a verificar se seus endpoints globais estão configurados corretamente. A replicação de eventos é necessária para se recuperar automaticamente de um evento de failover. Se você não tiver a replicação de eventos ativada, precisará redefinir manualmente a verificação de integridade do Route 53 para “íntegra” antes que os eventos sejam redirecionados de volta para a região principal.

**nota**  
Se você estiver usando um barramento de eventos personalizado, precisará de um barramento uniforme personalizado em cada região com o mesmo nome e na mesma conta para que o failover funcione corretamente. Habilitar a replicação de eventos pode aumentar seu custo mensal. Para obter informações sobre preços, consulte [ EventBridge Preços da Amazon](https://aws.amazon.com/eventbridge/pricing/).

### Correção
<a name="eventbridge-4-remediation"></a>

Para habilitar a replicação de eventos para endpoints EventBridge globais, consulte [Criar um endpoint global](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint) no Guia do usuário da *Amazon EventBridge *. Em **Replicação de eventos**, selecione **Replicação de eventos ativada**.

# Controles de CSPM do Security Hub para o Amazon Fraud Detector
<a name="frauddetector-controls"></a>

Esses controles CSPM do Security Hub avaliam o serviço e os recursos do Amazon Fraud Detector.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
<a name="frauddetector-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::FraudDetector::EntityType`

**Regra do AWS Config :** `frauddetector-entity-type-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um tipo de entidade do Amazon Fraud Detector tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o tipo de entidade não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o tipo de entidade não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="frauddetector-1-remediation"></a>

**Para adicionar tags a um tipo de entidade do Amazon Fraud Detector (console)**

1. Abra o console do Amazon Fraud Detector em [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)

1. No painel de navegação, escolha **Entidades**.

1. Selecione um tipo de entidade na lista.

1. Na seção **tags de tipos de entidades**, escolha **Gerenciar tags**.

1. Selecione **Adicionar nova tag**. Insira a chave e o valor da tag. Repita o procedimento para pares de chave-valor adicionais.

1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.

## [FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
<a name="frauddetector-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::FraudDetector::Label`

**Regra do AWS Config :** `frauddetector-label-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um rótulo do Amazon Fraud Detector tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o rótulo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o rótulo não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="frauddetector-2-remediation"></a>

**Para adicionar tags a um rótulo do Amazon Fraud Detector (console)**

1. Abra o console do Amazon Fraud Detector em [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)

1. No painel de navegação, escolha **Rótulos**.

1. Selecione um rótulo na lista.

1. Na seção **tags de rótulos**, escolha **Gerenciar tags**.

1. Selecione **Adicionar nova tag**. Insira a chave e o valor da tag. Repita o procedimento para pares de chave-valor adicionais.

1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.

## [FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
<a name="frauddetector-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::FraudDetector::Outcome`

**Regra do AWS Config :** `frauddetector-outcome-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um resultado do Amazon Fraud Detector tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o resultado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o resultado não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="frauddetector-3-remediation"></a>

**Para adicionar tags a um resultado do Amazon Fraud Detector (console)**

1. Abra o console do Amazon Fraud Detector em [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)

1. No painel de navegação, escolha **Resultados**.

1. Selecione um resultado na lista.

1. Na seção **tags de resultados**, escolha **Gerenciar tags**.

1. Selecione **Adicionar nova tag**. Insira a chave e o valor da tag. Repita o procedimento para pares de chave-valor adicionais.

1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.

## [FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
<a name="frauddetector-4"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::FraudDetector::Variable`

**Regra do AWS Config :** `frauddetector-variable-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma variável do Amazon Fraud Detector tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se a variável não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a variável não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="frauddetector-4-remediation"></a>

**Para adicionar tags a uma variável do Amazon Fraud Detector (console)**

1. Abra o console do Amazon Fraud Detector em [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)

1. No painel de navegação, escolha **Variáveis**.

1. Selecione uma variável na lista.

1. Na seção **tags de variáveis**, escolha **Gerenciar tags**.

1. Selecione **Adicionar nova tag**. Insira a chave e o valor da tag. Repita o procedimento para pares de chave-valor adicionais.

1. Quando terminar de adicionar tags, selecione **Save (Salvar)**.

# Controles CSPM do Security Hub para Amazon FSx
<a name="fsx-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o FSx serviço e os recursos da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes
<a name="fsx-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um sistema de arquivos Amazon FSx for OpenZFS está configurado para copiar tags para backups e volumes. O controle falhará se o sistema de arquivos OpenZFS não estiver configurado para copiar tags para backups e volumes.

A identificação e o inventário de seus ativos de TI é um aspecto importante de governança e segurança. As tags ajudam você a categorizar seus AWS recursos de maneiras diferentes, por exemplo, por finalidade, proprietário ou ambiente. Isso é útil quando você possui muitos recursos do mesmo tipo, pois torna possível identificar rapidamente um recurso específico baseado nas tags que você atribuiu a ele.

### Correção
<a name="fsx-1-remediation"></a>

Para obter informações sobre como configurar um sistema de arquivos FSx para OpenZFS para copiar tags para backups e volumes, consulte [Atualizando um sistema de arquivos no Guia do usuário](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html) do *Amazon FSx for OpenZFS*.

## [FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
<a name="fsx-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-9, NIST.800-53.r5 CM-8

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um sistema de arquivos Amazon FSx for Lustre está configurado para copiar tags para backups e volumes. O controle falhará se o sistema de arquivos Lustre não estiver configurado para copiar tags para backups e volumes.

A identificação e o inventário de seus ativos de TI é um aspecto importante de governança e segurança. As tags ajudam você a categorizar seus AWS recursos de maneiras diferentes, por exemplo, por finalidade, proprietário ou ambiente. Isso é útil quando você possui muitos recursos do mesmo tipo, pois torna possível identificar rapidamente um recurso específico baseado nas tags que você atribuiu a ele.

### Correção
<a name="fsx-2-remediation"></a>

Para obter informações sobre como configurar um FSx sistema de arquivos for Lustre para copiar tags para backups, consulte Como [copiar backups dentro do mesmo Conta da AWS no Guia do](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html) usuário do *Amazon FSx for Lustre.*

## [FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ
<a name="fsx-3"></a>

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)

**Tipo de programação:** Periódico

**Parâmetros:** `deploymentTypes: MULTI_AZ_1` (não personalizável)

Esse controle verifica se um sistema de arquivos Amazon FSx for OpenZFS está configurado para usar o tipo de implantação de várias zonas de disponibilidade (Multi-AZ). O controle falhará se o sistema de arquivos não estiver configurado para usar o tipo de implantação multi-AZ.

*O Amazon FSx for OpenZFS oferece suporte a vários tipos de implantação para sistemas de arquivos: *Multi-AZ (HA)*, *Single-AZ (HA) e Single-AZ (não HA)*.* Os tipos de implantação oferecem diferentes níveis de disponibilidade e durabilidade. Os sistemas de arquivos Multi-AZ (HA) são compostos por um par de servidores de arquivos de alta disponibilidade (HA) distribuídos em duas zonas de disponibilidade ()AZs. Recomendamos o uso do tipo de implantação multi-AZ (HA) para a maioria das workloads de produção, devido ao modelo de alta disponibilidade e durabilidade que ela oferece.

### Correção
<a name="fsx-3-remediation"></a>

Você pode configurar um sistema de arquivos Amazon FSx for OpenZFS para usar o tipo de implantação Multi-AZ ao criar o sistema de arquivos. Você não pode alterar o tipo de implantação de um sistema de arquivos existente FSx para OpenZFS.

Para obter informações sobre tipos e opções de implantação FSx para sistemas de arquivos OpenZFS, consulte [Disponibilidade e durabilidade do Amazon FSx para OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html) e [Gerenciamento de recursos do sistema de arquivos no](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html) Guia do usuário do *Amazon FSx for* OpenZFS.

## [FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ
<a name="fsx-4"></a>

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `deploymentTypes`  |  Uma lista de tipos de implantação a serem incluídos na avaliação. O controle gerará uma descoberta `FAILED` se um sistema de arquivos não estiver configurado para usar um tipo de implantação especificado na lista.  |  Enum  |  `MULTI_AZ_1`, `MULTI_AZ_2`  |  `MULTI_AZ_1`, `MULTI_AZ_2`  | 

Esse controle verifica se um sistema de arquivos Amazon FSx for NetApp ONTAP está configurado para usar um tipo de implantação de várias zonas de disponibilidade (Multi-AZ). O controle falhará se o sistema de arquivos não estiver configurado para usar um tipo de implantação multi-AZ. É possível, opcionalmente, especificar uma lista de tipos de implantação a serem incluídos na avaliação.

*O Amazon FSx for NetApp ONTAP oferece suporte a vários tipos de implantação para sistemas de arquivos: *Single-AZ 1*, *Single-AZ 2*, *Multi-AZ 1 e Multi-AZ* 2.* Os tipos de implantação oferecem diferentes níveis de disponibilidade e durabilidade. Recomendamos o uso de um tipo de implantação multi-AZ para a maioria das workloads de produção, devido ao modelo de alta disponibilidade e durabilidade que os tipos de implantação multi-AZ oferecem. Os sistemas de arquivos multi-AZ oferecem suporte a todos os recursos de disponibilidade e durabilidade dos sistemas de arquivos single-AZ. Além disso, eles são projetados para fornecer disponibilidade contínua aos dados, mesmo quando uma zona de disponibilidade (AZ) não estiver disponível.

### Correção
<a name="fsx-4-remediation"></a>

Você não pode alterar o tipo de implantação de um sistema de arquivos Amazon FSx for NetApp ONTAP existente. No entanto, é possível fazer backup dos dados e restaurá-los em um novo sistema de arquivos que use um tipo de implantação multi-AZ.

Para obter informações sobre os tipos e opções de implantação dos sistemas de arquivos ONTAP, consulte [Disponibilidade, durabilidade e opções de implantação](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html) e [Gerenciamento de sistemas de arquivos](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html) no Guia do *FSx usuário do ONTAP*. FSx 

## [FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ
<a name="fsx-5"></a>

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)

**Tipo de programação:** Periódico

**Parâmetros:** `deploymentTypes: MULTI_AZ_1` (não personalizável)

Esse controle verifica se um sistema de arquivos do Amazon FSx para Windows File Server está configurado para usar o tipo de implantação de várias zonas de disponibilidade (Multi-AZ). O controle falhará se o sistema de arquivos não estiver configurado para usar o tipo de implantação multi-AZ.

O Amazon FSx para Windows File Server oferece suporte a dois tipos de implantação para sistemas de arquivos: *Single-AZ* e *Multi-AZ*. Os tipos de implantação oferecem diferentes níveis de disponibilidade e durabilidade. Os sistemas de arquivos single-AZ são compostos por uma única instância do servidor de arquivos do Windows e um conjunto de volumes de armazenamento em uma única zona de disponibilidade (AZ). Os sistemas de arquivos multi-AZ são compostos por cluster de alta disponibilidade de servidores de arquivos do Windows espalhados por duas zonas de disponibilidade (AZ). Recomendamos o uso do tipo de implantação multi-AZ para a maioria das workloads de produção, devido ao modelo de alta disponibilidade e durabilidade que ela oferece.

### Correção
<a name="fsx-5-remediation"></a>

Você pode configurar um sistema de arquivos Amazon FSx para Windows File Server para usar o tipo de implantação Multi-AZ ao criar o sistema de arquivos. Você não pode alterar o tipo de implantação de um sistema de arquivos existente FSx para Windows File Server.

Para obter informações sobre os tipos de implantação e as opções de sistemas de arquivos do Windows File Server, consulte [Disponibilidade e durabilidade: sistemas de arquivos Single-AZ e Multi-AZ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html) e [Introdução ao Amazon FSx para Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html) no Guia do *usuário do Amazon FSx para Windows File Server*. FSx 

# Controles CSPM do Security Hub para o Global Accelerator
<a name="globalaccelerator-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS Global Accelerator serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
<a name="globalaccelerator-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::GlobalAccelerator::Accelerator`

**AWS Config regra:** `tagged-globalaccelerator-accelerator` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um AWS Global Accelerator acelerador tem tags com as teclas específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o acelerador não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o acelerador não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="globalaccelerator-1-remediation"></a>

Para adicionar tags a um acelerador global do Global Accelerator, consulte [Tagging in AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html) no *AWS Global Accelerator Developer Guide*.

# Controles CSPM do Security Hub para AWS Glue
<a name="glue-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS Glue serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## Os AWS Glue trabalhos [Glue.1] devem ser marcados
<a name="glue-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Glue::Job`

**AWS Config regra:** `tagged-glue-job` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um AWS Glue trabalho tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o trabalho não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o trabalho não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="glue-1-remediation"></a>

Para adicionar tags a um AWS Glue trabalho, consulte as [AWS tags AWS Glue no](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) *Guia do AWS Glue usuário*.

## [Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso
<a name="glue-3"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::Glue::MLTransform`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:** não

Esse controle verifica se uma transformação AWS Glue de aprendizado de máquina está criptografada em repouso. Esse controle falhará se a transformação de machine learning não for criptografada em repouso.

Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.

### Correção
<a name="glue-3-remediation"></a>

Para configurar a criptografia para transformações AWS Glue de aprendizado de máquina, consulte Como [trabalhar com transformações de aprendizado de máquina](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html) no Guia do *AWS Glue usuário*.

## [Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue
<a name="glue-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, Nist.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), Nist.800-53.r5 SI-2 (5)

**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** média

**Tipo de recurso:** `AWS::Glue::Job`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:** `minimumSupportedGlueVersion`: `3.0` (não personalizável)

Esse controle verifica se uma AWS Glue tarefa do Spark está configurada para ser executada em uma versão compatível do AWS Glue. O controle falhará se a tarefa do Spark estiver configurada para ser executada em uma versão anterior à versão mínima suportada. AWS Glue 

**nota**  
Esse controle também gera uma `FAILED` descoberta AWS Glue para uma tarefa do Spark se a propriedade AWS Glue version (`GlueVersion`) não existir ou for nula no item de configuração (CI) da tarefa. Nesses casos, a descoberta inclui a anotação a seguir: `GlueVersion is null or missing in glueetl job configuration`. Para resolver esse tipo de descoberta `FAILED`, adicione a propriedade `GlueVersion` à configuração do trabalho. Para obter uma lista das versões com suporte e dos ambientes de runtime, consulte [Versões do AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions) no *Guia do usuário do AWS Glue *.

A execução de trabalhos do AWS Glue Spark nas versões atuais do AWS Glue pode otimizar o desempenho, a segurança e o acesso aos recursos mais recentes do AWS Glue. Isso também pode ajudar na proteção contra vulnerabilidades de segurança. Por exemplo, uma nova versão pode ser lançada para fornecer atualizações de segurança, solucionar problemas ou introduzir novos atributos.

### Correção
<a name="glue-4-remediation"></a>

*Para obter informações sobre como migrar uma tarefa do Spark para uma versão compatível do AWS Glue, consulte [Migração AWS Glue para tarefas do Spark](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html) no Guia do usuário.AWS Glue *

# Controles CSPM do Security Hub para Amazon GuardDuty
<a name="guardduty-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o GuardDuty serviço e os recursos da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [GuardDuty.1] GuardDuty deve ser ativado
<a name="guardduty-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), 1 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-1 1 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (6), NIST.800-53.r5 SA-1 5 (2), 5 (8), (19), (21), (25),, ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-20, NIST.800-53.r5 SA-8 NIST.800-53.r5 SI-3 NIST.800-53.r5 SA-8 (8), NIST.800-53.r5 SA-8 NIST.800-53.r5 SI-4 NIST.800-53.r5 SC-5, NISt.800.R5 SI-4 800-53.r5 SI-4 NIST.800-53.r5 SC-5 NIST.800-53.r5 SC-5 (1), Nist.800-53.R5 SI-4 (13), NIST.800-53.R5 SI-4 (2), NIST.800-53.R5 SI-4 (22), NIST.800-53.R5 SI-4 (25), NIST.800-53.R5 SI-4 (4), NIST.800-53.R5 SI-4 (5), NIST.800-171.r2 3.4.2, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/11.4 , PCI DSS v4.0.1/11.5.1

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a Amazon GuardDuty está habilitada em sua GuardDuty conta e região.

É altamente recomendável que você habilite GuardDuty em todas as AWS regiões suportadas. Isso permite GuardDuty gerar descobertas sobre atividades não autorizadas ou incomuns, mesmo em regiões que você não usa ativamente. Isso também permite GuardDuty monitorar CloudTrail eventos globais Serviços da AWS , como o IAM.

### Correção
<a name="guardduty-1-remediation"></a>

Para habilitar GuardDuty, consulte [Introdução GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) no *Guia do GuardDuty usuário da Amazon*.

## [GuardDuty.2] GuardDuty os filtros devem ser marcados
<a name="guardduty-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::GuardDuty::Filter`

**AWS Config regra:** `tagged-guardduty-filter` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um GuardDuty filtro da Amazon tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o filtro não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o filtro não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="guardduty-2-remediation"></a>

Para adicionar tags a um GuardDuty filtro, consulte [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)na *Amazon GuardDuty API Reference*.

## [GuardDuty.3] GuardDuty IPSets deve ser marcado
<a name="guardduty-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::GuardDuty::IPSet`

**AWS Config regra:** `tagged-guardduty-ipset` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se uma Amazon GuardDuty IPSet tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se IPSet não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro`requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se ela IPSet não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="guardduty-3-remediation"></a>

Para adicionar tags a um GuardDuty IPSet, consulte [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)na *Amazon GuardDuty API Reference*.

## [GuardDuty.4] os GuardDuty detectores devem ser marcados
<a name="guardduty-4"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**AWS Config regra:** `tagged-guardduty-detector` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um GuardDuty detector da Amazon tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o detector não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o detector não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="guardduty-4-remediation"></a>

Para adicionar tags a um GuardDuty detector, consulte [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)na *Amazon GuardDuty API Reference*.

## [GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado
<a name="guardduty-5"></a>

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o GuardDuty EKS Audit Log Monitoring está ativado. Para uma conta autônoma, o controle falhará se o GuardDuty EKS Audit Log Monitoring estiver desativado na conta. Em um ambiente com várias contas, o controle falha se a conta do GuardDuty administrador delegado e todas as contas dos membros não tiverem o EKS Audit Log Monitoring ativado.

Em um ambiente com várias contas, o controle gera descobertas somente na conta do GuardDuty administrador delegado. Somente o administrador delegado pode ativar ou desativar o recurso EKS Audit Log Monitoring para as contas dos membros na organização. GuardDuty as contas dos membros não podem modificar essa configuração em suas contas. Esse controle gera `FAILED` descobertas se o GuardDuty administrador delegado tiver uma conta de membro suspensa que não tenha o GuardDuty EKS Audit Log Monitoring ativado. Para receber uma `PASSED` descoberta, o administrador delegado deve desassociar essas contas suspensas em. GuardDuty

GuardDuty O EKS Audit Log Monitoring ajuda você a detectar atividades potencialmente suspeitas em seus clusters do Amazon Elastic Kubernetes Service (Amazon EKS). O Monitoramento de logs de auditoria do EKS usa registros de auditoria do Kubernetes para capturar atividades cronológicas de usuários e aplicações usando a API Kubernetes e o ambiente de gerenciamento.

### Correção
<a name="guardduty-5-remediation"></a>

Para ativar o monitoramento do registro de auditoria do GuardDuty [EKS, consulte Monitoramento do registro de auditoria](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html) do EKS no *Guia GuardDuty do usuário da Amazon*.

## [GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
<a name="guardduty-6"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a Proteção GuardDuty Lambda está ativada. Para uma conta independente, o controle falhará se a Proteção GuardDuty Lambda estiver desativada na conta. Em um ambiente com várias contas, o controle falhará se a conta do GuardDuty administrador delegado e todas as contas dos membros não tiverem a Proteção Lambda ativada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta do GuardDuty administrador delegado. Somente o administrador delegado pode ativar ou desativar o recurso de Proteção Lambda para as contas dos membros na organização. GuardDuty as contas dos membros não podem modificar essa configuração em suas contas. Esse controle gera `FAILED` descobertas se o GuardDuty administrador delegado tiver uma conta de membro suspensa que não tenha a Proteção GuardDuty Lambda ativada. Para receber uma `PASSED` descoberta, o administrador delegado deve desassociar essas contas suspensas em. GuardDuty

GuardDuty A Proteção Lambda ajuda você a identificar possíveis ameaças à segurança quando uma AWS Lambda função é invocada. Depois de habilitar o Lambda Protection, GuardDuty começa a monitorar os registros de atividades da rede Lambda associados às funções do Lambda em seu. Conta da AWS Quando uma função Lambda é invocada e GuardDuty identifica tráfego de rede suspeito que indica a presença de um código potencialmente malicioso em sua função Lambda, gera uma descoberta. GuardDuty 

### Correção
<a name="guardduty-6-remediation"></a>

*Para habilitar a Proteção GuardDuty Lambda, consulte [Configuração da Proteção Lambda no Guia do Usuário](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) da Amazon. GuardDuty *

## [GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
<a name="guardduty-7"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o GuardDuty EKS Runtime Monitoring com gerenciamento automatizado de agentes está ativado. Para uma conta autônoma, o controle falhará se o GuardDuty EKS Runtime Monitoring com gerenciamento automatizado de agentes estiver desativado na conta. Em um ambiente com várias contas, o controle falha se a conta do GuardDuty administrador delegado e todas as contas dos membros não tiverem o EKS Runtime Monitoring com o gerenciamento automatizado de agentes ativado.

Em um ambiente com várias contas, o controle gera descobertas somente na conta do GuardDuty administrador delegado. Somente o administrador delegado pode ativar ou desativar o recurso EKS Runtime Monitoring com gerenciamento automatizado de agentes para as contas dos membros na organização. GuardDuty as contas dos membros não podem modificar essa configuração em suas contas. Esse controle gera `FAILED` descobertas se o GuardDuty administrador delegado tiver uma conta de membro suspensa que não tenha o GuardDuty EKS Runtime Monitoring ativado. Para receber uma `PASSED` descoberta, o administrador delegado deve desassociar essas contas suspensas em. GuardDuty

O EKS Protection na Amazon GuardDuty fornece cobertura de detecção de ameaças para ajudar você a proteger os clusters do Amazon EKS em seu AWS ambiente. O Monitoramento de Runtime do EKS usa eventos ao nível do sistema operacional para ajudar a detectar possíveis ameaças nos nós e contêineres do EKS em seus clusters do EKS. 

### Correção
<a name="guardduty-7-remediation"></a>

Para habilitar o EKS Runtime Monitoring com gerenciamento automatizado de agentes, consulte [Habilitar o monitoramento em tempo de GuardDuty execução](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) no *Guia GuardDuty do usuário da Amazon*.

## [GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada
<a name="guardduty-8"></a>

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a Proteção contra GuardDuty Malware está ativada. Para uma conta independente, o controle falhará se a Proteção contra GuardDuty Malware estiver desativada na conta. Em um ambiente com várias contas, o controle falhará se a conta do GuardDuty administrador delegado e todas as contas dos membros não tiverem a Proteção contra Malware ativada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta do GuardDuty administrador delegado. Somente o administrador delegado pode ativar ou desativar o recurso de Proteção contra Malware para as contas dos membros da organização. GuardDuty as contas dos membros não podem modificar essa configuração em suas contas. Esse controle gera `FAILED` descobertas se o GuardDuty administrador delegado tiver uma conta de membro suspensa que não tenha a Proteção contra GuardDuty Malware ativada. Para receber uma `PASSED` descoberta, o administrador delegado deve desassociar essas contas suspensas em. GuardDuty

GuardDuty O Malware Protection for EC2 ajuda você a detectar a possível presença de malware examinando os volumes do Amazon Elastic Block Store (Amazon EBS) que estão conectados às instâncias e cargas de trabalho de contêineres do Amazon Elastic Compute Cloud (Amazon EC2). A Proteção contra Malware fornece opções de verificação nas quais você pode decidir se deseja incluir ou excluir workloads de contêineres e instâncias específicas do EC2 na hora da varredura. Ele também oferece a opção de reter os instantâneos dos volumes do EBS anexados às instâncias do EC2 ou às cargas de trabalho do contêiner em suas contas. GuardDuty Os snapshots são retidos somente quando o malware é encontrado e as descobertas da Proteção contra malware são geradas. 

### Correção
<a name="guardduty-8-remediation"></a>

Para ativar a proteção contra GuardDuty malware para o EC2, consulte [Configurando a verificação de GuardDuty malware iniciada no Guia](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html) do usuário da *Amazon GuardDuty *.

## [GuardDuty.9] A proteção GuardDuty RDS deve estar ativada
<a name="guardduty-9"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a Proteção GuardDuty RDS está ativada. Para uma conta autônoma, o controle falhará se a Proteção GuardDuty RDS estiver desativada na conta. Em um ambiente com várias contas, o controle falhará se a conta do GuardDuty administrador delegado e todas as contas dos membros não tiverem a Proteção RDS ativada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta do GuardDuty administrador delegado. Somente o administrador delegado pode ativar ou desativar o recurso de Proteção RDS para as contas dos membros na organização. GuardDuty as contas dos membros não podem modificar essa configuração em suas contas. Esse controle gera `FAILED` descobertas se o GuardDuty administrador delegado tiver uma conta de membro suspensa que não tenha a Proteção GuardDuty RDS ativada. Para receber uma `PASSED` descoberta, o administrador delegado deve desassociar essas contas suspensas em. GuardDuty

O RDS Protection GuardDuty analisa e traça o perfil da atividade de login do RDS para possíveis ameaças de acesso aos seus bancos de dados Amazon Aurora (Aurora MySQL Compatible Edition e Aurora PostgreSQL Compatible Edition). Esse recurso permite identificar comportamentos de login potencialmente suspeitos. A Proteção do RDS não requer infraestrutura adicional. Ela foi projetada para não afetar a performance de suas instâncias de banco de dados. Quando o RDS Protection detecta uma tentativa de login potencialmente suspeita ou anômala que indica uma ameaça ao seu banco de dados, GuardDuty gera uma nova descoberta com detalhes sobre o banco de dados potencialmente comprometido. 

### Correção
<a name="guardduty-9-remediation"></a>

Para habilitar a Proteção GuardDuty RDS, consulte Proteção [GuardDuty RDS no Guia GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) *do Usuário da Amazon*.

## [GuardDuty.10] A proteção GuardDuty S3 deve estar ativada
<a name="guardduty-10"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o GuardDuty S3 Protection está ativado. Para uma conta independente, o controle falhará se o GuardDuty S3 Protection estiver desativado na conta. Em um ambiente com várias contas, o controle falhará se a conta do GuardDuty administrador delegado e todas as contas dos membros não tiverem o S3 Protection ativado.

Em um ambiente com várias contas, o controle gera descobertas somente na conta do GuardDuty administrador delegado. Somente o administrador delegado pode ativar ou desativar o recurso de Proteção do S3 para as contas dos membros na organização. GuardDuty as contas dos membros não podem modificar essa configuração em suas contas. Esse controle gera `FAILED` descobertas se o GuardDuty administrador delegado tiver uma conta de membro suspensa que não tenha o GuardDuty S3 Protection ativado. Para receber uma `PASSED` descoberta, o administrador delegado deve desassociar essas contas suspensas em. GuardDuty

O S3 Protection permite GuardDuty monitorar operações de API em nível de objeto para identificar possíveis riscos de segurança para dados em seus buckets do Amazon Simple Storage Service (Amazon S3). GuardDuty monitora ameaças contra seus recursos do S3 analisando eventos AWS CloudTrail de gerenciamento e eventos de dados CloudTrail do S3. 

### Correção
<a name="guardduty-10-remediation"></a>

Para ativar a Proteção do GuardDuty S3, consulte a Proteção do [Amazon S3 na GuardDuty Amazon no Guia](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) do Usuário da * GuardDuty Amazon*.

## [GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado
<a name="guardduty-11"></a>

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o Runtime Monitoring está habilitado na Amazon GuardDuty. Para uma conta autônoma, o controle falhará se o GuardDuty Runtime Monitoring estiver desativado para a conta. Em um ambiente com várias contas, o controle falhará se o GuardDuty Runtime Monitoring estiver desativado para a conta do GuardDuty administrador delegado e para todas as contas dos membros.

Em um ambiente com várias contas, somente o GuardDuty administrador delegado pode ativar ou desativar o GuardDuty Runtime Monitoring para contas em sua organização. Além disso, somente o GuardDuty administrador pode configurar e gerenciar os agentes de segurança GuardDuty usados para monitorar o tempo de execução das AWS cargas de trabalho e dos recursos das contas na organização. GuardDuty as contas dos membros não podem ativar, configurar ou desativar o Runtime Monitoring para suas próprias contas.

GuardDuty O Runtime Monitoring observa e analisa eventos em nível de sistema operacional, rede e arquivos para ajudá-lo a detectar possíveis ameaças em cargas de AWS trabalho específicas em seu ambiente. Ele usa agentes GuardDuty de segurança que adicionam visibilidade ao comportamento do tempo de execução, como acesso a arquivos, execução de processos, argumentos de linha de comando e conexões de rede. É possível habilitar e gerenciar o agente de segurança para cada tipo de recurso que você deseja monitorar para possíveis ameaças, como clusters do Amazon EKS e instâncias do Amazon EC2.

### Correção
<a name="guardduty-11-remediation"></a>

Para obter informações sobre como configurar e ativar o monitoramento em GuardDuty tempo de execução, consulte Monitoramento [GuardDuty de tempo de execução](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html) e [ativação do monitoramento em GuardDuty tempo de execução](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) no *Guia GuardDuty do usuário da Amazon*.

## [GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado
<a name="guardduty-12"></a>

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** média

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o agente de segurança GuardDuty automatizado da Amazon está habilitado para o monitoramento em tempo de execução dos clusters do Amazon ECS em AWS Fargate. Para uma conta autônoma, o controle falhará se o agente de segurança estiver desabilitado para a conta. Em um ambiente com várias contas, o controle falhará se o agente de segurança for desativado para a conta do GuardDuty administrador delegado e para todas as contas dos membros.

Em um ambiente com várias contas, esse controle gera descobertas somente na conta do GuardDuty administrador delegado. Isso ocorre porque somente o GuardDuty administrador delegado pode ativar ou desativar o monitoramento de tempo de execução dos recursos do ECS-Fargate para contas em sua organização. GuardDuty as contas dos membros não podem fazer isso com suas próprias contas. Além disso, esse controle gera `FAILED` descobertas se GuardDuty for suspenso para uma conta de membro e o monitoramento de tempo de execução dos recursos do ECS-Fargate estiver desativado para a conta do membro. Para receber uma `PASSED` descoberta, o GuardDuty administrador deve desassociar a conta de membro suspensa de sua conta de administrador usando GuardDuty.

GuardDuty O Runtime Monitoring observa e analisa eventos em nível de sistema operacional, rede e arquivos para ajudá-lo a detectar possíveis ameaças em cargas de AWS trabalho específicas em seu ambiente. Ele usa agentes GuardDuty de segurança que adicionam visibilidade ao comportamento do tempo de execução, como acesso a arquivos, execução de processos, argumentos de linha de comando e conexões de rede. É possível habilitar e gerenciar o agente de segurança para cada tipo de recurso que deseja monitorar para possíveis ameaças. Isso inclui clusters do Amazon ECS no AWS Fargate.

### Correção
<a name="guardduty-12-remediation"></a>

Para habilitar e gerenciar o agente de segurança para monitoramento GuardDuty de tempo de execução dos recursos do ECS-Fargate, você deve usá-lo diretamente. GuardDuty Você não pode habilitá-lo ou gerenciá-lo manualmente para recursos do ECS-Fargate. *Para obter informações sobre como habilitar e gerenciar o agente de segurança, consulte [Pré-requisitos para suporte (somente para AWS Fargate Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html) e [Gerenciamento do agente de segurança automatizado para (somente AWS Fargate Amazon ECS) no](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html) Guia do usuário da Amazon. GuardDuty *

## [GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado
<a name="guardduty-13"></a>

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** média

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o agente de segurança GuardDuty automatizado da Amazon está habilitado para o monitoramento do tempo de execução das instâncias do Amazon EC2. Para uma conta autônoma, o controle falhará se o agente de segurança estiver desabilitado para a conta. Em um ambiente com várias contas, o controle falhará se o agente de segurança for desativado para a conta do GuardDuty administrador delegado e para todas as contas dos membros.

Em um ambiente com várias contas, esse controle gera descobertas somente na conta do GuardDuty administrador delegado. Isso ocorre porque somente o GuardDuty administrador delegado pode habilitar ou desabilitar o Runtime Monitoring de instâncias do Amazon EC2 para contas em sua organização. GuardDuty as contas dos membros não podem fazer isso com suas próprias contas. Além disso, esse controle gera `FAILED` descobertas se GuardDuty for suspenso para uma conta membro e o monitoramento de tempo de execução de instâncias do EC2 for desativado para a conta membro. Para receber uma `PASSED` descoberta, o GuardDuty administrador deve desassociar a conta de membro suspensa de sua conta de administrador usando GuardDuty.

GuardDuty O Runtime Monitoring observa e analisa eventos em nível de sistema operacional, rede e arquivos para ajudá-lo a detectar possíveis ameaças em cargas de AWS trabalho específicas em seu ambiente. Ele usa agentes GuardDuty de segurança que adicionam visibilidade ao comportamento do tempo de execução, como acesso a arquivos, execução de processos, argumentos de linha de comando e conexões de rede. É possível habilitar e gerenciar o agente de segurança para cada tipo de recurso que deseja monitorar para possíveis ameaças. Isso inclui instâncias do Amazon EC2.

### Correção
<a name="guardduty-13-remediation"></a>

*Para obter informações sobre como configurar e gerenciar o agente de segurança automatizado para o monitoramento de tempo de GuardDuty execução de instâncias do EC2, consulte [Pré-requisitos para o suporte à instância do Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html) [e Como habilitar o agente de segurança automatizado para instâncias do Amazon EC2 no Guia do usuário da Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html). GuardDuty *

# Controles CSPM do Security Hub para AWS Identity and Access Management
<a name="iam-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos AWS Identity and Access Management (IAM). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"
<a name="iam-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1),, (15), (7),, NIST.800-53.r5 AC-2, (10), (2) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (3), NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.4 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI NIST.800-53.r5 AC-6 DSS v3.2.1/7.2.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** alta

**Tipo de recurso:** `AWS::IAM::Policy`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `excludePermissionBoundaryPolicy: true` (não personalizável)

Esse controle verifica se a versão padrão das políticas do IAM (também conhecidas como políticas gerenciadas pelo cliente) não tem acesso de administrador com uma instrução que tenha`"Effect": "Allow"` com `"Action": "*"` em `"Resource": "*"`. O controle falhará se você tiver políticas do IAM com essa declaração.

O controle apenas verifica as políticas gerenciadas pelo cliente que você criou. Ele não verifica políticas em linha e AWS gerenciadas.

As políticas do IAM definem um conjunto de privilégios concedidos a usuários, grupos ou perfis. Seguindo o conselho de segurança padrão, AWS recomenda que você conceda privilégios mínimos, o que significa conceder somente as permissões necessárias para realizar uma tarefa. Ao fornecer privilégios administrativos completos em vez do conjunto mínimo de permissões que o usuário precisa, você expõe os recursos a ações potencialmente indesejadas.

Em vez de permitir privilégios administrativos completos, determine o que os usuários precisam fazer e crie políticas que permitam que executem apenas aquelas tarefas. É mais seguro começar com um conjunto mínimo de permissões e conceder permissões adicionais conforme necessário. Não comece com permissões que sejam muito flexíveis para depois tentar restringi-las.

Remova as políticas do IAM `"Effect": "Allow" ` que têm uma instrução com `"Action": "*"` por `"Resource": "*"`.

**nota**  
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.

### Correção
<a name="iam-1-remediation"></a>

Para modificar suas políticas do IAM para que elas não permitam privilégios administrativos “\$1” completos, consulte [Editar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) no *Guia do usuário do IAM*.

## [IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
<a name="iam-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.14, CIS Foundations Benchmark v3.0.0/1.15, CIS AWS Foundations Benchmark v1.2.0/1.16,, (1),, (15), (7),, NIST.800-53.r5 AC-2 (3), AWS NIST.800-171.r2 3.1.1, NIST.800-171.r2 3.1.2, NIST.800-171.r2 3.1.7 NIST.800-53.r5 AC-2, NIST.800-171.r2 IST.800-171.r2 3.3.9 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-171.r2 NIST.800-53.r5 AC-6 3.13.3 NIST.800-53.r5 AC-6, PCI DSS v3.2.1/7.2.1

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IAM::User`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se nenhum dos usuários do IAM tem políticas anexadas. O controle falhará se seus usuários do IAM tiverem políticas vinculadas. Em vez disso, os usuários do IAM devem herdar permissões dos grupos ou funções do .

Por padrão, usuários, grupos e funções do IAM não têm acesso aos AWS recursos. As políticas do IAM são como os privilégios são concedidos aos usuários, aos grupos ou às funções na . Recomendamos que você aplique as políticas do IAM diretamente a grupos e funções, mas não aos usuários. A atribuição de privilégios no nível do grupo ou função reduz a complexidade do gerenciamento de acesso à medida que o número de usuários aumenta. Reduzir a complexidade do gerenciamento de acesso pode, por sua vez, reduzir a oportunidade para uma entidade principal inadvertidamente receber ou manter um número excessivo de privilégios. 

**nota**  
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar os recursos globais somente em uma região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registrar os recursos globais.

### Correção
<a name="iam-2-remediation"></a>

Para resolver esse problema, [crie um grupo do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html) e anexe a política ao grupo. Depois, [adicione os usuários ao grupo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html). A política é aplicada a cada usuário no grupo. Para remover uma política vinculada diretamente a um usuário, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do IAM*.

## [IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
<a name="iam-3"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.13, CIS Foundations Benchmark v3.0.0/1.14, CIS AWS Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, (1), (3), (15), PCI DSS AWS v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média 

**Tipo de recurso:** `AWS::IAM::User`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)

**Tipo de programação:** Periódico

**Parâmetros:**
+ `maxAccessKeyAge`: `90` (não personalizável)

Esse controle verifica se as chaves de acesso ativas são mudadas em até 90 dias.

É altamente recomendado não gerar e remover todas as chaves de acesso na conta. Em vez disso, a melhor prática recomendada é criar uma ou mais funções do IAM ou usar a [federação](https://aws.amazon.com/identity/federation/) por meio de Centro de Identidade do AWS IAM. Você pode usar esses métodos para permitir que seus usuários acessem Console de gerenciamento da AWS AWS CLI e.

Cada abordagem tem os respectivos casos de uso. A federação é geralmente melhor para empresas com um diretório central existente ou que projetam a necessidade de um número maior do que o limite atual de usuários do IAM. Os aplicativos executados fora de um AWS ambiente precisam de chaves de acesso para acesso programático aos AWS recursos.

No entanto, se os recursos que precisam de acesso programático forem executados internamente AWS, a melhor prática é usar funções do IAM. As funções permitem conceder acesso a recursos sem codificar um ID de chave de acesso e uma chave de acesso secreta na configuração.

Para saber mais sobre como proteger suas chaves de acesso e sua conta, consulte [Melhores práticas para gerenciar chaves de AWS acesso](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) no *Referência geral da AWS*. Veja também a postagem do blog [Diretrizes para proteger você Conta da AWS ao usar o acesso programático](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/).

Se você já tem uma chave de acesso, o Security Hub CSPM recomenda que você alterne as chaves de acesso a cada 90 dias. A mudança de chaves de acesso reduz a chance de uso de uma chave de acesso associada a uma conta comprometida ou encerrada. Isso também garante que os dados não possam ser acessados com uma chave antiga que pode ter sido perdida, decifrada ou roubada. Sempre atualize os aplicativos após mudar as chaves de acesso. 

As chaves de acesso consistem em um ID de chave de acesso e em uma chave de acesso secreta. Elas são usadas para assinar as solicitações programáticas que você faz à AWS. Os usuários precisam de suas próprias chaves de acesso para fazer chamadas programáticas a AWS AWS CLI partir do Tools for Windows PowerShell, do AWS SDKs, ou chamadas HTTP diretas usando as operações de API individuais Serviços da AWS.

Se sua organização usa Centro de Identidade do AWS IAM (IAM Identity Center), seus usuários podem entrar no Active Directory, em um diretório integrado do IAM Identity Center ou em [outro provedor de identidade (IdP) conectado ao IAM Identity](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) Center. Em seguida, eles podem ser mapeados para uma função do IAM que permite executar AWS CLI comandos ou chamar operações de AWS API sem a necessidade de chaves de acesso. Para saber mais, consulte [Configurando o AWS CLI para uso Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) no *Guia do AWS Command Line Interface usuário*.

**nota**  
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.

### Correção
<a name="iam-3-remediation"></a>

Para alternar chaves de acesso com mais de 90 dias, consulte [Chaves de acesso rotativas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) no *Guia do usuário do IAM*. Siga as instruções para qualquer usuário com uma **chave de acesso com idade** superior a 90 dias.

## [IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
<a name="iam-4"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.3, CIS Foundations Benchmark v3.0.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.4, CIS AWS Foundations Benchmark v1.2.0/1.12, PCI DSS v3.2.1/2.1, AWS PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (15), (7), (10), (2) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** crítica 

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a chave de acesso do usuário raiz está presente. 

O usuário root é o usuário mais privilegiado em um Conta da AWS. AWS as teclas de acesso fornecem acesso programático a uma determinada conta.

O Security Hub CSPM recomenda que você remova todas as chaves de acesso associadas ao usuário raiz. Isso limita os vetores que podem ser usados para comprometer a conta. Além disso, incentiva a criação e o uso de contas baseadas em função que são menos privilegiadas. 

### Correção
<a name="iam-4-remediation"></a>

Para excluir a chave de acesso do usuário raiz, consulte [Excluir chaves de acesso para o usuário raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key) no *Guia do usuário do IAM*. Para excluir as chaves de acesso do usuário root de um Conta da AWS in AWS GovCloud (US), consulte [Excluindo as chaves de acesso do usuário raiz da minha AWS GovCloud (US) conta](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key) no *Guia do AWS GovCloud (US) usuário*.

## [IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
<a name="iam-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.9, CIS Foundations Benchmark v3.0.0/1.10, CIS AWS Foundations Benchmark v1.4.0/1.10, CIS AWS Foundations Benchmark v1.2.0/1.2, (1), (15), (1), (2), (6), NIST.800-53.r5 AC-2 (8), PCI AWS DSS v4.0.1/8.4.2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::IAM::User`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a autenticação AWS multifator (MFA) está habilitada para todos os usuários do IAM que usam uma senha de console.

A autenticação multifator (MFA) adiciona uma camada extra de proteção sobre um nome de usuário e senha. Com o MFA ativado, quando um usuário faz login em um AWS site, ele é solicitado a fornecer seu nome de usuário e senha. Além disso, eles são solicitados a fornecer um código de autenticação de seu dispositivo de AWS MFA.

Recomendamos habilitar a MFA para todas as contas que têm uma senha do console. A MFA foi projetada para fornecer maior segurança para o acesso ao console. O principal de autenticação deve conter um dispositivo que emite uma chave sensível ao tempo e deve ter conhecimento de uma credencial.

**nota**  
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.

### Correção
<a name="iam-5-remediation"></a>

Para aidiconar MPA a usuários do IAM, consulte [Usar autenticação multifator (MFA) na AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) no *Guia do usuário do IAM*.

## [IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
<a name="iam-6"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.5, CIS Foundations Benchmark v3.0.0/1.6, CIS AWS Foundations Benchmark v1.4.0/1.6, CIS AWS Foundations Benchmark v1.2.0/1.14, PCI DSS AWS v3.2.1/8.3.1, (1), (1), (2), (6), (8), PCI DSS v4.0.1/8.4.2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** crítica

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se você Conta da AWS está habilitado para usar um dispositivo de autenticação multifator (MFA) de hardware para fazer login com credenciais de usuário raiz. O controle falhará se a MFA de hardware não estiver habilitada ou se algum dispositivo virtual de MFA tiver permissão para fazer login com as credenciais do usuário-raiz.

A MFA virtual pode não fornecer o mesmo nível de segurança oferecido por dispositivos MFA de hardware. Recomendamos usar um dispositivo de MFA virtual somente enquanto aguarda a aprovação da compra do hardware ou a chegada do hardware. Para saber mais, consulte [Atribuição de um dispositivo de MFA virtual (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html) no *Guia do usuário do IAM*.

**nota**  
O Security Hub CSPM avalia esse controle com base na presença de credenciais do usuário raiz (perfil de login) em um. Conta da AWS O controle gera descobertas `PASSED` nos seguintes casos:  
As credenciais do usuário-raiz estão presentes na conta e a MFA de hardware está habilitada para o usuário-raiz.
As credenciais do usuário-raiz não estão presentes na conta.
O controle gerará uma descoberta `FAILED` se credenciais do usuário-raiz estiverem presentes na conta e a MFA de hardware não estiver habilitada para o usuário-raiz.

### Correção
<a name="iam-6-remediation"></a>

Para obter informações sobre como habilitar a MFA de hardware para o usuário-raiz, consulte [Autenticação multifator para um Usuário raiz da conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) no *Guia do usuário do IAM*.

## [IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
<a name="iam-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (3), (15), NIST.800-53.r5 AC-2 (1), NIST.800-171.r2 3.5.2, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.9, PCI PCI DSS v4.0.1/8.3.10.1, PCI DSS v4.0.1/8.6.3 NIST.800-53.r5 IA-5

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `RequireUppercaseCharacters`  |  Exige pelo menos um caractere maiúsculo na senha  |  Booleano  |  `true` ou `false`  |  `true`  | 
|  `RequireLowercaseCharacters`  |  Exige pelo menos um caractere minúsculo na senha  |  Booleano  |  `true` ou `false`  |  `true`  | 
|  `RequireSymbols`  |  Exige pelo menos um símbolo na senha  |  Booleano  |  `true` ou `false`  |  `true`  | 
|  `RequireNumbers`  |  Exige pelo menos um número na senha  |  Booleano  |  `true` ou `false`  |  `true`  | 
|  `MinimumPasswordLength`  |  Número mínimo de caracteres na senha  |  Inteiro  |  `8` para `128`  |  `8`  | 
|  `PasswordReusePrevention`  |  Número de rotações de senha antes que uma senha antiga possa ser reutilizada  |  Inteiro  |  `12` para `24`  |  Nenhum valor padrão  | 
|  `MaxPasswordAge`  |  Número de dias antes da expiração da senha  |  Inteiro  |  `1` para `90`  |  Nenhum valor padrão  | 

Esse controle verifica se a política de senha de conta para usuários do IAM usa configurações fortes. O controle falhará se a política de senha não usar configurações fortes. A menos que você forneça valores de parâmetros personalizados, o Security Hub CSPM usa os valores padrão mencionados na tabela anterior. Os `MaxPasswordAge` parâmetros `PasswordReusePrevention` e não têm valor padrão, portanto, se você excluir esses parâmetros, o CSPM do Security Hub ignorará o número de rotações de senha e a idade da senha ao avaliar esse controle.

Para acessar o Console de gerenciamento da AWS, os usuários do IAM precisam de senhas. Como prática recomendada, o Security Hub CSPM recomenda fortemente que, em vez de criar usuários do IAM, você use a federação. A federação permite que os usuários usem suas credenciais corporativas existentes para fazer login no Console de gerenciamento da AWS. Use Centro de Identidade do AWS IAM (IAM Identity Center) para criar ou federar o usuário e, em seguida, assumir uma função do IAM em uma conta.

Para saber mais sobre provedores de identidade e federação, consulte [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) no *Guia do usuário do IAM*. Para saber mais sobre o Centro de Identidade do IAM, consulte o [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).

 Se você precisar usar usuários do IAM, o Security Hub CSPM recomenda que você imponha a criação de senhas de usuário fortes. Você pode definir uma política de senha Conta da AWS para especificar requisitos de complexidade e períodos de rotação obrigatórios para senhas. Quando você criar ou alterar uma política de senha, a maioria das configurações de política de senha será aplicada da próxima vez que seus usuários mudarem suas senhas. Algumas das configurações serão aplicadas imediatamente.

### Correção
<a name="iam-7-remediation"></a>

Para atualizar sua política de senha, consulte [Configuração de uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*.

## [IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
<a name="iam-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.3,, NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2, (15), NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-2 NIST.800-171.r2 3.1.2 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 PCI DSS v3.2.1/8.1.4 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.2.6

**Categoria:** Proteger > Gerenciamento de acesso seguro 

**Gravidade:** média 

**Tipo de recurso:** `AWS::IAM::User`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)

**Tipo de programação:** Periódico

**Parâmetros:**
+ `maxCredentialUsageAge`: `90` (não personalizável)

Esse controle verifica se seus usuários do IAM têm senhas ou chaves de acesso ativas que não foram usadas por 90 dias.

Os usuários do IAM podem acessar AWS recursos usando diferentes tipos de credenciais, como senhas ou chaves de acesso. 

O Security Hub CSPM recomenda que você remova ou desative todas as credenciais que não foram usadas por 90 dias ou mais. Desabilitar ou remover credenciais desnecessárias reduz a possibilidade de uso de credenciais associadas a uma conta comprometida ou abandonada.

**nota**  
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.

### Correção
<a name="iam-8-remediation"></a>

Quando você visualiza as informações do usuário no console do IAM, há colunas para **Idade da chave de acesso**, **Idade da senha** e **Última atividade**. Se o valor em qualquer uma dessas colunas for maior do que 90 dias, deixe as credenciais para esses usuários inativas.

Também é possível usar os [relatórios de credenciais](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) para monitorar e identificar usuário sem atividade por 90 dias ou mais. É possível baixar os relatórios de credenciais no formato .csv no console do IAM `.csv`.

Depois de identificar as contas inativas ou as credenciais não utilizadas, desative-as. Para instruções, consulte [Criar, alterar ou excluir uma senha de usuário do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) no *Guia do usuário do IAM*.

## [IAM.9] A MFA deve estar habilitada para o usuário raiz
<a name="iam-9"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.4, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, CIS Foundations Benchmark v3.0.0/1.5, CIS Foundations Benchmark v1.4.0/1.5, CIS AWS Foundations Benchmark v1.2.0/1.13, (1), (1), (2), (6), (8) AWS AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Categoria:** Proteger > Gerenciamento de acesso seguro 

**Gravidade:** crítica

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a autenticação multifator (MFA) está habilitada para que o usuário raiz do IAM de Conta da AWS an faça login no. Console de gerenciamento da AWS O controle falhará se a MFA não estiver habilitada para o usuário-raiz da conta.

O usuário raiz do IAM de an Conta da AWS tem acesso completo a todos os serviços e recursos da conta. Se o MFA estiver ativado, o usuário deverá inserir um nome de usuário, uma senha e um código de autenticação do dispositivo de AWS MFA para entrar no. Console de gerenciamento da AWS A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha.

Esse controle gerará descobertas `PASSED` nos casos a seguir:
+ As credenciais do usuário-raiz estão presentes na conta e a MFA está habilitada para o usuário-raiz.
+ As credenciais do usuário-raiz não estão presentes na conta.

O controle gerará descobertas `FAILED` se credenciais do usuário-raiz estiverem presentes na conta e a MFA não estiver habilitada para o usuário-raiz.

### Correção
<a name="iam-9-remediation"></a>

*Para obter informações sobre como habilitar o MFA para o usuário raiz de um Conta da AWS, consulte [Autenticação multifator Usuário raiz da conta da AWS no Guia do](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) usuário.AWS Identity and Access Management *

## [IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes
<a name="iam-10"></a>

**Requisitos relacionados:** NIST.800-171.r2 3,5.2, NIST.800-171.r2 3,5.7, NIST.800-171.r2 3,5.8, PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5

**Categoria:** Proteger > Gerenciamento de acesso seguro 

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a política da senha da conta para usuários do IAM usa as configurações recomendadas a seguir.
+ `RequireUppercaseCharacters`: exige pelo menos um caractere maiúsculo na senha. (Padrão = `true`)
+ `RequireLowercaseCharacters`: exige pelo menos um caractere minúsculo na senha. (Padrão = `true`)
+ `RequireNumbers`: exige pelo menos um número na senha. (Padrão = `true`)
+ `MinimumPasswordLength`: tamanho mínimo da senha. (Padrão = 7 ou mais)
+ `PasswordReusePrevention`: número de senhas antes de permitir a reutilização. (Padrão = 4)
+ `MaxPasswordAge`: número de dias antes da expiração da senha. (Padrão = 0)

**nota**  
Em 30 de maio de 2025, o Security Hub CSPM removeu esse controle do padrão PCI DSS v4.0.1. O PCI DSS v4.0.1 agora exige que as senhas tenham no mínimo 8 caracteres. Esse controle continua a ser aplicado ao padrão PCI DSS v3.2.1, que tem requisitos de senha diferentes.  
Para avaliar as políticas de senha da conta em relação aos requisitos do PCI DSS v4.0.1, é possível usar o [controle IAM.7](#iam-7). Esse controle exige que as senhas tenham no mínimo 8 caracteres. Ele também oferece suporte a valores personalizados para tamanho da senha e outros parâmetros. O controle IAM.7 faz parte do padrão PCI DSS v4.0.1 no CSPM do Security Hub.

### Correção
<a name="iam-10-remediation"></a>

Para atualizar sua política de senha para usar a configuração recomendada, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*.

## 1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula
<a name="iam-11"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.5, NIST.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Categoria:** Proteger > Gerenciamento de acesso seguro 

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres.

O CIS recomenda que a política de senhas exija pelo menos uma letra maiúscula. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

### Correção
<a name="iam-11-remediation"></a>

Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Força da senha**, selecione **Exigir pelo menos uma letra maiúscula do alfabeto latino (A–Z)**.

## 1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula
<a name="iam-12"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.6, NIST.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Categoria:** Proteger > Gerenciamento de acesso seguro 

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres. O CIS recomenda que a política de senhas exija pelo menos uma letra minúscula. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

### Correção
<a name="iam-12-remediation"></a>

Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Força da senha**, selecione **Exigir pelo menos uma letra minúscula do alfabeto latino (A–Z)**.

## 1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo
<a name="iam-13"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.7, NIST.800-171.r2 3.5.7

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres.

O CIS recomenda que a política de senhas exija pelo menos um símbolo. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

### Correção
<a name="iam-13-remediation"></a>

Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Força da senha**, selecione **Exigir pelo menos um caractere não alfanumérico**.

## Certifique-se de que política de senha do IAM exija pelo menos um número
<a name="iam-14"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.8, NIST.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres.

O CIS recomenda que a política de senhas exija pelo menos um número. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

### Correção
<a name="iam-14-remediation"></a>

Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Força da senha**, selecione **Exigir pelo menos um número**.

## 1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais
<a name="iam-15"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.7, CIS Foundations Benchmark v3.0.0/1.8, CIS Foundations Benchmark v1.4.0/1.8, CIS AWS Foundations Benchmark v1.2.0/1.9, NIST.800-171.r2 3.5.7 AWS AWS 

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas tenham pelo menos um determinado comprimento.

O CIS recomenda que a política de senha exija um comprimento mínimo para senha de 14 caracteres. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

### Correção
<a name="iam-15-remediation"></a>

Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Tamanho mínimo da senha**, insira **14** ou um número maior.

## 1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas
<a name="iam-16"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.8, CIS Foundations Benchmark v3.0.0/1.9, CIS Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10, NIST.800-171.r2 3.5.8, PCI DSS AWS v4.0.1/8.3.7 AWS 

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** baixa

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o número de senhas a serem lembradas está definido como 24. O controle falhará se o valor não for 24.

As políticas de senha do IAM podem impedir a reutilização de uma determinada senha pelo mesmo usuário.

O CIS recomenda que a política de senha impeça a reutilização de senhas. Impedir a reutilização de senhas aumenta a resiliência da conta contra tentativas de login forçado.

### Correção
<a name="iam-16-remediation"></a>

Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Impedir a reutilização da senha**, digite **24**.

## 1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos
<a name="iam-17"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.11, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** baixa

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

As políticas de senha do IAM podem exigir a mudança ou expiração de senhas após um determinado número de dias.

O CIS recomenda que a política de senha expire senhas após 90 dias ou menos. Reduzir a duração da senha aumenta a resiliência da conta contra tentativas de login forçado. Exigir alterações de senha regulares ajuda nos seguintes cenários:
+ As senhas podem ser roubadas ou comprometidas sem o seu conhecimento. Isso pode acontecer por meio de um comprometimento do sistema, vulnerabilidade de software ou ameaças internas.
+ Alguns filtros governamentais e corporativos da Web ou servidores de proxy podem interceptar e registrar o tráfego mesmo se ele for criptografado.
+ Muitas pessoas usam a mesma senha para muitos sistemas, como trabalho, email e pessoal.
+ Estações de trabalho do usuário final comprometidas podem ter um registrador de teclas.

### Correção
<a name="iam-17-remediation"></a>

Para alterar sua política de senha,, consulte [Como definir uma política de senha de conta para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) no *Guia do usuário do IAM*. Em **Ativar a expiração da senha**, digite **90** ou um número menor.

## [IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support
<a name="iam-18"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.16, CIS Foundations Benchmark v3.0.0/1.17, CIS Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20, NIST.800-171.r2 3.1.2, PCI AWS DSS v4.0.1/12.10.3 AWS 

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** baixa

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)

**Tipo de programação:** Periódico

**Parâmetros:**
+ `policyARN`: `arn:partition:iam::aws:policy/AWSSupportAccess` (não personalizável)
+ `policyUsageType`: `ANY` (não personalizável)

AWS fornece um centro de suporte que pode ser usado para notificação e resposta a incidentes, bem como suporte técnico e atendimento ao cliente.

Crie um perfil do IAM para permitir que usuários autorizados gerenciem incidentes com o AWS Support. Ao implementar o menor privilégio para controle de acesso, uma função do IAM exigirá uma política de IAM apropriada para permitir o acesso ao centro de suporte a fim de gerenciar incidentes com. Suporte

**nota**  
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.

### Correção
<a name="iam-18-remediation"></a>

Para corrigir esse problema, crie um perfil para permitir que usuários autorizados gerenciem incidentes do Suporte .

**Para criar a função a ser usada para Suporte acesso**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação do IAM, escolha **Perfis** e escolha **Criar perfil**.

1. Em **Tipo de perfil**, escolha **Outra Conta da AWS**.

1. Em **ID da conta**, insira Conta da AWS a Conta da AWS ID da qual você deseja conceder acesso aos seus recursos.

   Se os usuários ou grupos que assumirão essa função estiverem na mesma conta, insira o número da conta local.
**nota**  
O administrador da conta especificada pode conceder permissão para assumir essa função a qualquer usuário do . Para fazer isso, o administrador anexa uma política ao usuário ou grupo que concede permissão para a ação `sts:AssumeRole`. Nessa política, o recurso deve ser o ARN da função.

1. Escolha **Próximo: Permissões**.

1. Procure a política gerenciada `AWSSupportAccess`.

1. Marque a caixa de seleção da política gerenciada `AWSSupportAccess`.

1. Escolha **Próximo: tags**.

1. (Opcional) Para adicionar metadados à função, anexe tags como pares de chave-valor.

   Para obter mais informações sobre o uso de tags no IAM, consulte [Marcar usuários e funções do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.

1. Escolha **Próximo: revisar**.

1. Em **Role name (Nome da função)**, digite um nome para sua função.

   Os nomes das funções devem ser exclusivos em seu Conta da AWS. Não diferenciam letras maiúsculas de minúsculas.

1. (Opcional) Em **Descrição do perfil**, insira uma descrição para o novo perfil.

1. Revise a função e selecione **Create role (Criar função)**.

## [IAM.19] A MFA deve estar habilitada para todos os usuários do IAM
<a name="iam-19"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (15), (1), NIST.800-53.r5 AC-3 (2), (6), NIST.800-53.r5 IA-2 (8), NIST.800-53.r5 IA-2 NIST.800-171.r2 3.3.8, NIST.800-53.r5 IA-2 NIST.800-171.r2 3.5.3, NIST.800-53.r5 IA-2 NIST.800-171.r2 3.5.4, NIST.800-171.r2 3.7.5, PCI DSS v3.2.1/8.3.1, PCI DSS v4.4.0,1/8.4.2, 

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::IAM::User`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se os usuários do IAM têm a autenticação multifator (MFA) habilitada.

**nota**  
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.

### Correção
<a name="iam-19-remediation"></a>

Para adicionar MFA para usuários do IAM, consulte [Habilitar dispositivos de MFA para usuários na AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html) no *Guia do usuário do IAM*.

## [IAM.20] Evite o uso do usuário raiz
<a name="iam-20"></a>

**Importante**  
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.1

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IAM::User`

**AWS Config regra:** `use-of-root-account-test` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um Conta da AWS tem restrições ao uso do usuário root. O controle avalia os seguintes recursos:
+ Amazon Simple Notification Service (Amazon SNS) topics
+ AWS CloudTrail trilhas
+ Filtros métricos associados às CloudTrail trilhas
+  CloudWatch Alarmes da Amazon com base nos filtros

Essa verificação resulta em uma descoberta `FAILED` se uma ou mais das seguintes afirmações são verdadeiras:
+ Não existem CloudTrail trilhas na conta.
+ Uma CloudTrail trilha está ativada, mas não está configurada com pelo menos uma trilha multirregional que inclui eventos de gerenciamento de leitura e gravação.
+ Uma CloudTrail trilha está ativada, mas não está associada a um grupo de CloudWatch registros de registros.
+ O filtro métrico exato prescrito pelo Center for Internet Security (CIS) não é usado. O filtro métrico prescrito é `'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'`.
+ Não há CloudWatch alarmes com base no filtro métrico na conta.
+ CloudWatch os alarmes configurados para enviar notificação ao tópico SNS associado não são acionados com base na condição do alarme.
+ O tópico do SNS não está em conformidade com as [restrições de envio de uma mensagem para um tópico do SNS](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html).
+ O tópico do SNS não tem pelo menos um assinante.

Essa verificação resulta em um status de controle `NO_DATA` se uma ou mais das seguintes afirmações forem verdadeiras:
+ Um trilha multirregional é baseada em uma região diferente. O CSPM do Security Hub só pode gerar descobertas na região em que a trilha está baseada.
+ Uma trilha multirregional pertence a uma conta diferente. O CSPM do Security Hub só pode gerar descobertas para a conta que possui a trilha.

Essa verificação resulta em um status de controle `WARNING` se uma ou mais das seguintes afirmações forem verdadeiras:
+ A conta atual não é proprietária do tópico SNS referenciado no CloudWatch alarme.
+ A conta atual não tem acesso ao tópico do SNS ao invocar a API do SNS `ListSubscriptionsByTopic`.

**nota**  
Recomendamos usar trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO\$1DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o CSPM do Security Hub gera apenas descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado CSPM do Security Hub usando a agregação entre regiões.

Como uma melhor prática, use as credenciais raiz somente quando necessário para [realizar tarefas de gerenciamento de serviços e da conta](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Aplique as políticas do IAM diretamente a grupos e perfis, mas não aos usuários. Para obter instruções sobre como configurar um administrador para uso diário, consulte [Criar seu primeiro usuário administrador e grupo de administradores do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) no *Guia do usuário do IAM*.

### Correção
<a name="iam-20-remediation"></a>

As etapas para corrigir esse problema incluem a configuração de um tópico do Amazon SNS, CloudTrail uma trilha, um filtro métrico e um alarme para o filtro métrico.

**Para criar um tópico do Amazon SNS**

1. [Abra o console do Amazon SNS em https://console.aws.amazon.com/sns/ v3/home.](https://console.aws.amazon.com/sns/v3/home)

1. Crie um tópico do Amazon SNS que receba todos os alarmes de CIS.

   Crie pelo menos um assinante para o tópico. Para obter mais informações, consulte [Conceitos básicos do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) no *Guia do desenvolvedor do Amazon Simple Notification Service*.

Em seguida, configure um ativo CloudTrail que se aplique a todas as regiões. Para fazer isso, siga as etapas de correção em [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1).

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Crie filtros de métricas para o grupo de logs.

Por fim, crie o filtro métrico e o alarme.

**Para criar um filtro e um alarme de métrica**

1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. No painel de navegação, escolha **Grupos de logs**.

1. Marque a caixa de seleção do grupo de CloudWatch registros de registros associado à CloudTrail trilha que você criou.

1. Em **Ações**, escolha **Criar filtro de métrica**.

1. Em **Definir padrão**, faça o seguinte:

   1. Copie o seguinte padrão e cole-o no campo **Filter Pattern (Padrão de filtro)**.

      ```
      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
      ```

   1. Escolha **Próximo**.

1. Em **Atribuir métrica**, faça o seguinte:

   1. Em **Nome do filtro**, insira um nome para o filtro de métricas.

   1. Em **Namespace da métrica**, digite **LogMetrics**.

      Se você usar o mesmo namespace para todos os seus filtros de métricas de log do CIS, todas as métricas do CIS Benchmark serão agrupadas.

   1. Em **Nome da métrica**, insira um nome para a nova métrica. Lembre-se do nome da métrica. Você precisará selecionar a métrica ao criar o alarme.

   1. Em **Valor de métrica**, insira **1**.

   1. Escolha **Próximo**.

1. Em **Revisar e criar**, verifique as informações que você forneceu para o novo filtro de métrica. Escolha **Criar filtro de métrica**.

1. No painel de navegação, escolha **Grupos de log** e, em seguida, escolha o filtro que você criou em **Filtros métricos**.

1. Marque a caixa de seleção do filtro. Selecione **Criar alarme**.

1. Em **Especificar métrica e condições**, faça o seguinte.

   1. Na seção **Condições**, em **Tipo de limite**, escolha **Estático**.

   1. Para **Definir a condição de alarme**, escolha **Maior/igual**.

   1. Em **Definir o valor do limite**, insira **1**.

   1. Escolha **Próximo**.

1. Em **Configurar ações**, faça o seguinte:

   1. Em **Gatilho do estado do alarme**, escolha **Em alarme**.

   1. Em **Select an SNS topic (Selecionar um tópico do SNS)**, escolha **Select an existing SNS topic (Selecionar um tópico do SNS existente)**.

   1. Em **Enviar notificação para**, insira o nome do tópico do SNS que você criou no procedimento anterior.

   1. Escolha **Próximo**.

1. Em **Adicionar uma descrição**, insira um **Nome** e uma **Descrição** para o alarme, como **CIS-1.1-RootAccountUsage**. Escolha **Próximo**.

1. Em **Visualizar e criar**, revise a configuração do alarme. Escolha **Criar alarme**.

## [IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.
<a name="iam-21"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1),, (15), (7),,, (10) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-3 (3), NIST.800-171.r2 3.1.1 NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.1.2, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.1.5, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.1.7, NIST.800-171.r2 3.3.8, Nist.IsT.800-171.r2 3.3.8 800-171.r2 3.3.9, NIST.800-171.r2 3.13.3, NIST.800-171.r2 3.13.4 NIST.800-53.r5 AC-6

**Categoria:** Detectar > Gerenciamento de acesso seguro 

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IAM::Policy`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `excludePermissionBoundaryPolicy`: `True` (não personalizável)

Esse controle verifica se as políticas baseadas em identidade do IAM que você cria têm instruções Allow que usam o caractere curinga \$1 para conceder permissões para todas as ações em qualquer serviço. O controle falhará se alguma declaração de política incluir `"Effect": "Allow"` com `"Action": "Service:*"`. 

Por exemplo, a declaração a seguir em uma política resulta em uma descoberta com falha.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}
```

O controle também falhará se você usar `"Effect": "Allow"` com `"NotAction": "service:*"`. Nesse caso, o `NotAction` elemento fornece acesso a todas as ações em um AWS service (Serviço da AWS), exceto às ações especificadas em`NotAction`.

Esse controle se aplica somente às políticas do IAM gerenciadas pelo cliente. Ela não se aplica às políticas do IAM que são gerenciadas pela AWS.

Ao atribuir permissões a Serviços da AWS, é importante definir o escopo das ações permitidas do IAM em suas políticas do IAM. É necessário restringir as ações do IAM somente às ações necessárias. Isso ajuda você a provisionar permissões com privilégios mínimos. Políticas excessivamente permissivas podem levar ao aumento de privilégios se as políticas estiverem vinculadas a uma entidade principal do IAM que talvez não exija a permissão.

Em alguns casos, você pode desejar permitir ações do IAM com um prefixo semelhante, como `DescribeFlowLogs` e `DescribeAvailabilityZones`. Nesses casos autorizados, você pode adicionar um curinga com sufixo ao prefixo comum. Por exemplo, .`ec2:Describe*`

Esse controle passa se você usar uma ação prefixada do IAM com um caractere curinga com sufixo. Por exemplo, a declaração a seguir em uma política resulta em uma descoberta aprovada.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}
```

Ao agrupar ações relacionadas do IAM dessa forma, você também pode evitar exceder os limites de tamanho da política do IAM.

**nota**  
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.

### Correção
<a name="iam-21-remediation"></a>

Para corrigir esse problema, atualize suas políticas do IAM para que elas não permitam privilégios administrativos “\$1” completos. Para obter mais informações sobre como editar uma política do IAM, consulte [Editar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) no *Guia do usuário do IAM*.

## [IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas
<a name="iam-22"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.11, CIS Foundations Benchmark v3.0.0/1.12, CIS AWS Foundations Benchmark v1.4.0/1.12, NIST.800-171.r2 3.1.2 AWS 

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::IAM::User`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se seus usuários do IAM têm senhas ou chaves de acesso ativas que não foram usadas por 45 dias. Para isso, ele verifica se o `maxCredentialUsageAge` parâmetro da AWS Config regra é igual a 45 ou mais.

Os usuários podem acessar AWS recursos usando diferentes tipos de credenciais, como senhas ou chaves de acesso.

O CIS recomenda que você remova ou desative todas as credenciais que não foram usadas em 45 dias ou mais. Desabilitar ou remover credenciais desnecessárias reduz a possibilidade de uso de credenciais associadas a uma conta comprometida ou abandonada.

A AWS Config regra para esse controle usa as operações de [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)e, que são atualizadas somente a cada quatro horas. As alterações feitas nos usuários do IAM podem levar até quatro horas para ficarem visíveis para esse controle.

**nota**  
AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub CSPM. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.

### Correção
<a name="iam-22-remediation"></a>

Quando você visualiza as informações do usuário no console do IAM, há colunas para **Idade da chave de acesso**, **Idade da senha** e **Última atividade**. Se o valor em qualquer uma dessas colunas for maior do que 90 dias, deixe as credenciais para esses usuários inativas.

Também é possível usar os [relatórios de credenciais](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) para monitorar e identificar usuário sem atividade por 45 dias ou mais. É possível baixar os relatórios de credenciais no formato .csv no console do IAM `.csv`.

Depois de identificar as contas inativas ou as credenciais não utilizadas, desative-as. Para instruções, consulte [Criar, alterar ou excluir uma senha de usuário do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) no *Guia do usuário do IAM*.

## [IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados
<a name="iam-23"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config regra:** `tagged-accessanalyzer-analyzer` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um analisador gerenciado pelo AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) tem tags com as chaves específicas definidas no parâmetro. `requiredTagKeys` O controle falhará se o analisador não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o analisador não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="iam-23-remediation"></a>

Para adicionar tags a um analisador, consulte[https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html) na *AWS IAM Access Analyzer API Reference*.

## [IAM.24] Os perfis do IAM devem ser marcados
<a name="iam-24"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IAM::Role`

**AWS Config regra:** `tagged-iam-role` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se uma função AWS Identity and Access Management (IAM) tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o perfil não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o perfil não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="iam-24-remediation"></a>

Para adicionar tags a um perfil do IAM, consulte [Tags para recursos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.

## [IAM.25] Os usuários do IAM devem ser marcados
<a name="iam-25"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IAM::User`

**AWS Config regra:** `tagged-iam-user` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um usuário AWS Identity and Access Management (IAM) tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o usuário não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o usuário não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="iam-25-remediation"></a>

Para adicionar tags a um usuário do IAM, consulte [Tags para recursos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.

## [IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos
<a name="iam-26"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.18, CIS Foundations Benchmark v3.0.0/1.19 AWS 

**Categoria:** Identificação > Conformidade

**Gravidade:** média

**Tipo de recurso:** `AWS::IAM::ServerCertificate`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)**

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Isso controla se um certificado de SSL/TLS servidor ativo gerenciado no IAM expirou. O controle falhará se o certificado expirado SSL/TLS do servidor não for removido.

Para habilitar conexões HTTPS com seu site ou aplicativo em AWS, você precisa de um certificado de SSL/TLS servidor. Você pode usar o IAM ou AWS Certificate Manager (ACM) para armazenar e implantar certificados de servidor. Use o IAM como gerenciador de certificados somente quando precisar oferecer suporte a conexões HTTPS em uma conexão Região da AWS que não seja compatível com o ACM. O IAM criptografa com segurança suas chaves privadas e armazena a versão criptografada no armazenamento de certificado SSL do IAM. O IAM oferece suporte à implantação de certificados de servidor em todas as regiões, mas você precisa obter seu certificado de um provedor externo para usá-lo com AWS. Você não pode carregar um certificado do ACM no IAM. Além disso, não pode gerenciar certificados no console do IAM. A remoção de SSL/TLS certificados expirados elimina o risco de que um certificado inválido seja implantado acidentalmente em um recurso, o que pode prejudicar a credibilidade do aplicativo ou site subjacente.

### Correção
<a name="iam-26-remediation"></a>

Para remover um certificado de servidor do IAM, consulte [Gerenciar certificados de servidor no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) no *Guia do usuário do IAM*.

## [IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess
<a name="iam-27"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.21, CIS Foundations Benchmark v3.0.0/1.22 AWS 

**Categoria:** Proteger > Gerenciamento de acesso seguro > políticas do IAM seguras

**Gravidade:** média

**Tipo de recurso:** `AWS::IAM::Role`, `AWS::IAM::User`, `AWS::IAM::Group`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)**

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ “policyArns”: “arn: aws:iam: :aws:” policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess

Esse controle verifica se uma identidade do IAM (usuário, função ou grupo) tem a política AWS `AWSCloudShellFullAccess` gerenciada anexada. O controle falhará se uma identidade do IAM tiver a política `AWSCloudShellFullAccess`anexada.

AWS CloudShell fornece uma maneira conveniente de executar comandos CLI contra. Serviços da AWS A política AWS gerenciada `AWSCloudShellFullAccess` fornece acesso total a CloudShell, o que permite a capacidade de upload e download de arquivos entre o sistema local do usuário e o CloudShell ambiente. Dentro do CloudShell ambiente, um usuário tem permissões de sudo e pode acessar a Internet. Como resultado, anexar essa política gerenciada a uma identidade do IAM permite que eles instalem software de transferência de arquivos e movam dados de servidores externos da CloudShell Internet. Recomendamos seguir o princípio do privilégio mínimo e anexar permissões mais restritas às suas identidades do IAM.

### Correção
<a name="iam-27-remediation"></a>

Para desanexar a política `AWSCloudShellFullAccess` de uma identidade do IAM, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do IAM*.

## [IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado
<a name="iam-28"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.19, CIS Foundations Benchmark v3.0.0/1.20 AWS 

**Categoria:** Detectar > Serviços de detecção > Monitoramento de uso privilegiado

**Gravidade:** alta

**Tipo de recurso:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)**

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um Conta da AWS analisador de acesso externo do IAM Access Analyzer está ativado. O controle falhará se a conta não tiver um analisador de acesso externo habilitado na Região da AWS atualmente selecionada.

Os analisadores de acesso externo do IAM Access Analyzer ajudam a identificar recursos, como buckets do Amazon Simple Storage Service (Amazon S3) ou perfis do IAM, que sejam compartilhados com uma entidade externa. Isso ajuda a evitar o acesso não pretendido aos recursos e dados. O IAM Access Analyzer é regional e deve ser habilitado em cada região. Para identificar recursos que são compartilhados com entidades externas, um analisador de acesso usa raciocínio baseado em lógica para analisar políticas baseadas em recursos em seu ambiente. AWS Quando você cria um analisador de acesso externo, é possível criá-lo e habilitá-lo para toda a sua organização ou para contas individuais.

**nota**  
Se uma conta fizer parte de uma organização em AWS Organizations, esse controle não considera os analisadores de acesso externo que especificam a organização como a zona de confiança e estão habilitados para a organização na região atual. Se a sua organização usa esse tipo de configuração, considere desabilitar esse controle para contas de membro individuais em sua organização na região.

### Correção
<a name="iam-28-remediation"></a>

Para obter informações sobre a habilitação de um analisador de acesso externo em uma região específica, consulte [Conceitos básicos do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html) no *Guia do usuário do IAM*. É necessário habilitar um analisador em cada região na qual deseja monitorar o acesso aos recursos.

# Controles CSPM do Security Hub para o Amazon Inspector
<a name="inspector-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Inspector.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
<a name="inspector-1"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.3.1

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o EC2 escaneamento do Amazon Inspector está habilitado. Para uma conta autônoma, o controle falhará se a digitalização do Amazon EC2 Inspector estiver desativada na conta. Em um ambiente com várias contas, o controle falha se a conta delegada de administrador do Amazon Inspector e todas as contas membros não EC2 tiverem a verificação ativada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode ativar ou desativar o recurso de EC2 escaneamento das contas dos membros na organização. As contas de membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gera `FAILED` descobertas se o administrador delegado tiver uma conta de membro suspensa que não tenha a verificação do Amazon EC2 Inspector ativada. Para receber uma descoberta `PASSED`, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.

O EC2 escaneamento do Amazon Inspector extrai metadados da sua instância do Amazon Elastic Compute Cloud ( EC2Amazon) e, em seguida, compara esses metadados com regras coletadas de consultorias de segurança para produzir descobertas. O Amazon Inspector varre as instâncias em busca de vulnerabilidades de pacotes e problemas de acessibilidade de rede. Para obter informações sobre sistemas operacionais compatíveis, incluindo quais sistemas operacionais podem ser escaneados sem um agente SSM, consulte [Sistemas operacionais compatíveis: escaneamento da Amazon EC2 ](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2).

### Correção
<a name="inspector-1-remediation"></a>

*Para habilitar o EC2 escaneamento do Amazon Inspector, consulte [Ativação de escaneamentos no Guia do usuário](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) do Amazon Inspector.*

## [Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada
<a name="inspector-2"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.3.1

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a varredura do ECR do Amazon Inspector está habilitada. Para uma conta autônoma, o controle falhará se a varredura do ECR do Amazon Inspector estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do Amazon Inspector e todas as contas de membro não tiverem a varredura do ECR habilitada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode habilitar ou desabilitar o atributo de varredura do ECR para as contas de membro da organização. As contas de membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gerará descobertas `FAILED` se o administrador delegado tiver uma conta de membro suspensa que não tenha a varredura do ECR do Amazon Inspector habilitada. Para receber uma descoberta `PASSED`, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.

O Amazon Inspector varre as imagens de contêineres armazenadas no Amazon Elastic Container Registry (Amazon ECR) em busca de vulnerabilidades de software para gerar descobertas de vulnerabilidade de pacote. Ao ativar as verificações do Amazon Inspector para o Amazon ECR, você define o Amazon Inspector como seu serviço de verificação preferido para seu registro privado. Isso substitui o escaneamento básico, que é fornecido gratuitamente pelo Amazon ECR, pela varredura avançada que é fornecida e cobrada por meio do Amazon Inspector. O escaneamento avançado oferece o benefício de varrer para encontrar vulnerabilidades para pacotes de sistemas operacionais e de linguagens de programação ao nível do registro. Analise as descobertas usando o escaneamento avançado no nível da imagem, para cada camada da imagem, no console do Amazon ECR. Além disso, você pode analisar e trabalhar com essas descobertas em outros serviços não disponíveis para descobertas básicas de escaneamento, incluindo AWS Security Hub CSPM a Amazon EventBridge.

### Correção
<a name="inspector-2-remediation"></a>

Para habilitar a varredura do ECR do Amazon Inspector, consulte [Activating scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) no *Amazon Inspector User Guide*.

## [Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada
<a name="inspector-3"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a varredura de código do Lambda do Amazon Inspector está habilitada. Para uma conta autônoma, o controle falhará se a varredura de código do Lambda do Amazon Inspector estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do Amazon Inspector e todas as contas de membro não tiverem a varredura de código do Lambda habilitada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode habilitar ou desabilitar o atributo de varredura de código do Lambda para as contas de membro da organização. As contas de membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gerará descobertas `FAILED` se o administrador delegado tiver uma conta de membro suspensa que não tenha a varredura do varredura de código do Lambda do Amazon Inspector habilitada. Para receber uma descoberta `PASSED`, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.

O escaneamento de código Lambda do Amazon Inspector escaneia o código do aplicativo personalizado dentro de uma AWS Lambda função em busca de vulnerabilidades de código com base nas melhores práticas de segurança. AWS O escaneamento de código do Lambda pode detectar falhas de injeção, vazamentos de dados, criptografia fraca ou criptografia ausente em seu código. Esse recurso está disponível [Regiões da AWS somente de forma específica](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability). É possível ativar a varredura de código do Lambda junto com a varredura padrão do Lambda (consulte [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](#inspector-4)).

### Correção
<a name="inspector-3-remediation"></a>

Para habilitar varredura de código do Lambda do Amazon Inspector, consulte [Activating scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) no *Amazon Inspector User Guide*.

## [Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada
<a name="inspector-4"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a varredura padrão do Lambda do Amazon Inspector está habilitada. Para uma conta autônoma, o controle falhará se a varredura padrão do Lambda do Amazon Inspector estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do Amazon Inspector e todas as contas de membro não tiverem a varredura padrão do Lambda habilitada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode habilitar ou desabilitar o atributo de varredura padão do Lambda para as contas de membros na organização. As contas de membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gerará descobertas `FAILED` se o administrador delegado tiver uma conta de membro suspensa que não tenha a varredura do varredura padrão do Lambda do Amazon Inspector habilitada. Para receber uma descoberta `PASSED`, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.

O escaneamento padrão do Amazon Inspector Lambda identifica vulnerabilidades de software nas dependências do pacote de aplicativos que você adiciona ao seu código de função e camadas. AWS Lambda Se o Amazon Inspector detectar uma vulnerabilidade nas dependências do pacotes de aplicação da função do Lambda, o Amazon Inspector produzirá uma descoberta detalhada do tipo `Package Vulnerability`. É possível ativar a varredura de código do Lambda junto com a varredura padrão do Lambda (consulte [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](#inspector-3)). 

### Correção
<a name="inspector-4-remediation"></a>

Para habilitar a varredura padrão do Lambda do Amazon Inspector, consulte [Activating scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) no *Amazon Inspector User Guide*.

# Controles CSPM do Security Hub para AWS IoT
<a name="iot-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS IoT serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
<a name="iot-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoT::SecurityProfile`

**AWS Config regra:** `tagged-iot-securityprofile` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um perfil de AWS IoT Device Defender segurança tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o perfil de segurança não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o perfil de segurança não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="iot-1-remediation"></a>

Para adicionar tags a um perfil AWS IoT Device Defender de segurança, consulte Como [marcar seus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) no *Guia do AWS IoT desenvolvedor*.

## [IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
<a name="iot-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoT::MitigationAction`

**AWS Config regra:** `tagged-iot-mitigationaction` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se uma AWS IoT Core ação de mitigação tem tags com as chaves específicas definidas no parâmetro. `requiredTagKeys` O controle falhará se a ação de mitigação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a ação de mitigação não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="iot-2-remediation"></a>

*Para adicionar tags a uma ação de AWS IoT Core mitigação, consulte Como [marcar seus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) no Guia do AWS IoT desenvolvedor.*

## [IoT.3] as AWS IoT Core dimensões devem ser marcadas
<a name="iot-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoT::Dimension`

**AWS Config regra:** `tagged-iot-dimension` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se uma AWS IoT Core dimensão tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a dimensão não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a dimensão não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="iot-3-remediation"></a>

Para adicionar tags a uma AWS IoT Core dimensão, consulte Como [marcar seus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) no *Guia do AWS IoT desenvolvedor*.

## [IoT.4] os AWS IoT Core autorizadores devem ser marcados
<a name="iot-4"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoT::Authorizer`

**AWS Config regra:** `tagged-iot-authorizer` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um AWS IoT Core autorizador tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o autorizador não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o autorizador não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="iot-4-remediation"></a>

Para adicionar tags a um AWS IoT Core autorizador, consulte Como [marcar seus AWS IoT recursos no Guia](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) do *AWS IoT desenvolvedor*.

## [IoT.5] aliases de AWS IoT Core função devem ser marcados
<a name="iot-5"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoT::RoleAlias`

**AWS Config regra:** `tagged-iot-rolealias` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um alias de AWS IoT Core função tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o alias de perfil não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se alias de perfil não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="iot-5-remediation"></a>

Para adicionar tags a um alias de AWS IoT Core função, consulte Como [marcar seus AWS IoT recursos no Guia](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) do *AWS IoT desenvolvedor*.

## As AWS IoT Core políticas [IoT.6] devem ser marcadas
<a name="iot-6"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoT::Policy`

**AWS Config regra:** `tagged-iot-policy` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se uma AWS IoT Core política tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a política não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a política não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="iot-6-remediation"></a>

Para adicionar tags a uma AWS IoT Core política, consulte Como [marcar seus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) no *Guia do AWS IoT desenvolvedor*.

# Controles CSPM do Security Hub para AWS eventos de IoT
<a name="iotevents-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do AWS IoT Events.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas
<a name="iotevents-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTEvents::Input`

**Regra do AWS Config :** `iotevents-input-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se uma entrada de AWS IoT Events tem tags com as chaves específicas definidas no `requiredKeyTags` parâmetro. O controle falhará se a entrada não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a entrada não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iotevents-1-remediation"></a>

Para adicionar tags a uma entrada AWS do IoT Events, [consulte Como marcar AWS IoT Events seus](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) recursos no Guia *AWS IoT Events do* desenvolvedor.

## [Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados
<a name="iotevents-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTEvents::DetectorModel`

**Regra do AWS Config :** `iotevents-detector-model-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um modelo de detector de eventos de AWS IoT tem tags com as chaves específicas definidas no `requiredKeyTags` parâmetro. O controle falhará se o modelo do detector não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o modelo do detector não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iotevents-2-remediation"></a>

Para adicionar tags a um modelo de detector de eventos do AWS IoT, [consulte Como marcar AWS IoT Events seus](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) recursos no Guia *AWS IoT Events do* desenvolvedor.

## [Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados
<a name="iotevents-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTEvents::AlarmModel`

**Regra do AWS Config :** `iotevents-alarm-model-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um modelo de alarme do AWS IoT Events tem tags com as chaves específicas definidas no `requiredKeyTags` parâmetro. O controle falhará se o modelo de alarme não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o modelo de alarme não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iotevents-3-remediation"></a>

Para adicionar tags a um modelo de alarme do AWS IoT Events, [consulte Como marcar AWS IoT Events seus](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) recursos no Guia *AWS IoT Events do* desenvolvedor.

# Controles CSPM do Security Hub para IoT AWS SiteWise
<a name="iotsitewise-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o SiteWise serviço e os recursos de AWS IoT.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados
<a name="iotsitewise-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTSiteWise::AssetModel`

**Regra do AWS Config :** `iotsitewise-asset-model-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um modelo de SiteWise ativo de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o modelo de ativo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o modelo de ativo não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iotsitewise-1-remediation"></a>

Para adicionar tags a um modelo de SiteWise ativo de AWS IoT, consulte [Marcar seus AWS IoT SiteWise recursos](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) no Guia do *AWS IoT SiteWise usuário*.

## [Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados
<a name="iotsitewise-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTSiteWise::Dashboard`

**Regra do AWS Config :** `iotsitewise-dashboard-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um SiteWise painel de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o painel não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o painel não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iotsitewise-2-remediation"></a>

Para adicionar tags a um SiteWise painel de AWS IoT, consulte [Marcar seus AWS IoT SiteWise recursos no Guia](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) do *AWS IoT SiteWise usuário*.

## [Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados
<a name="iotsitewise-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTSiteWise::Gateway`

**Regra do AWS Config :** `iotsitewise-gateway-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um SiteWise gateway de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o gateway não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iotsitewise-3-remediation"></a>

Para adicionar tags a um SiteWise gateway de AWS IoT, consulte [Marcar seus AWS IoT SiteWise recursos no Guia](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) do *AWS IoT SiteWise usuário*.

## [Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados
<a name="iotsitewise-4"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTSiteWise::Portal`

**Regra do AWS Config :** `iotsitewise-portal-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um SiteWise portal de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o portal não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o portal não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iotsitewise-4-remediation"></a>

Para adicionar tags a um SiteWise portal de AWS IoT, consulte [Marcar seus AWS IoT SiteWise recursos no Guia](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) do *AWS IoT SiteWise usuário*.

## [Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados
<a name="iotsitewise-5"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTSiteWise::Project`

**Regra do AWS Config :** `iotsitewise-project-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um SiteWise projeto de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o projeto não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o projeto não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iotsitewise-5-remediation"></a>

Para adicionar tags a um SiteWise projeto de AWS IoT, consulte [Marcar seus AWS IoT SiteWise recursos no Guia](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) do *AWS IoT SiteWise usuário*.

# Controles CSPM do Security Hub para IoT AWS TwinMaker
<a name="iottwinmaker-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o TwinMaker serviço e os recursos de AWS IoT.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados
<a name="iottwinmaker-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTTwinMaker::SyncJob`

**Regra do AWS Config :** `iottwinmaker-sync-job-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um trabalho de TwinMaker sincronização de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o trabalho de sincronização não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o trabalho de sincronização não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iottwinmaker-1-remediation"></a>

Para adicionar tags a um trabalho de TwinMaker sincronização de AWS IoT, consulte [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)o Guia do *AWS IoT TwinMaker usuário*.

## [Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados
<a name="iottwinmaker-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTTwinMaker::Workspace`

**Regra do AWS Config :** `iottwinmaker-workspace-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um TwinMaker espaço de trabalho de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o espaço de trabalho não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o espaço de trabalho não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iottwinmaker-2-remediation"></a>

*Para adicionar tags a um TwinMaker espaço de trabalho de AWS IoT, consulte o Guia do [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)AWS IoT TwinMaker usuário.*

## [Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas
<a name="iottwinmaker-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTTwinMaker::Scene`

**Regra do AWS Config :** `iottwinmaker-scene-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se uma TwinMaker cena de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se a cena não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a cena não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iottwinmaker-3-remediation"></a>

Para adicionar tags a uma TwinMaker cena de AWS IoT, consulte o Guia [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)do *AWS IoT TwinMaker usuário*.

## [Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas
<a name="iottwinmaker-4"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTTwinMaker::Entity`

**Regra do AWS Config :** `iottwinmaker-entity-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se uma TwinMaker entidade de AWS IoT tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se a entidade não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a entidade não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iottwinmaker-4-remediation"></a>

Para adicionar tags a uma TwinMaker entidade de AWS IoT, consulte o Guia [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)do *AWS IoT TwinMaker usuário*.

# Controles CSPM do Security Hub para AWS IoT Wireless
<a name="iotwireless-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do AWS IoT Wireless.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados
<a name="iotwireless-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTWireless::MulticastGroup`

**Regra do AWS Config :** `iotwireless-multicast-group-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um grupo multicast do AWS IoT Wireless tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se o grupo de multicast não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de multicast não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iotwireless-1-remediation"></a>

*Para adicionar tags a um grupo multicast do AWS IoT Wireless, [consulte Como marcar AWS IoT Wireless seus](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) recursos no AWS IoT Wireless Guia do desenvolvedor.*

## [Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados
<a name="iotwireless-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTWireless::ServiceProfile`

**Regra do AWS Config :** `iotwireless-service-profile-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um perfil de serviço AWS IoT Wireless tem tags com as chaves específicas definidas no `requiredKeyTags` parâmetro. O controle falhará se o perfil de serviço não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o perfil de serviço não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iotwireless-2-remediation"></a>

Para adicionar tags a um perfil de serviço AWS IoT Wireless, [consulte Como marcar AWS IoT Wireless seus](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) recursos no Guia *AWS IoT Wireless do* desenvolvedor.

## [Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas
<a name="iotwireless-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IoTWireless::FuotaTask`

**Regra do AWS Config :** `iotwireless-fuota-task-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se uma tarefa de over-the-air atualização de firmware do AWS IoT Wireless (FUOTA) tem tags com as chaves específicas definidas no parâmetro. `requiredKeyTags` O controle falhará se a tarefa FUOTA não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a tarefa FUOTA não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="iotwireless-3-remediation"></a>

*Para adicionar tags a uma tarefa FUOTA do AWS IoT Wireless, [consulte Como marcar AWS IoT Wireless seus](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) recursos no AWS IoT Wireless Guia do desenvolvedor.*

# Controles de CSPM do Security Hub para Amazon IVS
<a name="ivs-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Interactive Video Service (IVS).

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags
<a name="ivs-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IVS::PlaybackKeyPair`

**Regra do AWS Config :** `ivs-playback-key-pair-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um par de chaves de reprodução do Amazon IVS tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o par de chaves de reprodução não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o par de chaves de reprodução não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="ivs-1-remediation"></a>

Para adicionar tags a um par de chaves de reprodução do IVS, consulte [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html) na *Referência de API do streaming em tempo real do Amazon IVS*.

## [IVS.2] As configurações de gravação IVS devem ser marcadas com tags
<a name="ivs-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IVS::RecordingConfiguration`

**Regra do AWS Config :** `ivs-recording configuration-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se uma configuração de registro do Amazon IVS tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se a configuração de registro não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a configuração de registro não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="ivs-2-remediation"></a>

Para adicionar tags a uma configuração de registro do IVS, consulte [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html) na *Referência de API do streaming em tempo real do Amazon IVS*.

## [IVS.3] Os canais do IVS devem ser marcados com tags
<a name="ivs-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::IVS::Channel`

**Regra do AWS Config :** `ivs-channel-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um canal do Amazon IVS tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o canal não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o canal não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="ivs-3-remediation"></a>

Para adicionar tags a um canal do IVS, consulte [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html) na *Referência de API do streaming em tempo real do Amazon IVS*.

# Controles CSPM do Security Hub para Amazon Keyspaces
<a name="keyspaces-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Keyspaces.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags
<a name="keyspaces-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Cassandra::Keyspace`

**Regra do AWS Config :** `cassandra-keyspace-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se um espaço de chaves do Amazon Keyspaces tem tags com as chaves específicas definidas no parâmetro `requiredKeyTags`. O controle falhará se o espaço de chaves não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o espaço de chaves não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="keyspaces-1-remediation"></a>

Para adicionar tags a um espaço de chaves do Amazon Keyspaces, consulte [Aplicação de tags a um keyspace](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html) no *Guia do desenvolvedor do Amazon Keyspaces*.

# Controles CSPM do Security Hub para Kinesis
<a name="kinesis-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Kinesis.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
<a name="kinesis-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::Kinesis::Stream`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum 

Esse controle verifica se o Kinesis Data Streams está criptografado em repouso com criptografia do lado do servidor. Esse controle falha se um fluxo do Kinesis não estiver criptografado em repouso com criptografia do lado do servidor.

A criptografia no lado do servidor é um recurso do Amazon Kinesis Data Streams que criptografa automaticamente os dados antes do repouso usando um AWS KMS key. Os dados são criptografados antes de serem gravados na camada de armazenamento do fluxo do Kinesis e descriptografados depois de recuperados do armazenamento. Como resultado, os dados são criptografados em repouso no serviço Amazon Kinesis Data Streams.

### Correção
<a name="kinesis-1-remediation"></a>

*Para obter informações sobre como habilitar a criptografia no lado do servidor para fluxos do Kinesis, consulte [Como começar a criptografia no lado do servidor?](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html) no Guia do desenvolvedor do Amazon Kinesis*.

## [Kinesis.2] Os fluxos do Kinesis devem ser marcados
<a name="kinesis-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Kinesis::Stream`

**AWS Config regra:** `tagged-kinesis-stream` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um fluxo de dados do Amazon Kinesis tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o fluxo de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o fluxo de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="kinesis-2-remediation"></a>

Para adicionar tags a um fluxo de dados do Kinesis, consulte [Tagging your streams in Amazon Kinesis Data Streams](https://docs.aws.amazon.com/streams/latest/dev/tagging.html) no *Amazon Kinesis Developer Guide*.

## [Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado
<a name="kinesis-3"></a>

**Gravidade:** média

**Tipo de recurso:** `AWS::Kinesis::Stream`

**Regra do AWS Config:** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  minimumBackupRetentionPeriod  | Número mínimo de horas durante as quais os dados devem ser retidos.  | String  | 24 a 8.760  | 168  | 

Esse controle verifica se um fluxo de dados do Amazon Kinesis tem um período de retenção de dados maior ou igual ao período de tempo especificado. O controle falhará se o período de retenção de dados for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção de dados, o Security Hub CSPM usa um valor padrão de 168 horas.

No Kinesis Data Streams, um fluxo de dados é uma sequência ordenada de registros de dados destinada a ser gravada e lida em tempo real. Os registros de dados são armazenados em fragmentos no fluxo temporariamente. O período entre o momento de adição de um registro e o momento em que ele deixa de estar acessível é chamado de período de retenção. O Kinesis Data Streams torna os registros mais antigos que o novo período de retenção acessíveis quase imediatamente após a redução do período de retenção. Por exemplo, alterar o período de retenção de 24 horas para 48 horas significa que os registros adicionados ao fluxo 23 horas 55 minutos antes ainda estarão disponíveis depois de 24 horas. 

### Correção
<a name="kinesis-3-remediation"></a>

Para alterar o período de retenção de backup do Amazon Kinesis Data Streams, consulte [Change the data retention period](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html) no *Amazon Kinesis Data Streams Developer Guide*.

# Controles CSPM do Security Hub para AWS KMS
<a name="kms-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS Key Management Service (AWS KMS) serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS
<a name="kms-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::IAM::Policy`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:** 
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt` (não personalizável)
+ `excludePermissionBoundaryPolicy`: `True` (não personalizável)

Verifica se a versão padrão das políticas gerenciadas pelo cliente do IAM permite que os diretores usem as ações de AWS KMS descriptografia em todos os recursos. O controle falhará se a política estiver aberta o suficiente para permitir ações `kms:Decrypt` e `kms:ReEncryptFrom` em todas as chaves do KMS.

O controle verifica somente as chaves KMS no elemento Recurso e não leva em conta nenhuma condição no elemento Condição de uma política. Além disso, o controle avalia as políticas gerenciadas pelo cliente vinculadas e não vinculadas. Ele não verifica políticas em linha ou políticas AWS gerenciadas.

Com AWS KMS, você controla quem pode usar suas chaves KMS e obter acesso aos seus dados criptografados. As políticas do IAM definem quais ações uma identidade (usuário, grupo ou função) pode realizar em quais recursos. Seguindo as melhores práticas de segurança, AWS recomenda que você permita o menor privilégio. Em outras palavras, é necessário conceder apenas as permissões `kms:Decrypt` ou `kms:ReEncryptFrom` necessárias e apenas para a chaves necessárias para executar uma tarefa. Caso contrário, o usuário poderá usar chaves que não sejam apropriadas para seus dados.

Em vez de conceder permissões para todas as chaves, determine o conjunto mínimo de chaves que os usuários precisam para acessar os dados criptografados. Em seguida, crie políticas que permitam que os usuários usem somente essas chaves. Por exemplo, não conceda permissão `kms:Decrypt` para todas as chaves do KMS. Em vez disso, permita `kms:Decrypt` somente com chaves em uma região específica para sua conta. Ao adotar o princípio do privilégio mínimo, você pode reduzir o risco de divulgação não intencional de seus dados.

### Correção
<a name="kms-1-remediation"></a>

Para modificar uma política gerenciada pelo cliente do IAM, consulte [Editar políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) no *Guia do usuário do IAM*. Ao editar a política, para o campo `Resource`, forneça o nome do recurso da Amazon (ARN) da chave ou chaves específicas nas quais você deseja permitir ações de decodificação.

## [KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS
<a name="kms-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt` (não personalizável)

Esse controle verifica se as políticas em linha incorporadas às suas identidades do IAM (função, usuário ou grupo) permitem as ações de AWS KMS descriptografia e recriptografia em todas as chaves do KMS. O controle falhará se a política estiver aberta o suficiente para permitir ações `kms:Decrypt` e `kms:ReEncryptFrom` em todas as chaves do KMS.

O controle verifica somente as chaves KMS no elemento Recurso e não leva em conta nenhuma condição no elemento Condição de uma política.

Com AWS KMS, você controla quem pode usar suas chaves KMS e obter acesso aos seus dados criptografados. As políticas do IAM definem quais ações uma identidade (usuário, grupo ou função) pode realizar em quais recursos. Seguindo as melhores práticas de segurança, AWS recomenda que você permita o menor privilégio. Em outras palavras, é necessário conceder às identidades somente as permissões necessárias e somente as chaves necessárias para executar uma tarefa. Caso contrário, o usuário poderá usar chaves que não sejam apropriadas para seus dados.

Em vez de conceder permissões para todas as chaves, determine o conjunto mínimo de chaves que os usuários precisam para acessar os dados criptografados. Em seguida, crie políticas que permitam que os usuários usem somente essas chaves. Por exemplo, não conceda permissão `kms:Decrypt` para todas as chaves do KMS. Em vez disso, permita a permissão somente em chaves específicas em uma região específica da sua conta. Ao adotar o princípio do privilégio mínimo, você pode reduzir o risco de divulgação não intencional de seus dados.

### Correção
<a name="kms-2-remediation"></a>

Para modificar uma política em linha do IAM, consulte [Editar políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) no *Guia do usuário do IAM*. Ao editar a política, para o campo `Resource`, forneça o nome do recurso da Amazon (ARN) da chave ou chaves específicas nas quais você deseja permitir ações de decodificação.

## [KMS.3] não AWS KMS keys deve ser excluído acidentalmente
<a name="kms-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2)

**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados

**Gravidade:** crítica

**Tipo de recurso:** `AWS::KMS::Key`

**AWS Config regra:** `kms-cmk-not-scheduled-for-deletion-2` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se as chaves KMS estão programadas para exclusão. O controle falhará se uma chave KMS estiver programada para exclusão.

As chaves KMS não podem ser recuperadas depois de excluídas. Os dados criptografados sob uma chave KMS também são permanentemente irrecuperáveis se a chave KMS for excluída. Se dados significativos tiverem sido criptografados em uma chave KMS programada para exclusão, considere descriptografar os dados ou recriptografá-los com uma nova chave KMS, a menos que você esteja executando intencionalmente uma *eliminação criptográfica*.

Quando uma chave KMS é programada para exclusão, um período de espera obrigatório é imposto para permitir tempo de reverter a exclusão, caso tenha sido agendada por engano. O período de espera padrão é de 30 dias, mas pode ser reduzido para até 7 dias quando a chave KMS está programada para exclusão. Durante o período de espera, a exclusão programada pode ser cancelada e a chave KMS não será excluída.

Para obter informações adicionais sobre a exclusão de chaves KMS, consulte [Excluir chaves KMS](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *.

### Correção
<a name="kms-3-remediation"></a>

Para cancelar uma exclusão programada da chave KMS, consulte **Para cancelar a exclusão de chaves** em [Programar e cancelar a exclusão de chaves (console)](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) no *Guia do desenvolvedor do AWS Key Management Service *.

## A rotação de AWS KMS teclas [KMS.4] deve estar ativada
<a name="kms-4"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.6, CIS Foundations Benchmark v3.0.0/3.6, CIS AWS Foundations Benchmark v1.4.0/3.8, CIS AWS Foundations Benchmark v1.2.0/2.8, 2, 2 (2), 8 (3), PCI DSS v3.2.1/3.6.4, PCI AWS DSS v4.0.1/3.7.4 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::KMS::Key`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

AWS KMS permite que os clientes girem a chave de apoio, que é o material chave armazenado AWS KMS e está vinculado ao ID da chave KMS. É a chave de backup usada para executar operações de criptografia, por exemplo, criptografia e descriptografia. No momento, a rotação de chaves automatizada retém todas as chaves de backup anteriores para que a descriptografia de dados criptografados seja transparente.

Recomendamos que você habilite a alternância de chaves de CMK. A rotação de chaves de criptografia ajuda a reduzir o impacto em potencial de uma chave comprometida porque os dados criptografados com uma nova chave não podem ser acessados com uma chave anterior que pode ter sido exposta.

### Correção
<a name="kms-4-remediation"></a>

Para ativar a alternância de chaves KMS, consulte [Como ativar e desativar a alternância automática de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable) no *Guia do desenvolvedor do AWS Key Management Service *.

## [KMS.5] As chaves do KMS não devem estar acessíveis ao público
<a name="kms-5"></a>

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** crítica

**Tipo de recurso:** `AWS::KMS::Key`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Isso controla se um AWS KMS key está acessível ao público. O controle falhará se a chave do KMS estiver acessível ao público.

A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto de erros ou usuários mal-intencionados. Se a política de chaves do an AWS KMS key permitir o acesso de contas externas, terceiros poderão criptografar e descriptografar dados usando a chave. Isso pode resultar em uma ameaça interna ou externa extraindo dados Serviços da AWS desse uso da chave.

**nota**  
Esse controle também retorna uma `FAILED` descoberta para um AWS KMS key caso suas configurações AWS Config impeçam o registro da política de chaves no Item de Configuração (CI) da chave KMS. AWS Config Para preencher a política de chaves no CI para a chave KMS, a [AWS Config função](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole) deve ter acesso para ler a política de chaves usando a chamada de [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)API. Para resolver esse tipo de `FAILED` descoberta, verifique as políticas que podem impedir que a AWS Config função tenha acesso de leitura à política de chaves da chave KMS. Por exemplo, verifique o seguinte:  
A política de chaves para a chave do KMS.
[As políticas de controle de serviços (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) e [as políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) AWS Organizations que se aplicam à sua conta.
Permissões para a AWS Config função, se você não estiver usando a função [AWS Config vinculada ao serviço](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Além disso, esse controle não avalia as condições de políticas que usem caracteres curinga ou variáveis. Para produzir uma descoberta `PASSED`, as condições na política de chave devem usar somente valores fixos, que são valores que não contêm caracteres curinga ou variáveis de política. Para obter informações sobre as variáveis de política, consulte [Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do AWS Identity and Access Management *.

### Correção
<a name="kms-5-remediation"></a>

Para obter informações sobre como atualizar a política de chaves para um AWS KMS key, consulte [Políticas principais AWS KMS no](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview) *Guia do AWS Key Management Service desenvolvedor*.

# Controles CSPM do Security Hub para AWS Lambda
<a name="lambda-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS Lambda serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Lambda.1] As funções do Lambda.1 devem proibir o acesso público
<a name="lambda-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 3.2.1/7.2.1, PCI DSS v4.0.1/7.2.1 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** crítica

**Tipo de recurso:** `AWS::Lambda::Function`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a política baseada em recursos da função do Lambda proíbe o acesso público fora da sua conta. O controle falhará se o acesso público for permitido. O controle também falhará se uma função do Lambda for invocada do Amazon S3 e a política não incluir uma condição para limitar o acesso público, como `AWS:SourceAccount`. Recomendamos usar outras condições do S3 junto com `AWS:SourceAccount` em sua política de bucket para um acesso mais refinado.

**nota**  
Esse controle não avalia as condições de políticas que usem caracteres curinga ou variáveis. Para produzir uma descoberta `PASSED`, as condições na política para a função do Lambda devem usar somente valores fixos, que são valores que não contêm caracteres curinga ou variáveis de política. Para obter informações sobre as variáveis de política, consulte [Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do AWS Identity and Access Management *.

A função do Lambda não deve ser publicamente acessível, pois isso pode permitir o acesso não intencional ao seu código de função.

### Correção
<a name="lambda-1-remediation"></a>

Para corrigir esse problema, é necessário atualizar a política baseada em recursos da sua função para remover permissões ou adicionar a condição `AWS:SourceAccount`. Você só pode atualizar a política baseada em recursos a partir da API Lambda ou. AWS CLI

Para começar, [revise a política baseada em recursos](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) no console Lambda. Identifique a declaração de política que tem valores de campo `Principal` que tornam a política pública, como `"*"` ou `{ "AWS": "*" }`.

É possível editar uma política a partir do console. Para remover as permissões da função, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html) no AWS CLI.

```
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
```

Substitua `<function-name>` pelo nome da função do Lambda e `<statement-id>` pela ID da instrução (`Sid`) que você deseja remover.

## [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis
<a name="lambda-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, Nist.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Categoria:** Proteger > Desenvolvimento seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::Lambda::Function`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:** 
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (não personalizável)

Esse controle verifica se as configurações de tempo de execução da AWS Lambda função correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O controle falhará se a função do Lambda não usar um runtime com suporte, conforme observado na seção Parâmetros. O Security Hub CSPM ignora funções que têm um tipo de pacote de. `Image`

Os tempos de execução do Lambda se baseiam em uma combinação de sistema operacional, linguagem de programação e bibliotecas de software que estão sujeitos a manutenção e atualizações de segurança. Quando um componente de tempo de runtime não é mais compatível com as atualizações de segurança, o runtime defasa o componente. Mesmo que você não possa criar funções que usem o componente de runtime obsoleto, a função ainda continuará disponível para processar eventos de invocação. Recomendamos garantir que as funções do Lambda estejam atualizadas e não usem ambientes de runtime obsoletos. Para obter uma lista dos runtimes compatíveis, consulte [Runtimes do Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html) no *Guia do desenvolvedor do AWS Lambda *.

### Correção
<a name="lambda-2-remediation"></a>

Para obter mais informações sobre runtimes compatíveis e programações de suspensão de uso, consulte [Política de suspensão de runtime](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html) no *Guia do desenvolvedor do AWS Lambda *. Ao migrar os tempos de execução para a versão mais recente, siga a sintaxe e as orientações dos editores de idioma. Também recomendamos aplicar [atualizações de runtime](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls) para ajudar a reduzir o risco de impacto para as workloads no caso raro de uma incompatibilidade de versão de runtime.

## [Lambda.3] As funções do Lambda devem estar em uma VPC
<a name="lambda-3"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** baixa

**Tipo de recurso: ** `AWS::Lambda::Function`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)** 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma função do Lambda está em uma nuvem privada virtual (VPC). O controle falhará se a função do Lambda não estiver implantada em uma VPC. O CSPM do Security Hub não avalia a configuração de roteamento de sub-rede da VPC para determinar a acessibilidade pública. É possível ver falhas nas descobertas dos recursos do Lambda @Edge.

A implantação de recursos em uma VPC aumenta a segurança e o controle sobre as configurações de rede. Essas implantações também oferecem escalabilidade e alta tolerância a falhas em várias zonas de disponibilidade. É possível personalizar as implantações de VPC para atender aos diversos requisitos das aplicações.

### Correção
<a name="lambda-3-remediation"></a>

Para configurar uma função existente para se conectar a sub-redes privadas em sua VPC, consulte [Configurar o acesso à VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) no *Guia do desenvolvedor do AWS Lambda *. Recomendamos escolher pelo menos duas sub-redes privadas para alta disponibilidade e pelo menos um grupo de segurança que atenda aos requisitos de conectividade da função.

## [Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade
<a name="lambda-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::Lambda::Function`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `availabilityZones`  |  Número mínimo de zonas de disponibilidade  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Esse controle verifica se uma AWS Lambda função que se conecta a uma nuvem privada virtual (VPC) opera em pelo menos o número especificado de Zona de Disponibilidade (AZs). O controle falhará se a função não operar em pelo menos o número especificado de AZs. A menos que você forneça um valor de parâmetro personalizado para o número mínimo de AZs, o Security Hub CSPM usa um valor padrão de dois. AZs

A implantação de recursos em vários AZs é uma prática AWS recomendada para garantir a alta disponibilidade em sua arquitetura. A disponibilidade é um pilar fundamental no modelo de segurança da tríade confidencialidade, integridade e disponibilidade. Todas as funções do Lambda que se conectem a uma VPC devem ter uma implantação Multi-AZ para garantir que uma única zona de falha não cause uma interrupção total das operações.

### Correção
<a name="lambda-5-remediation"></a>

Se você configurar sua função para se conectar a uma VPC em sua conta, especifique sub-redes em várias AZs para garantir alta disponibilidade. Para obter instruções, consulte [Configurar acesso à VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) no *Guia do desenvolvedor do AWS Lambda *.

O Lambda executa automaticamente outras funções em várias AZs para garantir que esteja disponível para processar eventos em caso de interrupção do serviço em uma única zona.

## [Lambda.6] As funções do Lambda devem ser marcadas
<a name="lambda-6"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Lambda::Function`

**AWS Config regra:** `tagged-lambda-function` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se uma AWS Lambda função tem tags com as teclas específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a função não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a função não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.

### Correção
<a name="lambda-6-remediation"></a>

Para adicionar tags a uma função do Lambda, consulte [Utilizar etiquetas em funções do Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html) no *Guia do desenvolvedor do AWS Lambda *.

## [Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray
<a name="lambda-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7

**Categoria:** Identificar > Registro em log

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Lambda::Function`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o rastreamento ativo com AWS X-Ray está habilitado para uma AWS Lambda função. O controle falhará se o rastreamento ativo com o X-Ray estiver desabilitado para a função do Lambda.

AWS X-Ray pode fornecer recursos de rastreamento e monitoramento para AWS Lambda funções, o que pode economizar tempo e esforço na depuração e operação de funções Lambda. Ele pode ajudá-lo a diagnosticar erros e identificar gargalos de performance, lentidão e tempos limite ao detalhar a latência das funções do Lambda. Ele também pode ajudar com os requisitos de privacidade e conformidade de dados. Se você habilitar o rastreamento ativo para uma função do Lambda, o X-Ray fornecerá uma visão holística do fluxo e processamento de dados na função do Lambda, o que pode ajudá-lo a identificar possíveis vulnerabilidades de segurança ou práticas de tratamento de dados não conformes. Essa visibilidade pode ajudar você a manter a integridade, a confidencialidade e a conformidade dos dados com os regulamentos relevantes.

**nota**  
AWS X-Ray Atualmente, o rastreamento não é suportado para funções Lambda com Amazon Managed Streaming para Apache Kafka (Amazon MSK), Apache Kafka autogerenciado, Amazon MQ com ActiveMQ e RabbitMQ ou mapeamentos de origem de eventos do Amazon DocumentDB.

### Correção
<a name="lambda-7-remediation"></a>

*Para obter informações sobre como habilitar o rastreamento ativo para uma AWS Lambda função, consulte [Visualize invocações de funções Lambda](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html) usando no Guia do desenvolvedor. AWS X-RayAWS Lambda *

# Controles CSPM do Security Hub para Macie
<a name="macie-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço Amazon Macie.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Macie.1] O Amazon Macie deve estar habilitado
<a name="macie-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1),, NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.r5 SI-4

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)

**Tipo de programação:** Periódico

Esse controle verifica se o Amazon Macie está habilitado para uma conta. O controle falhará se o Macie não estiver habilitado para a conta.

O Amazon Macie descobre dados sigilosos usando machine learning e correspondência de padrões, fornece visibilidade dos riscos de segurança de dados e permite proteção automatizada contra esses riscos. O Macie avalia automática e continuamente seus buckets do Amazon Simple Storage Service (Amazon S3) quanto à segurança e ao controle de acesso, e gera descobertas para notificá-lo sobre possíveis problemas com a segurança ou a privacidade de seus dados do Amazon S3. O Macie também automatiza a descoberta e a reportagem de dados sigilosos, como as informações de identificação pessoal (PII), para você compreender melhor os dados armazenados por você no Amazon S3. Para saber mais, consulte o [https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html).

### Correção
<a name="macie-1-remediation"></a>

Para habilitar o Macie, consulte [Habilitar o Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie) no *Guia do usuário do Amazon Macie*.

## [Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada
<a name="macie-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1),, NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.r5 SI-4

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** alta

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)

**Tipo de programação:** Periódico

Esse controle verifica se a descoberta automatizada de dados confidenciais está habilitada em uma conta de administrador do Amazon Macie. Esse controle falhará se a descoberta automatizada de dados confidenciais não estiver habilitada em uma conta de administrador do Macie. Esse controle se aplica somente a contas de administrador.

O Macie automatiza a descoberta e a geração de relatórios de dados confidenciais, como informações de identificação pessoal (PII), em buckets do Amazon Simple Storage Service (Amazon S3). Com a descoberta automatizada de dados confidenciais, o Macie avalia continuamente seu inventário de buckets e usa técnicas de amostragem para identificar e selecionar objetos do S3 representativos em seus buckets. O Macie então recupera e analisa os objetos selecionados, inspecionando-os para detectar dados confidenciais. Conforme a análise progride, o Macie também atualiza estatísticas, dados de inventário e outras informações que ele fornece sobre os dados do S3. O Macie também gera descobertas para relatar os dados confidenciais que encontra.

### Correção
<a name="macie-2-remediation"></a>

Para criar e configurar trabalhos automatizados de descoberta de dados confidenciais para analisar objetos em buckets do S3, consulte [Configuring automated sensitive data discovery for your account](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html) no *Amazon Macie User Guide*.

# Controles CSPM do Security Hub para Amazon MSK
<a name="msk-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Managed Streaming for Apache Kafka (Amazon MSK). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente
<a name="msk-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::MSK::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster do Amazon MSK é criptografado em trânsito com HTTPS (TLS) entre os nós de agente do cluster. O controle falhará se a comunicação de texto simples estiver habilitada para uma conexão de nó do agente do cluster.

O HTTPS oferece uma camada extra de segurança, pois usa TLS para mover dados e pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Por padrão, o Amazon MSK criptografa dados em trânsito com TLS. Entretanto, é possível substituir esse padrão no momento de criação do cluster. Recomendamos o uso de conexões criptografadas via HTTPS (TLS) para conexões de nós do agente.

### Correção
<a name="msk-1-remediation"></a>

Para obter informações sobre a atualização das configurações de criptografia para um cluster do Amazon MSK, consulte [Atualização de configurações de segurança de um cluster](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) no *Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka*.

## [MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado
<a name="msk-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::MSK::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster do Amazon MSK tem um monitoramento aprimorado configurado, especificado por um nível de monitoramento de pelo menos `PER_TOPIC_PER_BROKER`. O controle falhará se o nível de monitoramento do cluster estiver definido como `DEFAULT` ou `PER_BROKER`.

O nível de monitoramento `PER_TOPIC_PER_BROKER` fornece insights mais granulares sobre a performance do seu cluster do MSK e também fornece métricas relacionadas à utilização de recursos, como uso de CPU e memória. Isso ajuda você a identificar gargalos de performance e padrões de utilização de recursos para tópicos e agentes individuais. Essa visibilidade, por sua vez, pode otimizar a performance dos seus agentes do Kafka.

### Correção
<a name="msk-2-remediation"></a>

Para configurar o monitoramento aprimorado para um cluster do MSK, conclua as etapas a seguir:

1. Abra o console Amazon MSK em [https://console.aws.amazon.com/msk/casa? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).

1. No painel de navegação, escolha **Clusters**. Em seguida, escolha um cluster.

1. Em **Ação**, selecione **Editar monitoramento**.

1. Selecione a opção para **Monitoramento aprimorado em nível de tópico**.

1. Escolha **Salvar alterações**.

Para obter mais informações sobre os níveis de monitoramento, consulte [as métricas do Amazon MSK para monitorar corretores padrão CloudWatch no Guia do desenvolvedor](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html) do *Amazon Managed Streaming for Apache Kafka*.

## [MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito
<a name="msk-3"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::KafkaConnect::Connector`

**AWS Config regra:** `msk-connect-connector-encrypted` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um conector do Amazon MSK Connect é criptografado em trânsito. Esse controle falhará se o conector não for criptografado em trânsito.

Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.

### Correção
<a name="msk-3-remediation"></a>

É possível habilitar a criptografia em trânsito ao criar um conector do MSK Connect. Não é possível alterar as configurações de criptografia após a criação de um conector. Para obter mais informações, consulte [IAM access control](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html) (Controle de acesso do IAM) no Create a connector no *Amazon Managed Streaming for Apache Kafka Developer Guide*.

## [MSK.4] Os clusters do MSK devem ter acesso público desabilitado
<a name="msk-4"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

**Gravidade:** crítica

**Tipo de recurso:** `AWS::MSK::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o acesso público está desabilitado para um cluster do Amazon MSK. O controle falhará se o acesso público estiver habilitado para o cluster do MSK.

Por padrão, os clientes só podem acessar um cluster do Amazon MSK se estiverem na mesma VPC do cluster. Toda comunicação entre os clientes Kafka e um cluster do MSK é privada por padrão e os dados de streaming nunca cruzam a Internet. No entanto, se um cluster do MSK estiver configurado para permitir acesso público, qualquer pessoa na Internet poderá estabelecer uma conexão com os agentes do Apache Kafka que estão sendo executados no cluster. Isso pode levar a problemas como acesso não autorizado, violações de dados ou exploração de vulnerabilidades. Se você restringir o acesso a um cluster exigindo medidas de autenticação e autorização, poderá ajudar a proteger as informações sensíveis e a manter a integridade dos recursos.

### Correção
<a name="msk-4-remediation"></a>

Para obter informações sobre o gerenciamento do acesso público a um cluster do Amazon MSK, consulte [Habilitação do acesso público a um cluster provisionado pelo MSK](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html) no *Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka*.

## [MSK.5] Os conectores do MSK devem ter o registro em log habilitado
<a name="msk-5"></a>

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::KafkaConnect::Connector`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o registro em log está habilitado para um conector do Amazon MSK. O controle falhará se o registro em log não estiver habilitado para o conector do MSK.

Os conectores do Amazon MSK integram sistemas externos e serviços da Amazon ao Apache Kafka, copiando continuamente dados de streaming de uma fonte de dados para o cluster do Apache Kafka ou copiando continuamente os dados do cluster para um coletor de dados. O MSK Connect pode gravar eventos de log que podem ajudar a depurar um conector. Ao criar um conector, você pode especificar zero ou mais dos seguintes destinos de log: Amazon CloudWatch Logs, Amazon S3 e Amazon Data Firehose.

**nota**  
Valores confidenciais de configuração podem aparecer nos registros do conector se um plug-in não definir esses valores como secretos. O Kafka Connect trata valores de configuração indefinidos da mesma forma que qualquer outro valor de texto simples.

### Correção
<a name="msk-5-remediation"></a>

Para habilitar o registro em log para um conector do Amazon MSK existente, você precisa recriar o conector com a configuração de registro apropriada. Para obter informações sobre as opções de configuração, consulte [Regisro em log do Amazon Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) no *Guia do desenvolvedor do Amazon Managed Streaming for Apache Kafka*.

## [MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado
<a name="msk-6"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha

**Gravidade:** média

**Tipo de recurso:** `AWS::MSK::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o acesso não autenticado está habilitado para um cluster do Amazon MSK. O controle falhará se o acesso não autenticado estiver habilitado para o cluster do MSK.

O Amazon MSK oferece suporte a mecanismos de autenticação e autorização de clientes para controlar o acesso a um cluster. Esses mecanismos verificam a identidade dos clientes que se conectam ao cluster e determinam quais ações os clientes podem realizar. Um cluster do MSK pode ser configurado para permitir acesso não autenticado, o que permite que qualquer cliente com conectividade de rede publique e assine tópicos do Kafka sem fornecer credenciais. Executar um cluster do MSK sem exigir autenticação viola o princípio do privilégio mínimo e pode expor o cluster a acesso não autorizado. Isso pode permitir que qualquer cliente acesse, modifique ou exclua dados nos tópicos do Kafka, o que pode resultar em violações de dados, modificações de dados não autorizadas ou interrupções no serviço. Recomendamos habilitar os mecanismos de autenticação, como a autenticação do IAM, SASL/SCRAM ou TLS mútuo, para garantir o controle de acesso adequado e manter a conformidade de segurança.

### Correção
<a name="msk-6-remediation"></a>

Para obter informações sobre como alterar as configurações de autenticação de um cluster Amazon MSK, consulte as seguintes seções do [Guia do desenvolvedor do *Amazon Managed Streaming for Apache Kafka*: Atualizar as configurações de segurança de um [cluster](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html) Amazon MSK e Autenticação](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) e autorização para o Apache Kafka. APIs

# Controles CSPM do Security Hub para Amazon MQ
<a name="mq-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon MQ. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
<a name="mq-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-12, NIST.800-53.r5 SI-4, PCI DSS v4.0.1/10.3.3

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um agente do Amazon MQ ActiveMQ transmite logs de auditoria para o Amazon Logs. CloudWatch O controle falhará se o agente não transmitir os registros de auditoria para o CloudWatch Logs.

Ao publicar os registros do agente ActiveMQ no Logs CloudWatch , você pode CloudWatch criar alarmes e métricas que aumentam a visibilidade das informações relacionadas à segurança.

### Correção
<a name="mq-2-remediation"></a>

*Para transmitir os logs do agente ActiveMQ para o Logs, consulte [Configurando o Amazon MQ CloudWatch para registros do ActiveMQ no Guia do Desenvolvedor do Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html).*

## [MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada
<a name="mq-3"></a>

**Importante**  
O Security Hub CSPM retirou esse controle em janeiro de 2026. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/6.3.3

**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** média

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um agente do Amazon MQ têm a atualização automática de versões secundárias habilitada. O controle falhará se o corretor não tiver a atualização automática de versões secundárias habilitada.

À medida que o Amazon MQ lança e torna-se compatível com novas versões do mecanismo de agente, as alterações são compatíveis com as versões anteriores de uma aplicação existente e não tornam a funcionalidade existente obsoleta. As atualizações automáticas da versão do mecanismo de agente protegem você contra riscos de segurança, ajudam a corrigir erros e aprimoram a funcionalidade.

**nota**  
Quando o agente associado à atualização automática de versões secundárias está em sua correção mais recente e torna-se incompatível, é necessário fazer a atualização manualmente.

### Correção
<a name="mq-3-remediation"></a>

Para habilitar a atualização automática de versões secundárias para um agente MQ, consulte [ Automatically upgrading the minor engine version](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html) no *Amazon MQ Developer Guide*.

## [MQ.4] Os agentes do Amazon MQ devem ser marcados
<a name="mq-4"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**AWS Config regra:** `tagged-amazonmq-broker` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um agente do Amazon MQ tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o agente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o agente não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="mq-4-remediation"></a>

Para adicionar tags a um agente do Amazon MQ, consulte [Tagging resources](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html) no *Amazon MQ Developer Guide*.

## [MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
<a name="mq-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o modo de implantação de um agente Amazon MQ ActiveMQ está definido como ativo/em espera. O controle falhará se um agente de instância única (ativado por padrão) for definido como o modo de implantação.

A implantação ativa/em espera fornece alta disponibilidade para seus agentes do Amazon MQ ActiveMQ em uma Região da AWS. O modo de implantação ativo/em espera inclui duas instâncias de agente em duas zonas de disponibilidade diferentes, configuradas em um par redundante. Esses agentes se comunicam de forma síncrona com seu aplicativo, o que pode reduzir o tempo de inatividade e a perda de dados em caso de falha.

### Correção
<a name="mq-5-remediation"></a>

*Para criar um novo agente ActiveMQ active/standby com modo de implantação, [consulte Criação e configuração de um agente ActiveMQ no Guia do desenvolvedor do Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html).* Em **Modo de implantação**, escolha **Agente ativo/em espera**. Não é possível alterar o modo de implantação de um agente existente. Em vez disso, é necessário criar um novo agente e copiar as configurações do agente antigo.

## [MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster
<a name="mq-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** baixa

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o modo de implantação de um agente Amazon MQ RabbitMQ está definido como implantação em cluster. O controle falhará se um agente de instância única (ativado por padrão) for definido como o modo de implantação.

A implantação ativa/em espera fornece alta disponibilidade para seus agentes do Amazon MQ ActiveMQ em uma Região da AWS. A implantação do cluster é um agrupamento lógico de três nós de agente do RabbitMQ, cada um com seu próprio volume do Amazon Elastic Block Store (Amazon EBS) e um estado compartilhado. A implantação do cluster garante que os dados sejam replicados para todos os nós do cluster, o que pode reduzir o tempo de inatividade e a perda de dados em caso de falha.

### Correção
<a name="mq-6-remediation"></a>

Para criar um novo agente RabbitMQ com modo de implantação em cluster, consulte [Criar e conectar um agente RabbitMQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html) no *Guia do desenvolvedor do Amazon MQ*. Em **Modo de implantação**, escolha **Implantação em cluster**. Não é possível alterar o modo de implantação de um agente existente. Em vez disso, é necessário criar um novo agente e copiar as configurações do agente antigo.

# Controles CSPM do Security Hub para Neptune
<a name="neptune-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Neptune.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
<a name="neptune-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados do Neptune é criptografado em repouso. O controle falhará se um cluster de banco de dados Neptune não estiver criptografado em repouso.

Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Criptografar seus clusters de banco de dados Neptune protege seus dados e metadados contra acesso não autorizado. Ele também atende aos requisitos de conformidade para data-at-rest criptografia de sistemas de arquivos de produção.

### Correção
<a name="neptune-1-remediation"></a>

É possível ativar a criptografia em repouso ao criar um cluster de banco de dados do Neptune. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte [Criptografar recursos do Neptune em repouso](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html) no *Guia do usuário do Neptune*.

## [Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch
<a name="neptune-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (5), NIST.800-53.r5 SI-7 (8), PCI DI SS v4.0.1/10.3.3

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados Neptune publica registros de auditoria no Amazon Logs. CloudWatch O controle falhará se um cluster de banco de dados Neptune não publicar registros de auditoria no Logs. CloudWatch `EnableCloudWatchLogsExport`deve ser definido como`Audit`.

O Amazon Neptune e o CloudWatch Amazon são integrados para que você possa coletar e analisar métricas de desempenho. O Neptune envia métricas automaticamente e também oferece suporte CloudWatch a alarmes. CloudWatch Os registros em log de auditoria são altamente personalizáveis. Quando você audita um banco de dados, cada operação nos dados pode ser monitorada e registrada em log em uma trilha de auditoria, incluindo informações sobre qual cluster de banco de dados é acessado e como. Recomendamos enviar esses registros para ajudá-lo CloudWatch a monitorar seus clusters de banco de dados Neptune.

### Correção
<a name="neptune-2-remediation"></a>

*Para publicar registros de auditoria do Neptune no Logs, consulte CloudWatch [Publicar registros do Neptune no CloudWatch Amazon Logs no Guia do usuário do Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html).* Na seção **Exportações de logs**, escolha **Auditoria**.

## [Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos
<a name="neptune-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** crítica

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um snapshot manual de cluster de banco de dados do Neptune é público. O controle falhará se o snapshot manual do cluster de banco de dados do Neptune for público.

Um snapshot manual do cluster de banco de dados Neptune não deve ser público, a menos que pretendido. Se você compartilhar um snapshot manual não criptografado como público, isso o disponibilizará para todas as Contas da AWS. Snapshots públicos podem resultar em exposição não intencional de dados.

### Correção
<a name="neptune-3-remediation"></a>

Para remover o acesso público aos snapshots manuais do cluster de banco de dados do Neptune, consulte [Compartilhar um snapshot do cluster do banco de dados](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) no *Guia do usuário do Neptune*.

## [Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
<a name="neptune-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados do Neptune tem a proteção contra exclusão habilitada. O controle falhará se o cluster de banco de dados do Neptune não tiver a proteção contra exclusão habilitada.

A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por um usuário não autorizado. O cluster de banco de dados do Neptune não pode ser excluído quando a proteção contra exclusão está habilitada. Primeiro, é necessário desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida.

### Correção
<a name="neptune-4-remediation"></a>

Para ativar a proteção contra exclusão de um cluster de banco de dados Neptune existente, consulte [Modificar o cluster de banco de dados usando o console, a CLI e a API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) no *Guia do usuário do Amazon Aurora*.

## [Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
<a name="neptune-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-12

**Categoria:** Recuperação > Resiliência > Backups ativados

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Período mínimo de retenção de backups em dias  |  Inteiro  |  `7` para `35`  |  `7`  | 

Esse controle verifica se um cluster de banco de dados do Neptune tem backups automáticos habilitados e um período de retenção de backups maior ou igual ao período de tempo especificado. O controle falhará se os backups não estiverem habilitados para o cluster de banco de dados do Neptune ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção de backup, o Security Hub CSPM usa um valor padrão de 7 dias.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. Ao automatizar backups para seus clusters de banco de dados do Neptune você poderá restaurar seus sistemas em um determinado momento e minimizar o tempo de inatividade e a perda de dados. 

### Correção
<a name="neptune-5-remediation"></a>

Para habilitar backups automatizados e definir um período de retenção de backups para seus clusters de banco de dados do Neptune, consulte [Habilitação de backups automatizados](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) no *Guia do usuário do Amazon RDS*. Em **Período de reteção de backup**, escolha um valor maior ou igual a 7.

## [Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso
<a name="neptune-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um snapshot do cluster de banco de dados Neptune está criptografado em repouso. O controle falhará se um cluster de banco de dados Neptune não estiver criptografado em repouso.

Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Os dados nos snapshots de clusters de banco de dados do Neptune devem ser criptografados em repouso para uma camada adicional de segurança.

### Correção
<a name="neptune-6-remediation"></a>

Você não pode criptografar um snapshot existente do cluster de banco de dados Neptune. Em vez disso, é necessário restaurar o snapshot em um novo cluster de banco de dados e habilitar a criptografia no cluster. Assim, é possível restaurar um cluster de banco de dados criptografado do snapshot criptografado. Para obter instruções, consulte [Restaurar a partir de um snapshot de cluster de banco de dados](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) e [Criar um snapshot de cluster de banco de dados no Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html) no *Guia do usuário do Neptune*.

## [Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada
<a name="neptune-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados Neptune tem a autenticação de banco de dados IAM habilitada. O controle falhará se a autenticação do banco de dados do IAM não estiver habilitada para um cluster de banco de dados Neptune.

A autenticação do banco de dados do IAM para clusters de banco de dados do Amazon Neptune elimina a necessidade de armazenar as credenciais de usuário na configuração do banco de dados, pois a autenticação é gerenciada externamente usando o IAM. Quando a autenticação do banco de dados do IAM está ativada, cada solicitação precisa ser assinada usando o AWS Signature Version 4. 

### Correção
<a name="neptune-7-remediation"></a>

Por padrão, a autenticação de banco de dados do IAM está desabilitada quando você cria um cluster de banco de dados do Neptune. Para habilitá-lo, consulte [Habilitar a autenticação do banco de dados do IAM no Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html) no *Guia do usuário do Neptune*.

## [Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots
<a name="neptune-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados Neptune está configurado para copiar todas as tags para snapshots quando os snapshots são criados. O controle falhará se um cluster de banco de dados Neptune não estiver configurado para copiar tags para snapshots.

A identificação e o inventário de seus ativos de TI é um aspecto essencial de governança e segurança. É necessário marcar snapshots da mesma forma que os clusters de banco de dados do Amazon RDS primário. A cópia de tags garante que os metadados dos DB snapshots correspondam aos da instância de banco de dados de origem e que quaisquer políticas de acesso do DB snapshot também correspondam às da instância de banco de dados de origem. 

### Correção
<a name="neptune-8-remediation"></a>

Para copiar tags em snapshots para clusters de banco de dados Neptune, consulte [Copiar tags no Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview) no *Guia do usuário do Neptune*.

## [Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade
<a name="neptune-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html) 

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados Amazon Neptune tem instâncias de réplica de leitura em várias zonas de disponibilidade (). AZs O controle falhará se o cluster for implantado em apenas uma AZ.

Se uma AZ não estiver disponível e durante eventos de manutenção regulares, as réplicas de leitura servirão como destinos de failover para a instância primária. Ou seja, se a instância principal falhar, o Neptune promoverá uma instância de réplica de leitura para se tornar a instância principal. Por outro lado, se o cluster de banco de dados não incluir nenhuma instância de réplica de leitura, o cluster de banco de dados permanecerá indisponível quando a instância primária falhar até que seja recriada. Recriar a instância primária leva muito mais tempo do que promover uma réplica de leitura. Para garantir a alta disponibilidade, recomendamos que você crie uma ou mais instâncias de réplica de leitura que tenham a mesma classe de instância de banco de dados da instância primária e estejam localizadas em uma instância AZs diferente da primária.

### Correção
<a name="neptune-9-remediation"></a>

*Para implantar um cluster de banco de dados Neptune em AZs vários, [consulte Instâncias de banco de dados de leitura de réplicas em um cluster de banco de dados Neptune no Guia do usuário do Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*

# Controles CSPM do Security Hub para AWS Network Firewall
<a name="networkfirewall-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS Network Firewall serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade
<a name="networkfirewall-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle avalia se um firewall gerenciado AWS Network Firewall está implantado em várias zonas de disponibilidade ()AZs. O controle falhará se um firewall for implantado em apenas uma AZ.

AWS a infraestrutura global inclui vários Regiões da AWS. AZs são locais fisicamente separados e isolados em cada região, conectados por redes de baixa latência, alta taxa de transferência e alta redundância. Ao implantar um firewall de Firewall de Rede em vários AZs, você pode equilibrar e transferir o tráfego entre eles AZs, o que ajuda a projetar soluções altamente disponíveis.

### Correção
<a name="networkfirewall-1-remediation"></a>

**Implantação de um firewall de Network Firewall em vários AZs**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, em **Network Firewall**, escolha **Firewalls**.

1. Na página **Firewalls**, selecione o firewall que você deseja editar.

1. Na página de detalhes do firewall, escolha a guia **Detalhes do firewall**.

1. Na seção **Política associada e VPC**, escolha **Editar**

1. Para adicionar uma nova AZ, escolha **Adicionar nova sub-rede**. Selecione a AZ e a sub-rede que você gostaria de usar. Certifique-se de selecionar pelo menos dois AZs.

1. Escolha **Salvar**.

## [NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
<a name="networkfirewall-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.20, IST.800-171.r2 3.13.1

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::NetworkFirewall::LoggingConfiguration`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o registro está habilitado para um AWS Network Firewall firewall. O controle falhará se o registro em log não estiver habilitado para pelo menos um tipo de log, ou se o destino dos logs não existir.

O registro em log ajuda a manter a confiabilidade, a disponibilidade e a performance dos seus firewalls. No Network Firewall, os logs apresentam informações detalhadas sobre o tráfego de rede, incluindo a hora em que o mecanismo com estados recebeu um fluxo de pacotes, informações detalhadas sobre o fluxo de pacotes e qualquer ação de regra com estados realizada no fluxo de pacotes.

### Correção
<a name="networkfirewall-2-remediation"></a>

Para habilitar o registro em log em um firewall, consulte [Atualização da configuração de registro em log de um firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html) no *Guia do desenvolvedor do AWS Network Firewall *.

## [NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado
<a name="networkfirewall-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma política de Firewall de rede tem algum grupo de regras com ou sem estado associado. O controle falhará se grupos de regras sem estado ou com estado não forem atribuídos.

Uma política de firewall define como seu firewall monitora e gerencia o tráfego na Amazon Virtual Private Cloud (Amazon VPC). A configuração de grupos de regras sem estado e com estado ajuda a filtrar pacotes e fluxos de tráfego e define o tratamento padrão do tráfego.

### Correção
<a name="networkfirewall-3-remediation"></a>

Para adicionar um grupo de regras a uma política de Firewall de rede, consulte [Atualizar uma política de firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) no *Guia do desenvolvedor do AWS Network Firewall *. Para obter informações sobre a criação e o gerenciamento de usuários de regras, consulte [Grupos de regras no AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).

## [NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos
<a name="networkfirewall-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe` (não personalizável)

Esse controle verifica se a ação sem estado padrão para pacotes completos de uma política de Firewall de rede é descartar ou encaminhar. O controle é aprovado se `Drop` ou `Forward` for selecionado e falha se `Pass` for selecionado.

Uma política de firewall define como seu firewall monitora e gerencia o tráfego na Amazon VPC. Você configura grupos de regras sem estado e com estado para filtrar pacotes e fluxos de tráfego. O padrão `Pass` pode permitir tráfego não intencional.

### Correção
<a name="networkfirewall-4-remediation"></a>

Para alterar sua política de firewall, consulte [Atualizar uma política de firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) no *Guia do desenvolvedor do AWS Network Firewall *. Em **Ações padrão sem estado**, escolha **Editar**. Em seguida, escolha **Remover** ou **Encaminhar para grupos de regras com estado** como a **Ação**.

## [NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados
<a name="networkfirewall-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.1.14, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.13.6

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe` (não personalizável)

Esse controle verifica se a ação sem estado padrão para pacotes fragmentados de uma política de firewall de rede é descartar ou encaminhar. O controle é aprovado se `Drop` ou `Forward` for selecionado e falha se `Pass` for selecionado.

Uma política de firewall define como seu firewall monitora e gerencia o tráfego na Amazon VPC. Você configura grupos de regras sem estado e com estado para filtrar pacotes e fluxos de tráfego. O padrão `Pass` pode permitir tráfego não intencional.

### Correção
<a name="networkfirewall-5-remediation"></a>

Para alterar sua política de firewall, consulte [Atualizar uma política de firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) no *Guia do desenvolvedor do AWS Network Firewall *. Em **Ações padrão sem estado**, escolha **Editar**. Em seguida, escolha **Remover** ou **Encaminhar para grupos de regras com estado** como a **Ação**.

## [NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
<a name="networkfirewall-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.14, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.13.6

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::NetworkFirewall::RuleGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um grupo de regras sem estado AWS Network Firewall contém regras. O controle falhará se não houver regras no grupo de regras.

Um grupo de regras contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras sem estado vazio, quando presente em uma política de firewall, pode dar a impressão de que o grupo de regras processará o tráfego. No entanto, quando o grupo de regras sem estado está vazio, ele não processa o tráfego.

### Correção
<a name="networkfirewall-6-remediation"></a>

Para adicionar regras ao seu grupo de regras do Firewall de rede, consulte [Atualizar um grupo de regras com estado](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html) no *Guia do desenvolvedor do AWS Network Firewall *. Na página de detalhes do firewall, em **Grupo de regras sem estado**, escolha **Editar** para adicionar regras.

## [NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados
<a name="networkfirewall-7"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`

**AWS Config regra:** `tagged-networkfirewall-firewall` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um AWS Network Firewall firewall tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o firewall não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o firewall não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="networkfirewall-7-remediation"></a>

Para adicionar tags a um firewall do Network Firewall, consulte [AWS Network Firewall Recursos de marcação](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) no *Guia do AWS Network Firewall desenvolvedor*.

## [NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas
<a name="networkfirewall-8"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config regra:** `tagged-networkfirewall-firewallpolicy` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se uma política de AWS Network Firewall firewall tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a política de firewall não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a política de firewall não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="networkfirewall-8-remediation"></a>

Para adicionar tags a uma política de Firewall de Rede, consulte [AWS Network Firewall Recursos de marcação](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) no *Guia do AWS Network Firewall Desenvolvedor*.

## [NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
<a name="networkfirewall-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoria:** Proteger > Segurança de rede

**Gravidade:** média

**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um AWS Network Firewall firewall tem a proteção contra exclusão ativada. O controle falhará se a proteção contra exclusão não estiver habilitada para um firewall.

AWS Network Firewall é um firewall de rede gerenciado e com estado e serviço de detecção de intrusões que permite inspecionar e filtrar o tráfego de, para ou entre suas nuvens privadas virtuais (). VPCs A configuração de proteção contra exclusão protege contra a exclusão acidental do firewall.

### Correção
<a name="networkfirewall-9-remediation"></a>

Para ativar a proteção contra exclusão em um firewall existente do Firewall de rede, consulte [Atualizar um firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) no *Guia do desenvolvedor do AWS Network Firewall *. Em **Alterar proteções**, selecione **Ativar**. Você também pode ativar a proteção contra exclusão invocando a [ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API e definindo o `DeleteProtection` campo como. `true`

## [NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada
<a name="networkfirewall-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoria:** Proteger > Segurança de rede

**Gravidade:** média

**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a proteção contra alteração de sub-rede está habilitada para um firewall AWS Network Firewall . O controle falhará se a proteção contra alteração de sub-rede não estiver habilitada para o firewall.

AWS Network Firewall é um firewall de rede gerenciado e com estado e um serviço de detecção de intrusões que você pode usar para inspecionar e filtrar o tráfego de, para ou entre suas nuvens privadas virtuais (). VPCs Se você habilitar a proteção contra alterações de sub-rede para um firewall do Network Firewall, poderá protegê-lo contra alterações acidentais nas associações de sub-rede do firewall.

### Correção
<a name="networkfirewall-10-remediation"></a>

Para obter informações sobre como habilitar a proteção contra alterações de sub-rede em um firewall existente do Network Firewall, consulte [Atualização de um firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) no *Guia do desenvolvedor do AWS Network Firewall *.

# Controles CSPM do Security Hub para Amazon Service OpenSearch
<a name="opensearch-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o OpenSearch serviço e os recursos do Amazon OpenSearch Service (Service). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
<a name="opensearch-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), Nist.800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os OpenSearch domínios têm a encryption-at-rest configuração ativada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada.

Para uma camada adicional de segurança para dados confidenciais, você deve configurar seu domínio de OpenSearch serviço para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, AWS KMS armazena e gerencia suas chaves de criptografia. Para realizar a criptografia, AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).

Para saber mais sobre a criptografia OpenSearch de serviços em repouso, consulte [Criptografia de dados em repouso para o Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) no *Amazon OpenSearch Service* *Developer Guide*.

### Correção
<a name="opensearch-1-remediation"></a>

Para habilitar a criptografia em repouso para OpenSearch domínios novos e existentes, consulte [Habilitar a criptografia de dados em repouso no](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) *Amazon OpenSearch Service Developer Guide*.

## Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
<a name="opensearch-2"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, (7),, (21),, (11), (16), (20), (21), (3), (4 NIST.800-53.r5 AC-3) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura > Recursos na VPC

**Gravidade:** crítica

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os OpenSearch domínios estão em uma VPC. Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública.

Você deve garantir que os OpenSearch domínios não estejam vinculados a sub-redes públicas. Consulte as [políticas baseadas em recursos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) no Amazon OpenSearch Service Developer Guide. Você também deve garantir que a VPC esteja configurada de acordo com as melhores práticas recomendadas. Para saber mais, consulte [Grupos de segurança para a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) no Guia do usuário do Amazon VPC.

OpenSearch os domínios implantados em uma VPC podem se comunicar com os recursos da VPC pela AWS rede privada, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. VPCs forneça vários controles de rede para proteger o acesso aos OpenSearch domínios, incluindo ACL de rede e grupos de segurança. O Security Hub recomenda que você migre OpenSearch domínios públicos VPCs para aproveitar esses controles.

### Correção
<a name="opensearch-2-remediation"></a>

Se você criar um domínio com um endpoint público, não será possível colocá-lo em uma VPC posteriormente. Em vez disso, é necessário criar um novo domínio e migrar seus dados. O inverso também é verdadeiro. Se você criar um domínio com uma VPC, ele não poderá ter um endpoint público. Em vez disso, é necessário [criar outro domínio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains) ou desabilitar esse controle.

Para obter instruções, consulte [Lançamento de seus domínios do Amazon OpenSearch Service em uma VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) no * OpenSearch Amazon Service* Developer Guide.

## Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
<a name="opensearch-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os OpenSearch domínios têm a node-to-node criptografia ativada. Esse controle falhará se a node-to-node criptografia estiver desativada no domínio.

O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores espionem ou manipulem o tráfego da rede usando ataques similares. person-in-the-middle Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A ativação da node-to-node criptografia para OpenSearch domínios garante que as comunicações dentro do cluster sejam criptografadas em trânsito.

Pode haver uma penalidade de performance associada a essa configuração. É necessário estar ciente e testar a compensação de performance antes de habilitar essa opção.

### Correção
<a name="opensearch-3-remediation"></a>

Para habilitar a node-to-node criptografia em um OpenSearch domínio, consulte Como [ativar a node-to-node criptografia](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) no *Amazon OpenSearch Service Developer Guide*.

## O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
<a name="opensearch-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `logtype = 'error'` (não personalizável)

Esse controle verifica se os OpenSearch domínios estão configurados para enviar registros de erros para o CloudWatch Logs. Esse controle falhará se o registro de erros não CloudWatch estiver habilitado para um domínio.

Você deve ativar os registros de erros para OpenSearch domínios e enviá-los aos CloudWatch Registros para retenção e resposta. Os logs de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.

### Correção
<a name="opensearch-4-remediation"></a>

Para habilitar a publicação de registros, consulte [Ativação da publicação de registros (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) no *Amazon OpenSearch Service Developer Guide*.

## Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
<a name="opensearch-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `cloudWatchLogsLogGroupArnList`(não personalizável) — O CSPM do Security Hub não preenche esse parâmetro. Lista separada por vírgulas de grupos de CloudWatch registros de registros que devem ser configurados para registros de auditoria.

Esse controle verifica se os OpenSearch domínios têm o registro de auditoria ativado. Esse controle falhará se um OpenSearch domínio não tiver o registro de auditoria ativado.

Os registros em log de auditoria são altamente personalizáveis. Eles permitem que você acompanhe a atividade do usuário em seus OpenSearch clusters, incluindo sucessos e falhas de autenticação, solicitações, alterações de indexação e consultas de pesquisa recebidas. OpenSearch

### Correção
<a name="opensearch-5-remediation"></a>

Para obter instruções sobre como habilitar registros de auditoria, consulte [Habilitar registros de auditoria](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) no *Amazon OpenSearch Service Developer Guide*.

## Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
<a name="opensearch-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os OpenSearch domínios estão configurados com pelo menos três nós de dados e `zoneAwarenessEnabled` está`true`. Esse controle falhará para um OpenSearch domínio se `instanceCount` for menor que 3 ou `zoneAwarenessEnabled` for`false`.

Para obter alta disponibilidade e tolerância a falhas em nível de cluster, um OpenSearch domínio deve ter pelo menos três nós de dados. A implantação de um OpenSearch domínio com pelo menos três nós de dados garante as operações do cluster se um nó falhar.

### Correção
<a name="opensearch-6-remediation"></a>

**Para modificar o número de nós de dados em um OpenSearch domínio**

1. Faça login no AWS console e abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Em **Meus domínios**, escolha o nome do domínio a ser editado e escolha **Editar**.

1. Em **Nós de dados**, defina **Número de nós** como um número maior que `3`. Se estiver fazendo implantações em três zonas de disponibilidade, defina um múltiplo de três para garantir uma distribuição igual entre as zonas de disponibilidade. 

1. Selecione **Enviar**.

## Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
<a name="opensearch-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Categoria:** Proteger > Gerenciamento de acesso seguro > Ações confidenciais de API restritas

**Gravidade:** alta

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os OpenSearch domínios têm um controle de acesso refinado ativado. O controle falhará se o controle de acesso refinado não estiver habilitado. O controle de acesso refinado exige que `advanced-security-options` o OpenSearch parâmetro `update-domain-config` seja ativado.

O controle de acesso refinado oferece formas adicionais de controlar o acesso aos seus dados no Amazon Service. OpenSearch 

### Correção
<a name="opensearch-7-remediation"></a>

*Para habilitar o controle de acesso refinado, consulte Controle de [acesso refinado no Amazon Service no Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html) Developer Guide. OpenSearch *

## [Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente
<a name="opensearch-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10` (não personalizável)

Isso controla se um endpoint de domínio do Amazon OpenSearch Service está configurado para usar a política de segurança TLS mais recente. O controle falhará se o endpoint do OpenSearch domínio não estiver configurado para usar a política mais recente suportada ou se HTTPs não estiver habilitado.

O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS. O TLS 1.2 fornece vários aprimoramentos de segurança em relação às versões anteriores do TLS. 

### Correção
<a name="opensearch-8-remediation"></a>

Para ativar a criptografia TLS, use a operação da [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API. Configure o [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)campo para especificar o valor para`TLSSecurityPolicy`. Para obter mais informações, consulte [Node-to-node criptografia](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html) no *Amazon OpenSearch Service Developer Guide*.

## Os OpenSearch domínios [Opensearch.9] devem ser marcados
<a name="opensearch-9"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**AWS Config regra:** `tagged-opensearch-domain` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um domínio do Amazon OpenSearch Service tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o domínio não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o domínio não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="opensearch-9-remediation"></a>

Para adicionar tags a um domínio OpenSearch de serviço, consulte Como [trabalhar com tags](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) no *Amazon OpenSearch Service Developer Guide*.

## Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
<a name="opensearch-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** média

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um domínio do Amazon OpenSearch Service tem a atualização de software mais recente instalada. O controle falhará se uma atualização de software estiver disponível, mas não instalada para o domínio.

OpenSearch As atualizações do software de serviço fornecem as correções, atualizações e recursos mais recentes da plataforma disponíveis para o ambiente. Manter up-to-date a instalação do patch ajuda a manter a segurança e a disponibilidade do domínio. Se você não tomar nenhuma ação sobre as atualizações necessárias, o software do serviço será atualizado automaticamente (normalmente após duas semanas). Recomendamos programar atualizações durante um período de pouco tráfego para o domínio para minimizar a interrupção do serviço. 

### Correção
<a name="opensearch-10-remediation"></a>

Para instalar atualizações de software para um OpenSearch domínio, consulte [Iniciando uma atualização](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting) no *Amazon OpenSearch Service Developer Guide*.

## Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados
<a name="opensearch-11"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, Nist.800-53.r5 SI-13

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** baixa

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um domínio do Amazon OpenSearch Service está configurado com pelo menos três nós primários dedicados. O controle falhará se o domínio tiver menos de três nós primários dedicados.

OpenSearch O serviço usa nós primários dedicados para aumentar a estabilidade do cluster. Um nó primário dedicado realiza tarefas de gerenciamento de cluster, mas não retem dados nem responde a solicitações de upload de dados. Recomendamos que você use o Multi-AZ com standby, o que adiciona três nós primários dedicados a cada domínio de produção OpenSearch . 

### Correção
<a name="opensearch-11-remediation"></a>

Para alterar o número de nós primários de um OpenSearch domínio, consulte [Criação e gerenciamento de domínios do Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) no *Amazon OpenSearch Service Developer Guide*.

# Controles CSPM do Security Hub para CA Privada da AWS
<a name="pca-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o Autoridade de Certificação Privada da AWS (CA Privada da AWS) serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada
<a name="pca-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** baixa

**Tipo de recurso:** `AWS::ACMPCA::CertificateAuthority`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se CA Privada da AWS tem uma autoridade de certificação raiz (CA) que está desativada. O controle falhará se a CA raiz estiver habilitada.

Com CA Privada da AWS, você pode criar uma hierarquia de CA que inclua uma CA raiz e uma subordinada CAs. É necessário minimizar o uso da CA raiz para tarefas diárias, especialmente em ambientes de produção. A CA raiz só deve ser usada para emitir certificados intermediários CAs. Isso permite que a CA raiz seja armazenada fora de perigo, enquanto o intermediário CAs executa a tarefa diária de emitir certificados de entidade final.

### Correção
<a name="pca-1-remediation"></a>

Para desabilitar a CA raiz, consulte [Atualizar o status da CA](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps) no *Guia do usuário do Autoridade de Certificação Privada da AWS *.

## [PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas
<a name="pca-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::ACMPCA::CertificateAuthority`

**Regra do AWS Config :** `acmpca-certificate-authority-tagged`

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Nenhum valor padrão  | 

Esse controle verifica se uma autoridade de certificação de CA AWS privada tem tags com as chaves específicas definidas no parâmetro`requiredKeyTags`. O controle falhará se a autoridade de certificado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredKeyTags`. Se o parâmetro `requiredKeyTags` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a autoridade de certificado não estiver marcada com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte [Melhores práticas e estratégias no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) do *usuário dos AWS recursos de marcação e do editor de tags*.

### Correção
<a name="pca-2-remediation"></a>

Para adicionar tags a uma autoridade de CA AWS privada, consulte [Adicionar tags para sua CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) no *Guia do Autoridade de Certificação Privada da AWS usuário*.

# Controles CSPM do Security Hub para Amazon RDS
<a name="rds-controls"></a>

Esses AWS Security Hub CSPM controles avaliam os recursos do Amazon Relational Database Service (Amazon RDS) e do Amazon RDS. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [RDS.1] Os snapshots do RDS devem ser privados
<a name="rds-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, (7),, (21),, (11), (16), (20), (21), (3), (4 NIST.800-53.r5 AC-3) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** crítica

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`,`AWS::RDS::DBSnapshot`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os snapshots do Amazon RDS são públicos. O controle falhará se os snapshots do RDS forem públicos. Esse controle avalia as instâncias do RDS, as instâncias de banco de dados do Aurora, as instâncias do banco de dados do Neptune e os clusters do Amazon DocumentDB.

Os snapshots do RDS são usados para fazer backup dos dados nas instâncias do RDS em determinado momento. Eles podem ser usados para restaurar estados anteriores das instâncias do RDS.

Um snapshot do RDS não deve ser público, a menos que isso seja o previsto. Se você compartilhar um snapshot manual não criptografado como público, isso o disponibilizará para todas as Contas da AWS. Isso pode resultar em exposição não intencional de dados da instância do RDS.

Observe que, se a configuração for alterada para permitir o acesso público, talvez a AWS Config regra não consiga detectar a alteração por até 12 horas. Até que a AWS Config regra detecte a alteração, a verificação é aprovada mesmo que a configuração viole a regra.

Para saber mais sobre como compartilhar um snapshot de banco de dados, consulte [Compartilhar um snapshot de banco de dados](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) no *Guia do usuário do Amazon RDS*.

### Correção
<a name="rds-1-remediation"></a>

Para remover o acesso público dos snapshots do RDS, consulte [Compartilhamento de um snapshot](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing) no *Guia do usuário do Amazon RDS*. Em **DB snapshot visibility (Visibilidade do snapshot de banco de dados)**, escolha **Private (Privado)**.

## [RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible
<a name="rds-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.3, CIS AWS Foundations Benchmark v3.0.0/2.3.3,, (21), (11), (16), NIST.800-53.r5 AC-4 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 AC-4, PCI DSS v3.2.1/1.2.1 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2 3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** crítica

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se as instâncias do Amazon RDS são acessíveis publicamente avaliando o campo `PubliclyAccessible` no item de configuração da instância.

As instâncias de banco de dados Neptune e os clusters do Amazon DocumentDB não têm o sinalizador `PubliclyAccessible` e não podem ser avaliados. No entanto, esse controle ainda pode gerar descobertas para esses recursos. É possível suprimir essas descobertas.

O valor `PubliclyAccessible` na configuração da instância do RDS indica se a instância de banco de dados é acessível publicamente. Se a instância de banco de dados for configurada com `PubliclyAccessible`, ela será uma instância voltada para a Internet com um nome de DNS que pode ser resolvido publicamente, resultando em um endereço IP público. Se a instância de banco de dados não for acessível publicamente, ela será uma instância interna com um nome de DNS que é resolvido para um endereço IP privado.

A menos que queira que a instância de RDS seja acessível publicamente, a instância de RDS não deve ser configurada com o valor `PubliclyAccessible`. Isso pode permitir tráfego desnecessário para sua instância de banco de dados.

### Correção
<a name="rds-2-remediation"></a>

Para remover o acesso público das instâncias de banco de dados do RDS, consulte [Modificar uma instância de banco de dados do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) no *Guia do usuário do Amazon RDS*. Em **Acesso público**, escolha **Não**.

## [RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.
<a name="rds-3"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.1, CIS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, (1), 3, 8, 8 (1), (10), NIST.800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6) AWS NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a criptografia de armazenamento está habilitada para suas instâncias de banco de dados do Amazon RDS.

Esse controle é destinado às instâncias de banco de dados do RDS. No entanto, ele também pode gerar descobertas para as instâncias de banco de dados do Aurora, as instâncias de banco de dados do Neptune e os clusters do Amazon DocumentDB. Se essas descobertas não forem úteis, você poderá suprimi-las.

Para obter uma camada de segurança adicional para os dados confidenciais nas instâncias de banco de dados do RDS, configure as instâncias de banco de dados do RDS para serem criptografadas em repouso. Para criptografar as instâncias de banco de dados do RDS e os snapshots em repouso, habilite a opção de criptografia para as instâncias de banco de dados do RDS. Os dados criptografados em repouso incluem o armazenamento subjacente para instâncias de banco de dados, seus backups automatizados, réplicas de leitura e snapshots. 

As instâncias de banco de dados criptografadas do RDS usam o algoritmo de criptografia AES-256 de padrão aberto para criptografar os dados no servidor que hospeda as instâncias de banco de dados do RDS. Após a criptografia dos seus dados, o Amazon RDS lida com a autenticação do acesso e a decodificação dos seus dados de forma transparente com um mínimo impacto sobre a performance. Você não precisa modificar seus aplicativos cliente de banco de dados para usar a criptografia. 

A criptografia do Amazon RDS está disponível para todos os mecanismos de banco de dados e tipos de armazenamento. A criptografia do Amazon RDS está disponível para a maioria das classes de instância de banco de dados. Para saber mais sobre as classes de instâncias de banco de dados que não são compatíveis com a criptografia do Amazon RDS, consulte [Criptografar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) no *Guia do usuário do Amazon RDS*.

### Correção
<a name="rds-3-remediation"></a>

Para obter informações sobre criptografia de instâncias de banco de dados no Amazon RDS, consulte [Criptografar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) no *Guia do usuário do Amazon RDS*.

## [RDS.4] Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso
<a name="rds-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`,` AWS::RDS::DBSnapshot`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um snapshot do banco de dados RDS está criptografado. O controle falhará se um snapshot do banco de dados do RDS não estiver criptografado.

Esse controle é destinado às instâncias de banco de dados do RDS. No entanto, ele também pode gerar descobertas para os snapshots de banco de dados do Aurora, as instâncias de banco de dados do Neptune e os clusters do Amazon DocumentDB. Se essas descobertas não forem úteis, você poderá suprimi-las.

Criptografar dados em repouso reduz o risco de um usuário não autenticado ter acesso aos dados armazenados em disco. Os dados nos snapshots do RDS devem ser criptografados em repouso para uma camada adicional de segurança.

### Correção
<a name="rds-4-remediation"></a>

Para criptografar um snapshot do RDS, consulte [Criptografar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) no *Guia do usuário do Amazon RDS*. Os dados criptografados em repouso incluem o armazenamento subjacente para instâncias de banco de dados, seus backups automatizados, réplicas de leitura e snapshots.

Você só pode criptografar uma instância de banco de dados do RDS ao criá-la, e não após a criação. Entretanto, como é possível criptografar uma cópia de um snapshot não criptografado, é possível efetivamente adicionar criptografia a uma instância de banco de dados não criptografada. Ou seja, é possível criar um snapshot da sua instância de banco de dados e depois criar uma cópia criptografada desse snapshot. Em seguida, é possível restaurar uma instância de banco de dados a partir do snapshot criptografado, logo, você terá uma cópia criptografada da sua instância de banco de dados original.

## [RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade
<a name="rds-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a alta disponibilidade está ativada para suas instâncias de banco de dados do RDS. O controle falhará se uma instância de banco de dados do RDS não estiver configurada com várias zonas de disponibilidade (AZs). Esse controle não se aplica a instâncias de banco de dados do RDS que façam parte de uma implantação de cluster de banco de dados multi-AZ.

A configuração de instâncias de banco de dados do Amazon RDS AZs ajuda a garantir a disponibilidade dos dados armazenados. As implantações Multi-AZ permitem o failover automático se houver um problema com a disponibilidade do AZ e durante a manutenção regular do RDS.

### Correção
<a name="rds-5-remediation"></a>

Para implantar suas instâncias de banco de dados em várias AZs, [modifique uma instância de banco de dados para ser uma implantação de instância de banco de dados Multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) no Guia do usuário do *Amazon RDS.*

## [RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS
<a name="rds-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `monitoringInterval`  |  Número de segundos entre os intervalos de coleta de métricas de monitoramento  |  Enum  |  `1`, `5`, `10`, `15`, `30`, `60`  |  Nenhum valor padrão  | 

Esse controle verifica se o monitoramento aprimorado está habilitado para uma instância de banco de dados do Amazon Relational Database Service (Amazon RDS). O controle falhará se o monitoramento aprimorado não estiver habilitado para a instância. Se você fornecer um valor personalizado para o parâmetro `monitoringInterval`, o controle será aprovado somente se as métricas de monitoramento aprimorado forem coletadas para a instância no intervalo especificado.

No Amazon RDS, o monitoramento aprimorado permite uma resposta mais rápida às alterações de performance na infraestrutura subjacente. Essas mudanças na performance podem resultar na falta de disponibilidade dos dados. O monitoramento aprimorado fornece métricas em tempo real para o sistema operacional no qual a instância do banco de dados do RDS é executada. Um agente está instalado na instância. O agente pode obter métricas com mais precisão do que é possível na camada do hipervisor.

As métricas de Monitoramento avançado são úteis quando você deseja ver como os diferentes processos ou threads em uma instância de banco de dados usam a CPU. Para obter mais informações, consulte [Monitoramento avançado](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) no *Guia do usuário do Amazon RDS*.

### Correção
<a name="rds-6-remediation"></a>

Para obter instruções detalhadas sobre como habilitar o monitoramento aprimorado para sua instância de banco de dados, consulte [Configurar e ativar o monitoramento aprimorado](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling) no *Guia do usuário do Amazon RDS*.

## [RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada
<a name="rds-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados do RDS tem a proteção contra exclusão habilitada. O controle falhará se o cluster de banco de dados do RDS não tiver a proteção contra exclusão habilitada.

Esse controle é destinado às instâncias de banco de dados do RDS. No entanto, ele também pode gerar descobertas para as instâncias de banco de dados do Aurora, as instâncias de banco de dados do Neptune e os clusters do Amazon DocumentDB. Se essas descobertas não forem úteis, você poderá suprimi-las.

A ativação da proteção contra exclusão de clusters oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por uma entidade não autorizada.

Quando a proteção contra exclusão estiver ativada, o cluster de banco de dados do RDS não poderá ser excluído. É necessário desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida.

### Correção
<a name="rds-7-remediation"></a>

Para ativar a proteção contra exclusão de um cluster de banco de dados do RDS, consulte [Modificar o cluster de banco de dados usando o console, a CLI e a API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) no *Guia do usuário do Amazon RDS*. Em **Proteção contra exclusão**, escolha **Habilitar proteção contra exclusão**. 

## [RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada
<a name="rds-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `databaseEngines`: `mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web` (não personalizável)

Esse controle verifica se suas instâncias de banco de dados do RDS que usam um dos mecanismos de banco de dados listados têm a proteção contra exclusão ativada. O controle falhará se a instância de banco de dados do RDS não tiver a proteção contra exclusão habilitada.

A ativação da proteção contra exclusão de instâncias oferece uma camada adicional de proteção contra a exclusão acidental do banco de dados ou a exclusão por uma entidade não autorizada.

Embora a proteção contra exclusão esteja ativada, uma instância de banco de dados do RDS não pode ser excluída. É necessário desativar a proteção contra exclusão para que uma solicitação de exclusão possa ser bem-sucedida.

### Correção
<a name="rds-8-remediation"></a>

Para ativar a proteção contra exclusão de uma instância de banco de dados do RDS, consulte [Modificar uma instância de banco de dados do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) no *Guia do usuário do Amazon RDS*. Em **Proteção contra exclusão**, escolha **Habilitar proteção contra exclusão**. 

## [RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch
<a name="rds-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma instância de banco de dados Amazon RDS está configurada para publicar os seguintes registros no Amazon CloudWatch Logs. O controle falhará se a instância não estiver configurada para publicar os seguintes registros no CloudWatch Logs:
+ Oracle: Alert, Audit, Trace, Listener
+ PostgreSQL: Postgresql, Upgrade
+ MySQL: Auditoria, Erro, Geral, SlowQuery
+ MariaDB: Auditoria, Erro, Geral, SlowQuery
+ SQL Server: Error, Agent
+ Aurora: Auditoria, erro, geral, SlowQuery
+ Aurora-MySQL: auditoria, erro, geral, SlowQuery
+ Aurora-PostgreSQL: Postgresql

Os bancos de dados do RDS devem ter os registros relevantes habilitados. O registro em log do banco de dados fornece registros detalhados das solicitações feitas ao RDS. Os logs de bancos de dados podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.

### Correção
<a name="rds-9-remediation"></a>

Para obter informações sobre a publicação de registros do banco de dados do RDS no CloudWatch Logs, consulte [Especificação dos registros a serem publicados nos CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) no Guia do usuário do *Amazon RDS.*

## [RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS
<a name="rds-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma instância de banco de dados do RDS tem a autenticação de banco de dados do IAM ativada. O controle falhará se a autenticação do IAM não estiver configurada para instâncias de banco de dados do RDS. Esse controle avalia somente instâncias do RDS com os seguintes tipos de mecanismo: `mysql`, `postgres`, `aurora`, `aurora-mysql`, `aurora-postgresql` e `mariadb`. Uma instância do RDS também deve estar em um dos seguintes estados para que uma descoberta seja gerada: `available`, `backing-up`, `storage-optimization` ou `storage-full`.

A autenticação de banco de dados do IAM permite a autenticação em instâncias de banco de dados com um token de autenticação em vez de uma senha. O tráfego de rede de e para o banco de dados é criptografado usando SSL. Para obter mais informações, consulte [Autenticação de banco de dados do IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) no *Guia do usuário do Amazon Aurora.*

### Correção
<a name="rds-10-remediation"></a>

Para ativar a autenticação do banco de dados do IAM em uma instância de banco de dados do RDS, consulte [Habilitar e desabilitar a autenticação do banco de dados do IAM](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) no *Guia do usuário do Amazon RDS*.

## [RDS.11] As instâncias do RDS devem ter backups automáticos habilitados
<a name="rds-11"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Backups ativados 

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupRetentionMinimum`  |  Período mínimo de retenção de backups em dias  |  Inteiro  |  `7` para `35`  |  `7`  | 
|  `checkReadReplicas`  |  Verifica se as instâncias de banco de dados do RDS têm backups habilitados para réplicas de leitura  |  Booleano  |  Não personalizável  |  `false`  | 

Esse controle verifica se uma instância do Amazon Relational Database Service têm backups automatizados habilitados e se o período de retenção de backups é maior ou igual ao período de tempo especificado. As réplicas de leitura são excluídas da avaliação. O controle falhará se os backups não estiverem habilitados para a instância, ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção de backup, o Security Hub CSPM usa um valor padrão de 7 dias.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança e a fortalecer a resiliência de seus sistemas. O Amazon RDS permite que você configure snapshots diários do volume completo da instância. Para obter mais informações sobre backups automatizados do Amazon RDS, consulte [Trabalho com backups](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html) no *Guia do usuário do Amazon RDS*.

### Correção
<a name="rds-11-remediation"></a>

Para habilitar backups automatizados para uma instância de banco de dados do RDS, consulte [Habilitar backups automatizados](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) no *Guia do usuário da Amazon RDS*.

## [RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS
<a name="rds-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Categoria:** Proteger > Gerenciamento de acesso seguro > Autenticação sem senha

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados do Amazon RDS tem a autenticação de banco de dados do IAM ativada.

A autenticação de banco de dados do IAM permite a autenticação sem senha para instâncias de banco de dados. A autenticação usa um token de autenticação. O tráfego de rede de e para o banco de dados é criptografado usando SSL. Para obter mais informações, consulte [Autenticação de banco de dados do IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) no *Guia do usuário do Amazon Aurora.*

### Correção
<a name="rds-12-remediation"></a>

Para ativar a autenticação do IAM em um cluster de banco de dados, consulte [Habilitar e desabilitar a autenticação de banco de dados do IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) no *Guia do usuário do Amazon Aurora*. 

## [RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas
<a name="rds-13"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.2, CIS Foundations Benchmark v3.0.0/2.3.2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), AWS PCI DSS v4.0.1/6.3.3

**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** alta

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se as atualizações automáticas de versões secundárias estão habilitadas para a instância do banco de dados do RDS.

As atualizações automáticas de versões secundárias atualizam periodicamente o banco de dados para versões recentes do respectivo mecanismo. No entanto, a atualização nem sempre inclui a versão mais recente do mecanismo de banco de dados. Se precisar manter seus bancos de dados em determinadas versões em momentos específicos, recomendamos atualizar manualmente para as versões de banco de dados necessárias de acordo com o cronograma exigido. Em casos de problemas críticos de segurança ou quando uma versão atinge sua end-of-support data, o Amazon RDS pode aplicar uma atualização de versão secundária, mesmo que você não tenha habilitado a opção de **atualização automática de versão secundária**. Para ter mais informações, consulte a documentação de atualização do Amazon RDS para seu mecanismo de banco de dados específico:
+ [Atualizações automáticas de versões secundárias do RDS for MariaDB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [Atualizações automáticas de versões secundárias do RDS for MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [Atualizações automáticas de versões secundárias do RDS for PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [Db2 nas versões do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [Atualizações de versões secundárias do Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [Atualizações do mecanismo de banco de dados Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)

### Correção
<a name="rds-13-remediation"></a>

Para habilitar atualizações automáticas de versões secundárias para uma instância de banco de dados existente, consulte [Modificar uma instância de banco de dados Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) no *Guia do usuário do Amazon RDS*. Em **Atualização automática da versão secundária**, selecione **Sim**.

## [RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado
<a name="rds-14"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SI-13(5)

**Categoria:** Recuperação > Resiliência > Backups ativados 

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `BacktrackWindowInHours`  |  Número de horas para retroceder um cluster do Aurora MySQL  |  Duplo  |  `0.1` para `72`  |  Nenhum valor padrão  | 

Esse controle verifica se um cluster do Amazon Aurora têm o retrocesso habilitado. O controle falhará se o cluster não tiver o retrocesso habilitado. Se você fornecer um valor personalizado para o parâmetro `BacktrackWindowInHours`, o controle passará somente se o cluster for retrocedido pelo período de tempo especificado.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. O backtracking do Aurora reduz o tempo de recuperação de um banco de dados para um ponto no tempo. Não é necessária uma restauração do banco de dados para fazer isso.

### Correção
<a name="rds-14-remediation"></a>

Para habilitar o retrocesso do Aurora, consulte [Configuração do retrocesso](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring) no *Guia do usuário do Amazon Aurora*.

Observe que você não pode ativar o backtracking em um cluster existente. Em vez disso, é possível criar um clone com o backtracking habilitado. Para obter mais informações sobre as limitações do backtracking do Aurora, consulte a lista de limitações em [Visão geral do backtracking](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html).

## [RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade
<a name="rds-15"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a alta disponibilidade está ativada para seus clusters de banco de dados do RDS. O controle falhará se um cluster de banco de dados do RDS não for implantado em várias zonas de disponibilidade ()AZs.

Os clusters de banco de dados do RDS devem ser configurados para vários AZs para garantir a disponibilidade dos dados armazenados. A implantação em vários AZs permite o failover automatizado no caso de um problema de disponibilidade do AZ e durante eventos regulares de manutenção do RDS.

### Correção
<a name="rds-15-remediation"></a>

Para implantar seus clusters de banco de dados em vários AZs, [modifique uma instância de banco de dados para ser uma implantação de instância de banco de dados Multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) no Guia do usuário do *Amazon RDS.*

As etapas de correção são diferentes nos bancos de dados globais do Aurora. Para configurar várias zonas de disponibilidade para um banco de dados global do Aurora, selecione seu cluster de banco de dados. Em seguida, escolha **Ações** e **Adicionar leitor** e especifique várias AZs. Para mais informações, consulte [Adicionar réplicas do Aurora a um cluster de banco de dados](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html) no *Guia do usuário do Amazon Aurora*.

## [RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados
<a name="rds-16"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Identificar > Inventário

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regra:** `rds-cluster-copy-tags-to-snapshots-enabled` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados do Amazon Aurora está configurado para copiar automaticamente tags para snapshots do cluster de banco de dados quando os snapshots são criados. O controle falhará se o cluster de banco de dados Aurora não estiver configurado para copiar tags automaticamente para snapshots do cluster quando os snapshots são criados.

A identificação e o inventário de seus ativos de TI é um aspecto essencial de governança e segurança. Você precisa ter visibilidade de todos os seus clusters de banco de dados do Amazon Aurora para avaliar seus procedimentos de segurança e atuar em possíveis pontos fracos. Os snapshots de banco de dados do Aurora devem ter as mesmas tags dos clusters de banco de dados principais. No Amazon Aurora, é possível configurar um cluster de banco de dados para copiar automaticamente todas as tags do cluster para snapshots do cluster. A ativação dessa configuração garante que os snapshots de banco de dados herdem as mesmas tags de seus clusters de banco de dados principais.

### Correção
<a name="rds-16-remediation"></a>

Para obter informações sobre como configurar um cluster de banco de dados do Amazon Aurora para copiar automaticamente tags para snapshots de banco de dados, consulte [Modificação de um cluster de banco de dados do Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html) no *Guia do usuário do Amazon Aurora*.

## [RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots
<a name="rds-17"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

**Categoria:** Identificar > Inventário

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regra:** `rds-instance-copy-tags-to-snapshots-enabled` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se as instâncias de banco de dados RDS estão configuradas para copiar todas as tags para snapshots quando os snapshots são criados.

A identificação e o inventário de seus ativos de TI é um aspecto essencial de governança e segurança. Você precisa ter visibilidade de todos as instâncias de bancos de dados do RDS para avaliar seus procedimentos de segurança e atuar em possíveis pontos fracos. É necessário marcar snapshots da mesma forma que as instâncias de banco de dados do RDS primário. A ativação dessa configuração garante que os snapshots herdem as tags de suas instâncias de banco de dados principais.

### Correção
<a name="rds-17-remediation"></a>

Para copiar automaticamente as tags para snapshots de uma instância de banco de dados do RDS, consulte [Modificar uma instância de banco de dados do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) no *Guia do usuário do Amazon RDS*. Selecione **Copiar tags para snapshots**.

## [RDS.18] As instâncias do RDS devem ser implantadas em uma VPC
<a name="rds-18"></a>

**Categoria:** Proteger > Configuração de rede segura > Recursos na VPC 

**Gravidade:** alta

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regra:** `rds-deployed-in-vpc` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma instância do Amazon RDS está implantada em uma EC2-VPC.

As VPCs fornecem vários controles de rede para proteger o acesso aos recursos do RDS. Esses controles incluem endpoints da VPC, ACLs de rede e grupos de segurança. Para aproveitar esses controles, recomendamos que você crie suas instâncias do RDS em uma EC2-VPC.

### Correção
<a name="rds-18-remediation"></a>

Para obter instruções sobre como mover instâncias do RDS para uma VPC, consulte [Atualizar a VPC para uma instância de banco de dados](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html) no *Guia do usuário do Amazon RDS*.

## [RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster
<a name="rds-19"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2

**Categoria:** Detectar > Serviços de detecção > Monitoramento de aplicativos

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::EventSubscription`

**AWS Config regra:** `rds-cluster-event-notifications-configured` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma assinatura de eventos existente do Amazon RDS para clusters de banco de dados tem notificações habilitadas para os seguintes pares de chave-valor de tipo de fonte e categoria de evento:

```
DBCluster: ["maintenance","failure"]
```

O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.

As notificações de eventos do RDS usam o Amazon SNS para informá-lo sobre alterações na disponibilidade ou na configuração dos seus recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, consulte [Usar a notificação de evento do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) no *Guia do usuário do Amazon RDS*.

### Correção
<a name="rds-19-remediation"></a>

Para assinar notificações de eventos de cluster do RDS, consulte [Assinatura da notificação de eventos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) no *Guia do usuário do Amazon RDS*. Use os seguintes valores:


| Campo | Valor | 
| --- | --- | 
|  Source type (Tipo de origem)  |  Clusters  | 
|  Clusters a serem incluídos  |  Todos os clusters  | 
|  Categorias de eventos a serem incluídas  |  Selecione categorias de eventos específicas ou Todas as categorias de eventos  | 

## [RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados
<a name="rds-20"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2

**Categoria:** Detectar > Serviços de detecção > Monitoramento de aplicativos

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::EventSubscription`

**AWS Config regra:** `rds-instance-event-notifications-configured` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma assinatura de eventos existente do Amazon RDS para instâncias de banco de dados tem notificações habilitadas para os seguintes pares de chave-valor de tipo de fonte e categoria de evento:

```
DBInstance: ["maintenance","configuration change","failure"]
```

O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.

As notificações de eventos do RDS usam o Amazon SNS para informá-lo sobre mudanças na disponibilidade ou na configuração dos seus recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, consulte [Usar a notificação de evento do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) no *Guia do usuário do Amazon RDS*.

### Correção
<a name="rds-20-remediation"></a>

Para assinar notificações de eventos de instâncias do RDS, consulte [Assinatura da notificação de eventos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) no *Guia do usuário do Amazon RDS*. Use os seguintes valores:


| Campo | Valor | 
| --- | --- | 
|  Source type (Tipo de origem)  |  Instâncias  | 
|  Instâncias a serem incluídas  |  Todas as instâncias  | 
|  Categorias de eventos a serem incluídas  |  Selecione categorias de eventos específicas ou Todas as categorias de eventos  | 

## [RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados
<a name="rds-21"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2

**Categoria:** Detectar > Serviços de detecção > Monitoramento de aplicativos

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::EventSubscription`

**AWS Config regra:** `rds-pg-event-notifications-configured` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma assinatura de eventos existente do Amazon RDS tem notificações habilitadas para os seguintes pares de chave-valor de tipo de fonte e categoria de evento. O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.

```
DBParameterGroup: ["configuration change"]
```

As notificações de eventos do RDS usam o Amazon SNS para informá-lo sobre mudanças na disponibilidade ou na configuração dos seus recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, consulte [Usar a notificação de evento do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) no *Guia do usuário do Amazon RDS*.

### Correção
<a name="rds-21-remediation"></a>

Para assinar notificações de eventos de grupos de parâmetros de bancos de dados do RDS, consulte [Assinatura da notificação de eventos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) no *Guia do usuário do Amazon RDS*. Use os seguintes valores:


| Campo | Valor | 
| --- | --- | 
|  Source type (Tipo de origem)  |  Grupos de parâmetros  | 
|  Grupos de parâmetros a serem incluídos  |  Todos os grupos de parâmetros  | 
|  Categorias de eventos a serem incluídas  |  Selecione categorias de eventos específicas ou Todas as categorias de eventos  | 

## [RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados
<a name="rds-22"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-2, PCI DSS v4.0.1/11.5.2

**Categoria:** Detectar > Serviços de detecção > Monitoramento de aplicativos

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::EventSubscription`

**AWS Config regra:** `rds-sg-event-notifications-configured` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma assinatura de eventos existente do Amazon RDS tem notificações habilitadas para os seguintes pares de chave-valor de tipo de fonte e categoria de evento. O controle é aprovado se não houver assinaturas de eventos existentes em sua conta.

```
DBSecurityGroup: ["configuration change","failure"]
```

As notificações de eventos do RDS usam o Amazon SNS para informá-lo sobre mudanças na disponibilidade ou na configuração dos seus recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, consulte [Usar a notificação de evento do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) no *Guia do usuário do Amazon RDS*.

### Correção
<a name="rds-22-remediation"></a>

Para assinar notificações de eventos de instâncias do RDS, consulte [Assinatura da notificação de eventos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) no *Guia do usuário do Amazon RDS*. Use os seguintes valores:


| Campo | Valor | 
| --- | --- | 
|  Source type (Tipo de origem)  |  Grupos de segurança  | 
|  Grupos de segurança a serem incluídos  |  Todos os grupos de segurança  | 
|  Categorias de eventos a serem incluídas  |  Selecione categorias de eventos específicas ou Todas as categorias de eventos  | 

## [RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados
<a name="rds-23"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regra:** `rds-no-default-ports` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster ou instância do RDS usa uma porta diferente da porta padrão do mecanismo de banco de dados. O controle falhará se o cluster ou a instância do RDS usar a porta padrão. Esse controle não se aplica às instâncias do RDS que façam parte de um cluster.

Se você usar uma porta conhecida para implantar um cluster ou instância do RDS, um invasor poderá adivinhar informações sobre o cluster ou a instância. O invasor pode usar essas informações em conjunto com outras informações para se conectar a um cluster ou instância do RDS ou obter informações adicionais sobre seu aplicativo.

Ao alterar a porta, você também deve atualizar as cadeias de conexão existentes que foram usadas para se conectar à porta antiga. Você também deve verificar o grupo de segurança da instância de banco de dados para garantir que ele inclua uma regra de entrada que permita conectividade na nova porta.

### Correção
<a name="rds-23-remediation"></a>

Para modificar a porta padrão de uma instância de banco de dados RDS existente, consulte [Modificar uma instância de banco de dados Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) no *Guia do usuário do Amazon RDS*. Para modificar a porta padrão de um cluster de banco de dados Neptune existente, consulte [Modificar o cluster de banco de dados usando o console, a CLI e a API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) no *Guia do usuário do Amazon Aurora*. Em **Porta do banco de dados**, altere o valor da porta para um valor não padrão.

## [RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado
<a name="rds-24"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2

**Categoria:** Identificar > Configuração de recursos

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** `[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados do Amazon RDS alterou o nome de usuário do administrador de seu valor padrão. O controle não se aplica a mecanismos do tipo neptune (Neptune DB) ou docdb (DocumentDB). Essa regra falhará se o nome de usuário do administrador estiver definido com o valor padrão.

Ao criar um banco de dados do Amazon RDS, é necessário alterar o nome de usuário do administrador padrão para um valor exclusivo. Os nomes de usuário padrão são de conhecimento público e devem ser alterados durante a criação do banco de dados RDS. Alterar os nomes de usuário padrão reduz o risco de acesso não intencional.

### Correção
<a name="rds-24-remediation"></a>

Para alterar o nome de usuário do administrador associado ao cluster de banco de dados do Amazon RDS, [crie um novo cluster de banco de dados do RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html) e altere o nome de usuário do administrador padrão ao criar o banco de dados.

## [RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado
<a name="rds-25"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2

**Categoria:** Identificar > Configuração de recursos

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** `[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se você alterou o nome de usuário administrativo para as instâncias de banco de dados do Amazon Relational Database Service (Amazon RDS) do valor padrão do nome de usuário administrativo para as instâncias de banco de dados do Amazon Relational Database Service (Amazon RDS). Esse controle falha se o nome de usuário do administrador estiver definido com o valor padrão. O controle não se aplica a mecanismos do tipo neptune (Neptune DB) ou docdb (DocumentDB) e a instâncias do RDS que façam parte de um cluster. 

Os nomes de usuário administrativos padrão nos bancos de dados do Amazon RDS são de conhecimento público. Ao criar um banco de dados do Amazon RDS, é necessário alterar o nome de usuário do administrador padrão para um valor exclusivo de modo a reduzir o risco de acesso acidental.

### Correção
<a name="rds-25-remediation"></a>

Para alterar o nome de usuário administrativo associado a uma instância do banco de dados do RDS, primeiro [crie uma nova instância do banco de dados do RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html). Altere o nome de usuário administrativo padrão ao criar o banco de dados.

## [RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup
<a name="rds-26"></a>

**Categoria:** Recuperação > Resiliência > Backups ativados

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html)**``

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  O controle produz uma `PASSED` descoberta se o parâmetro estiver definido como verdadeiro e o recurso usar o AWS Backup Vault Lock.  |  Booleano  |  `true` ou `false`  |  Nenhum valor padrão  | 

Esse controle avalia se as instâncias de banco de dados do Amazon RDS estão cobertas por um plano de backup. Esse controle falhará se a instância de banco de dados do RDS não estiver coberta por um plano de backup. Se você definir o `backupVaultLockCheck` parâmetro igual a`true`, o controle passará somente se o backup da instância for feito em um cofre AWS Backup bloqueado.

**nota**  
Esse controle não avalia as instâncias do Neptune e do DocumentDB. Ele também não avalia instâncias de banco de dados do RDS que sejam membros de um cluster.

AWS Backup é um serviço de backup totalmente gerenciado que centraliza e automatiza o backup dos dados. Serviços da AWS Com AWS Backup, você pode criar políticas de backup chamadas planos de backup. É possível usar esses planos para definir seus requisitos de backup, como a frequência com a qual fazer o backup de seus dados e por quanto tempo manter esses backups. Incluir instâncias de bancos de dados do RDS em seus planos de backup ajuda a proteger seus dados contra perda ou exclusão não intencionais.

### Correção
<a name="rds-26-remediation"></a>

Para adicionar uma instância de banco de dados do RDS a um plano de AWS Backup backup, consulte [Atribuição de recursos a um plano de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) no Guia do *AWS Backup desenvolvedor*.

## [RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
<a name="rds-27"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html)**``

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados RDS é criptografado em repouso. O controle falhará se um cluster de banco de dados do RDS não estiver criptografado em repouso.

Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los. Criptografar seus clusters de banco de dados RDS protege seus dados e metadados contra acesso não autorizado. Ele também atende aos requisitos de conformidade para data-at-rest criptografia de sistemas de arquivos de produção.

### Correção
<a name="rds-27-remediation"></a>

É possível ativar a criptografia em repouso ao criar um cluster de banco de dados do RDS. Não é possível alterar as configurações de criptografia após a criação de um cluster. Para obter mais informações, consulte [Criptografar um cluster de banco de dados do Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling) no *Guia do usuário do Amazon Aurora*.

## [RDS.28] Os clusters de bancos de dados do RDS devem ser marcados
<a name="rds-28"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regra:** `tagged-rds-dbcluster` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um cluster de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o cluster de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o cluster de banco de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="rds-28-remediation"></a>

Para adicionar tags a um cluster de banco de dados do RDS, consulte [Marcar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon RDS*.

## [RDS.29] Os snapshots de cluster de bancos de dados do RDS devem ser marcados
<a name="rds-29"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`

**AWS Config regra:** `tagged-rds-dbclustersnapshot` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um snapshot de cluster de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o snapshot de cluster de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de cluster de banco de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="rds-29-remediation"></a>

Para adicionar tags a um snapshot de cluster de banco de dados do RDS, consulte [Marcar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon RDS*.

## [RDS.30] As instâncias de bancos de dados do RDS devem ser marcadas
<a name="rds-30"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regra:** `tagged-rds-dbinstance` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma instância de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a instância de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a instância de banco de dados não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="rds-30-remediation"></a>

Para adicionar tags a uma instância de banco de dados do RDS, consulte [Marcar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon RDS*.

## [RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados
<a name="rds-31"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBSecurityGroup`

**AWS Config regra:** `tagged-rds-dbsecuritygroup` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um grupo de segurança de banco de dados do Amazon RDS tem tags com chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o grupo de segurança de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de segurança de banco de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="rds-31-remediation"></a>

Para adicionar tags a um grupo de segurança de banco de dados do RDS, consulte [Marcar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon RDS*.

## [RDS.32] Os snapshots de banco de dados do RDS devem ser marcados
<a name="rds-32"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBSnapshot`

**AWS Config regra:** `tagged-rds-dbsnapshot` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um snapshot de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o snapshot de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de banco de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="rds-32-remediation"></a>

Para adicionar tags a um snapshot do RDS, consulte [Marcar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon RDS*.

## [RDS.33] Os grupos de sub-redes de banco de dados do RDS devem ser marcados
<a name="rds-33"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBSubnetGroup`

**AWS Config regra:** `tagged-rds-dbsubnetgroups` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um grupo de sub-redes de banco de dados do Amazon RDS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o grupo de sub-redes de banco de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de sub-redes de banco de dados não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="rds-33-remediation"></a>

Para adicionar tags a um grupo de sub-redes de banco de dados do RDS, consulte [Marcar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon RDS*.

## [RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch
<a name="rds-34"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html)**``

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados Amazon Aurora MySQL está configurado para publicar logs de auditoria no Amazon Logs. CloudWatch O controle falhará se o cluster não estiver configurado para publicar registros de auditoria no CloudWatch Logs. O controle não gera descobertas para clusters de banco de dados do Aurora Serverless v1.

Os logs de auditoria capturam um registro da atividade do banco de dados, incluindo tentativas de login, modificações de dados, alterações de esquema e outros eventos que podem ser auditados para fins de segurança e conformidade. Ao configurar um cluster de banco de dados Aurora MySQL para publicar registros de auditoria em um grupo de logs no Amazon CloudWatch Logs, você pode realizar análises em tempo real dos dados de log. CloudWatch O Logs retém os registros em um armazenamento altamente durável. Você também pode criar alarmes e visualizar métricas no CloudWatch.

**nota**  
Uma forma alternativa de publicar registros de auditoria no Logs é habilitar a auditoria avançada e definir o parâmetro de banco de CloudWatch dados em nível de cluster como. `server_audit_logs_upload` `1` O padrão para `server_audit_logs_upload parameter` é `0`. No entanto, recomendamos que você use as seguintes instruções de correção para passar esse controle.

### Correção
<a name="rds-34-remediation"></a>

*Para publicar registros de auditoria do cluster de banco de dados Aurora MySQL no Logs, consulte Publicação de CloudWatch registros do Amazon [Aurora MySQL no Amazon Logs CloudWatch no Guia do usuário do Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) Aurora.*

## [RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada
<a name="rds-35"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html)**``

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a atualização automática de versões secundárias está habilitada para um cluster de banco de dados Multi-AZ do Amazon RDS. O controle falhará se a atualização automática de versões secundárias não estiver habilitada para um cluster de bancos de dados Multi-AZ.

O RDS fornece a atualização automática de versões secundárias para que você possa manter o cluster de bancos de dados Multi-AZ atualizado. Versões secundárias podem introduzir novos atributos de software, correções de bugs, patches de segurança e melhorias de performance. Ao habilitar a atualização automática de versões secundárias em clusters de banco de dados do RDS, o cluster, junto com as instâncias no cluster, receberá atualizações automáticas para a versão secundária quando novas versões estiverem disponíveis. As atualizações são aplicadas automaticamente durante o período de manutenção.

### Correção
<a name="rds-35-remediation"></a>

Para habilitar a atualização automática de versões secundárias em clusters de banco de dados Multi-AZ, consulte [Modificar um cluster de banco de dados Multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html) no *Guia do usuário do Amazon RDS*.

## [RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch
<a name="rds-36"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Lista separada por vírgula dos tipos de registro a serem publicados no Logs CloudWatch   |  StringList  |  Não personalizável  |  `postgresql`  | 

Esse controle verifica se uma instância de banco de dados Amazon RDS for PostgreSQL está configurada para publicar registros no Amazon Logs. CloudWatch O controle falhará se a instância de banco de dados PostgreSQL não estiver configurada para publicar os tipos de log mencionados `logTypes` no parâmetro em Logs. CloudWatch 

O registro em log de banco de dados fornece registros detalhados das solicitações feitas a uma instância do RDS. O PostgreSQL gera arquivos de log de eventos que contêm informações úteis para os administradores. A publicação desses registros no CloudWatch Logs centraliza o gerenciamento de registros e ajuda você a realizar análises em tempo real dos dados de registro. CloudWatch O Logs retém os registros em um armazenamento altamente durável. Você também pode criar alarmes e visualizar métricas noCloudWatch.

### Correção
<a name="rds-36-remediation"></a>

*Para publicar registros CloudWatch da instância de banco de dados PostgreSQL no Logs, consulte [Publicação de logs do PostgreSQL no Amazon Logs no Guia do usuário do CloudWatch Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs) RDS.*

## [RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch
<a name="rds-37"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados Amazon Aurora PostgreSQL está configurado para publicar logs no Amazon Logs. CloudWatch O controle falhará se o cluster de banco de dados Aurora PostgreSQL não estiver configurado para publicar registros do PostgreSQL no Logs. CloudWatch 

O registro em log de banco de dados fornece registros detalhados das solicitações feitas a um cluster do RDS. O PostgreSQL do Aurora gera arquivos de log de eventos que contêm informações úteis para os administradores. A publicação desses registros no CloudWatch Logs centraliza o gerenciamento de registros e ajuda você a realizar análises em tempo real dos dados de registro. CloudWatch O Logs retém os registros em um armazenamento altamente durável. Você também pode criar alarmes e visualizar métricas no CloudWatch.

### Correção
<a name="rds-37-remediation"></a>

*Para publicar registros do cluster de banco de dados Aurora PostgreSQL no Logs, CloudWatch consulte Publicação de logs do Aurora [PostgreSQL no Amazon Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html) no Guia do usuário do Amazon RDS. CloudWatch *

## [RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito
<a name="rds-38"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se uma conexão com uma instância Amazon RDS for PostgreSQL de banco de dados (DB) está criptografada em trânsito. O controle falhará se o parâmetro `rds.force_ssl` do grupo de parâmetros associado à instância estiver definido como `0` (desativado). Esse controle não avalia instâncias de banco de dados do RDS que façam parte de um cluster.

Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.

### Correção
<a name="rds-38-remediation"></a>

Para exigir que todas as conexões com sua instância de banco de dados do RDS para PostgreSQL usem SSL, consulte [USo de SSL com uma instância de banco de dados do PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html) no *Guia do usuário do Amazon RDS*.

## [RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito
<a name="rds-39"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se uma conexão com uma instância Amazon RDS for MySQL de banco de dados (DB) está criptografada em trânsito. O controle falhará se o parâmetro `rds.require_secure_transport` do grupo de parâmetros associado à instância estiver definido como `0` (desativado). Esse controle não avalia instâncias de banco de dados do RDS que façam parte de um cluster.

Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.

### Correção
<a name="rds-39-remediation"></a>

Para exigir que todas as conexões com sua instância de banco de dados do RDS para MySQL usem SSL, consulte [Suporte de SSL/TLS para instâncias de banco de dados do MySQL no Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html) no *Guia do usuário do Amazon RDS*.

## [RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch
<a name="rds-40"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (10), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Uma lista dos tipos de registros que uma instância de banco de dados do RDS para SQL Server deve ser configurada para publicar no CloudWatch Logs. Esse controle falhará se uma instância de banco de dados não estiver configurada para publicar um tipo de log especificado na lista.  |  EnumList (máximo de 2 itens)  |  `agent`, `error`  |  `agent`, `error`  | 

Esse controle verifica se uma instância de banco de dados Amazon RDS for Microsoft SQL Server está configurada para publicar logs no CloudWatch Amazon Logs. O controle falhará se a instância de banco de dados do RDS for SQL Server não estiver configurada para publicar registros no CloudWatch Logs. Opcionalmente, é possível especificar os tipos de logs que uma instância de banco de dados deve ser configurada para publicar.

O registro em log de banco de dados fornece registros detalhados das solicitações feitas a uma instância de banco de dados do Amazon RDS. A publicação de registros no CloudWatch Logs centraliza o gerenciamento de registros e ajuda você a realizar análises em tempo real dos dados de log. CloudWatch O Logs retém os registros em um armazenamento altamente durável. Além disso, é possível usá-lo para criar alarmes para erros específicos que podem ocorrer, como reinicializações frequentes registradas em um log de erros. Da mesma forma, é possível criar alarmes para erros ou avisos registrados nos logs do agente do SQL Server relacionados aos trabalhos do agente do SQL.

### Correção
<a name="rds-40-remediation"></a>

Para obter informações sobre a publicação de registros em CloudWatch Logs para uma instância de banco de dados RDS for SQL Server, consulte os arquivos de [log do banco de dados do Amazon RDS for Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html) no Guia do Usuário *do Amazon Relational* Database Service.

## [RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito
<a name="rds-41"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se uma conexão com uma instância do banco de dados do Amazon RDS para Microsoft SQL Server é criptografada em trânsito. O controle falhará se o parâmetro `rds.force_ssl` do grupo de parâmetros associado à instância de banco de dados estiver definido como `0 (off)`.

Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós de um cluster de banco de dados ou entre um cluster de banco de dados e uma aplicação do cliente. Os dados podem se mover ao longo da Internet ou dentro de uma rede privada. Criptografar dados em trânsito reduz o risco de usuários não autorizados espionarem o tráfego da rede.

### Correção
<a name="rds-41-remediation"></a>

Para obter informações sobre como habilitar SSL/TLS conexões com instâncias de banco de dados do Amazon RDS executando o Microsoft SQL Server, consulte Como [usar SSL com uma instância de banco de dados Microsoft SQL Server no Guia](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html) do usuário do *Amazon Relational Database Service*.

## [RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch
<a name="rds-42"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), (10) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Uma lista dos tipos de registros que uma instância de banco de dados MariaDB deve ser configurada para publicar no Logs. CloudWatch O controle gerará uma descoberta `FAILED` se uma instância de banco de dados não estiver configurada para publicar um tipo de log especificado na lista.  |  EnumList (máximo de 4 itens)  |  `audit`, `error`, `general`, `slowquery`  |  `audit, error`  | 

Esse controle verifica se uma instância de banco de dados Amazon RDS for MariaDB está configurada para publicar determinados tipos de registros no Amazon Logs. CloudWatch O controle falhará se a instância de banco de dados MariaDB não estiver configurada para publicar os registros no Logs. CloudWatch Opcionalmente, é possível especificar que tipos de logs uma instância de banco de dados do MariaDB deve ser configurada para publicar.

O registro em log de banco de dados fornece registros detalhados das solicitações feitas a uma instância de banco de dados do Amazon RDS para MariaDB. A publicação de registros no Amazon CloudWatch Logs centraliza o gerenciamento de registros e ajuda você a realizar análises em tempo real dos dados de log. Além disso, o CloudWatch Logs retém os registros em um armazenamento durável, que pode oferecer suporte a análises e auditorias de segurança, acesso e disponibilidade. Com o CloudWatch Logs, você também pode criar alarmes e analisar métricas.

### Correção
<a name="rds-42-remediation"></a>

*Para obter informações sobre como configurar uma instância de banco de dados Amazon RDS for MariaDB para publicar registros no Amazon Logs, consulte [Publicação de registros do MariaDB no CloudWatch Amazon Logs no Guia do usuário CloudWatch do Amazon Relational Database](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html) Service.*

## [RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões
<a name="rds-43"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBProxy`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um proxy de banco de dados do Amazon RDS exige TLS para todas as conexões entre o proxy e a instância de banco de dados subjacente do RDS. O controle falhará se o proxy não exigir TLS para todas as conexões entre o proxy e a instância de banco de dados do RDS.

O Amazon RDS Proxy pode atuar como uma camada adicional de segurança entre aplicações do cliente e as instâncias de banco de dados do RDS subjacentes. Por exemplo, é possível se conectar ao proxy do RDS usando o TLS 1.3, mesmo que a instância de banco de dados subjacente ofereça suporte a uma versão mais antiga do TLS. Usando o RDS Proxy, é possível aplicar requisitos de autenticação fortes para aplicações de banco de dados.

### Correção
<a name="rds-43-remediation"></a>

Para obter informações sobre como alterar as configurações de um Amazon RDS Proxy para exigir TLS, consulte [Modificação de um proxy do RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html) no *Guia do usuário do Amazon Relational Database Service*.

## [RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito
<a name="rds-44"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se as conexões a uma instância do banco de dados do Amazon RDS para MariaDB são criptografadas em trânsito. O controle falhará se o grupo de parâmetros de banco de dados associado à instância de banco de dados não estiver em sincronia, ou se o parâmetro `require_secure_transport` do grupo de parâmetros não estiver definido como `ON`.

**nota**  
Esse controle não avalia instâncias de banco de dados do Amazon RDS que usem versões do MariaDB anteriores à versão 10.5. Há suporte para o parâmetro `require_secure_transport` somente no MariaDB versão 10.5 e posteriores.

Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós de um cluster de banco de dados ou entre um cluster de banco de dados e uma aplicação do cliente. Os dados podem se mover ao longo da Internet ou dentro de uma rede privada. Criptografar dados em trânsito reduz o risco de usuários não autorizados espionarem o tráfego da rede.

### Correção
<a name="rds-44-remediation"></a>

*Para obter informações sobre como habilitar SSL/TLS conexões com uma instância de banco de dados Amazon RDS for MariaDB[, SSL/TLS consulte Exigindo todas as conexões com uma instância de banco de dados MariaDB no Guia do usuário do Amazon Relational](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html) Database Service.*

## [RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado
<a name="rds-45"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados Amazon Aurora MySQL tem o log de auditoria habilitado. O controle falhará se o grupo de parâmetros de banco de dados associado ao cluster de banco de dados não estiver em sincronia, se o parâmetro `server_audit_logging` não estiver definido como `1` ou se o parâmetro `server_audit_events` estiver definido como um valor vazio.

Os logs de bancos de dados podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. Os logs de auditoria capturam um registro da atividade do banco de dados, incluindo tentativas de login, modificações de dados, alterações de esquema e outros eventos que podem ser auditados para fins de segurança e conformidade.

### Correção
<a name="rds-45-remediation"></a>

*Para obter informações sobre como habilitar o registro em log para um cluster de banco de dados Amazon Aurora MySQL, consulte Publicação de registros do [Amazon Aurora MySQL no Amazon Logs CloudWatch no Guia do usuário do Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) Aurora.*

## [RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet
<a name="rds-46"></a>

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** alta

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se uma instância de banco de dados do Amazon RDS é implantada em uma sub-rede pública que tenha uma rota para um gateway da Internet. O controle falhará se a instância de banco de dados do RDS for implantada em uma sub-rede que tenha uma rota para um gateway da Internet e o destino for definido como `0.0.0.0/0` ou `::/0`.

Ao provisionar seus recursos do Amazon RDS em sub-redes privadas, é possível impedir que seus recursos do RDS recebam tráfego de entrada da Internet pública, o que pode impedir o acesso não intencional às suas instâncias de banco de dados do RDS. Se os recursos do RDS forem provisionados em uma sub-rede pública aberta à Internet, eles poderão estar vulneráveis a riscos como a exfiltração de dados.

### Correção
<a name="rds-46-remediation"></a>

Para obter informações sobre o provisionamento de uma sub-rede privada para uma instância de banco de dados do Amazon RDS, consulte [Trabalho com uma instância de banco de dados em uma VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html) no *Guia do usuário do Amazon Relational Database Service*.

## [RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots
<a name="rds-47"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados do Amazon RDS para PostgreSQL está configurado para copiar automaticamente tags para snapshots do cluster de banco de dados quando os snapshots são criados. O controle falhará se o parâmetro `CopyTagsToSnapshot` for definido como `false` para o cluster de banco de dados do RDS para PostgreSQL.

A cópia de tags para snapshots de banco de dados ajuda a manter o controle adequado de recursos, a governança e a alocação de custos entre os recursos de backup. Isso permite a identificação consistente de recursos, controle de acesso e monitoramento de conformidade em bancos de dados ativos e seus snapshots. Os snapshots devidamente marcados com tags melhoram as operações de segurança ao garantir que os recursos de backup herdem os mesmos metadados dos bancos de dados de origem.

### Correção
<a name="rds-47-remediation"></a>

Para obter informações sobre como configurar um cluster de banco de dados do Amazon RDS para PostgreSQL para copiar automaticamente tags para snapshots de banco de dados, consulte [Aplicação de tags em recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon Relational Database Service*.

## [RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots
<a name="rds-48"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster de banco de dados do Amazon RDS para MySQL está configurado para copiar automaticamente tags para snapshots do cluster de banco de dados quando os snapshots são criados. O controle falhará se o parâmetro `CopyTagsToSnapshot` for definido como `false` para o cluster de banco de dados do RDS para MySQL.

A cópia de tags para snapshots de banco de dados ajuda a manter o controle adequado de recursos, a governança e a alocação de custos entre os recursos de backup. Isso permite a identificação consistente de recursos, controle de acesso e monitoramento de conformidade em bancos de dados ativos e seus snapshots. Os snapshots devidamente marcados com tags melhoram as operações de segurança ao garantir que os recursos de backup herdem os mesmos metadados dos bancos de dados de origem.

### Correção
<a name="rds-48-remediation"></a>

Para obter informações sobre como configurar um cluster de banco de dados do Amazon RDS para MySQL para copiar automaticamente tags para snapshots de banco de dados, consulte [Aplicação de tags em recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) no *Guia do usuário do Amazon Relational Database Service*.

## [RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido
<a name="rds-50"></a>

**Categoria:** Recuperação > Resiliência > Backups ativados 

**Gravidade:** média

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  O período mínimo de retenção de backup em dias para verificação do controle  |  Inteiro  |  `7` para `35`  |  `7`  | 

Esse controle verifica se um cluster de banco de dados do RDS tem um período mínimo de retenção de backup. O controle falhará se o período de retenção do backup for menor que o valor do parâmetro especificado. A menos que você forneça um valor de parâmetro personalizado, o Security Hub usa um valor padrão de 7 dias.

Esse controle verifica se um cluster de banco de dados do RDS tem um período mínimo de retenção de backup. O controle falhará se o período de retenção do backup for menor que o valor do parâmetro especificado. A menos que você forneça um valor de parâmetro do cliente, o Security Hub usa um valor padrão de 7 dias. Esse controle se aplica a todos os tipos de clusters de banco de dados do RDS, incluindo cluster de banco de dados Aurora, clusters DocumentDB, clusters NeptuneDB etc.

### Correção
<a name="rds-50-remediation"></a>

Para configurar o período de retenção de backup para um cluster de banco de dados do RDS, modifique as configurações do cluster e defina o período de retenção de backup para pelo menos 7 dias (ou o valor especificado no parâmetro de controle). Para obter instruções detalhadas, consulte [Período de retenção de backup](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html) no Guia do *usuário do Amazon Relational Database Service*. Para clusters de banco de dados Aurora, consulte [Visão geral do backup e restauração de um cluster de banco de dados Aurora no Guia do usuário do Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html) para *Aurora*. Para outros tipos de clusters de banco de dados (por exemplo, clusters DocumentDB), consulte o guia do usuário do serviço correspondente para saber como atualizar o período de retenção de backup do cluster. 

# Controles de CSPM do Security Hub para Amazon Redshift
<a name="redshift-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Redshift. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
<a name="redshift-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** crítica

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum 

Esse controle verifica se os clusters Amazon Redshift estão acessíveis publicamente. Ele avalia o campo `PubliclyAccessible` no item de configuração do cluster. 

O atributo `PubliclyAccessible` da configuração do cluster do Amazon Redshift indica se o cluster está acessível publicamente. Quando um cluster é configurado com `PubliclyAccessible` em `true`, ele será uma instância voltada para a Internet com um nome de DNS que pode ser resolvido publicamente, resultando em um endereço IP público.

Se um cluster não for acessível publicamente, ele será uma instância interna com um nome de DNS que é resolvido para um endereço IP privado. A menos que você pretenda que seu cluster seja acessível publicamente, o cluster não deve ser configurado com `PubliclyAccessible` definido como `true`.

### Correção
<a name="redshift-1-remediation"></a>

Para atualizar um cluster do Amazon Redshift para desativar o acesso público, consulte [Modificar um cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) no *Guia de gerenciamento do Amazon Redshift*. Defina **Acessível ao público** como **Sim**.

## [Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
<a name="redshift-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se as conexões com os clusters do Amazon Redshift são necessárias para usar criptografia em trânsito. A verificação falhará se o parâmetro de cluster do Amazon Redshift `require_SSL` não estiver definido como `True`.

O TLS pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas via TLS devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS. 

### Correção
<a name="redshift-2-remediation"></a>

Para atualizar um grupo de parâmetros do Amazon Redshift para exigir criptografia, consulte [Modificar um grupo de parâmetros](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) no *Guia de gerenciamento do Amazon Redshift*. Defina `require_ssl` como **verdadeiro**.

## [Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados
<a name="redshift-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-13 (5)

**Categoria:** Recuperação > Resiliência > Backups ativados 

**Gravidade:** média

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `​MinRetentionPeriod`  |  Período mínimo de retenção de snapshot em dias  |  Inteiro  |  `7` para `35`  |  `7`  | 

Esse controle verifica se um cluster do Amazon Redshift tem snapshots automatizados habilitados e um período de retenção maior ou igual ao período de tempo especificado. O controle falhará se os snapshots automatizados não estiverem habilitados para o cluster, ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do snapshot, o Security Hub CSPM usa um valor padrão de 7 dias.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. O Amazon Redshift faz snapshots periódicos por padrão. Esse controle verifica se os snapshots automáticos estão habilitados e retidos por pelo menos sete dias. Para obter mais detalhes sobre os snapshots automatizados do Amazon Redshift, consulte [snapshots automatizados](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) no *Guia de gerenciamento do Amazon Redshift*.

### Correção
<a name="redshift-3-remediation"></a>

Para atualizar o período de retenção de snapshots para um cluster do Amazon Redshift, consulte [Modificar um cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) no *Guia de gerenciamento do Amazon Redshift*. Em **Backup**, defina **Retenção de snapshots** para um valor de 7 ou mais.

## [Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
<a name="redshift-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::Redshift::Cluster`

**AWS Config regra:** `redshift-cluster-audit-logging-enabled` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum 

Esse controle verifica se um cluster do Amazon Redshift tem log de auditoria habilitado.

O registro em log de auditoria do Amazon Redshift fornece informações adicionais sobre conexões e atividades do usuário em seu cluster. Esses dados podem ser armazenados e protegidos no Amazon S3 e podem ser úteis em auditorias e investigações de segurança. Para obter mais informações, consulte [Registros em logo de auditoria de bancos de dados](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) no *Guia de gerenciamento do Amazon Redshift*.

### Correção
<a name="redshift-4-remediation"></a>

Para configurar o registro de auditoria para um cluster do Amazon Redshift, consulte [Configurar auditoria usando o console](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) no *Guia de gerenciamento do Amazon Redshift*.

## [Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas
<a name="redshift-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)

**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** média

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `allowVersionUpgrade = true` (não personalizável)

Esse controle verifica se as atualizações automáticas de versões principais estão habilitadas para o cluster do Amazon Redshift.

A ativação de atualizações automáticas de versões principais garante que as atualizações mais recentes da versão principal dos clusters do Amazon Redshift sejam instaladas durante a janela de manutenção. Essas atualizações podem incluir patches de segurança e correções de erros. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas.

### Correção
<a name="redshift-6-remediation"></a>

Para corrigir esse problema a partir do AWS CLI, use o comando Amazon `modify-cluster` Redshift e `--allow-version-upgrade` defina o atributo. `clustername`é o nome do seu cluster do Amazon Redshift.

```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```

## [Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado
<a name="redshift-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Categoria:** Proteger > Configuração de rede segura > Acesso privado a API

**Gravidade:** média

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster do Amazon Redshift foi `EnhancedVpcRouting` ativado.

O roteamento aprimorado de VPC força todo o tráfego `COPY` e `UNLOAD` entre o cluster e os repositórios de dados a passar pela sua VPC. Em seguida, você pode usar recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego da rede. Também é possível usar logs de fluxo da VPC para monitorar o tráfego de rede.

### Correção
<a name="redshift-7-remediation"></a>

Para obter instruções detalhadas de correção, consulte [Ativar roteamento aprimorado de VPC](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) no *Guia de gerenciamento do Amazon Redshift*.

## [Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
<a name="redshift-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Identificar > Configuração de recursos

**Gravidade:** média

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um cluster do Amazon Redshift alterou o nome de usuário do administrador de seu valor padrão. Esse controle falhará se o nome de usuário do administrador de um cluster do Redshift estiver definido como `awsuser`

Ao criar um cluster do Redshift, é necessário alterar o nome de usuário do administrador padrão para um valor exclusivo. Os nomes de usuário padrão são de conhecimento público e devem ser alterados na configuração. Alterar os nomes de usuário padrão reduz o risco de acesso não intencional.

### Correção
<a name="redshift-8-remediation"></a>

Você não pode alterar o nome de usuário do administrador do cluster do Amazon Redshift depois que ele é criado. Para criar um novo cluster com um nome de usuário não padrão, consulte [Etapa 1: Criar uma amostra de cluster do Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) no *Guia de conceitos básicos do Amazon Redshift*.

## [Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
<a name="redshift-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os clusters do Amazon Redshift estão criptografados em repouso. O controle falhará se um cluster do Redshift não for criptografado em repouso ou se a chave de criptografia for diferente da chave fornecida no parâmetro da regra.

No Amazon Redshift, é possível ativar a criptografia de banco de dados para seus clusters para ajudar a proteger os dados em repouso. Quando você ativar a criptografia de um cluster, os blocos de dados e os metadados do sistema serão criptografados para o cluster e os respectivos snapshots. A criptografia de dados em repouso é uma prática recomendada, pois ela adiciona uma camada de gerenciamento de acesso aos seus dados. Criptografar clusters Redshift em repouso reduz o risco de um usuário não autenticado ter acesso aos dados armazenados em disco.

### Correção
<a name="redshift-10-remediation"></a>

Para modificar um cluster do Redshift para usar a criptografia KMS, consulte [Alterar criptografia do cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) no *Guia de gerenciamento do Amazon Redshift*.

## [Redshift.11] Os clusters do Redshift devem ser marcados
<a name="redshift-11"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Redshift::Cluster`

**AWS Config regra:** `tagged-redshift-cluster` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="redshift-11-remediation"></a>

Para adicionar tags a um cluster do Redshift, consulte [Marcar recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no *Guia de gerenciamento do Amazon Redshift*.

## [Redshift.12] As notificações de assinatura de notificações eventos do Redshift devem ser marcadas
<a name="redshift-12"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Redshift::EventSubscription`

**AWS Config regra:** `tagged-redshift-eventsubscription` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um snapshop de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o snapshot de cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="redshift-12-remediation"></a>

*Para adicionar tags a uma assinatura de notificação de eventos do Redshift, consulte [Marcar recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no Guia de gerenciamento do Amazon Redshift*.

## [Redshift.13] Os snapshots de cluster do Redshift devem ser marcados
<a name="redshift-13"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Redshift::ClusterSnapshot`

**AWS Config regra:** `tagged-redshift-clustersnapshot` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um snapshop de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o snapshot de cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="redshift-13-remediation"></a>

Para adicionar tags a um snapshot de cluster do Redshift, consulte [Marcar recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no *Guia de gerenciamento do Amazon Redshift*.

## [Redshift.14] Os grupos de sub-redes de cluster do Redshift devem ser marcados
<a name="redshift-14"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config regra:** `tagged-redshift-clustersubnetgroup` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se o grupo de sub-redes de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o grupo de sub-redes de cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de sub-redes de cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="redshift-14-remediation"></a>

Para adicionar tags a um grupo de sub-redes de cluster do Redshift, consulte [Marcar recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no *Guia de gerenciamento do Amazon Redshift*.

## [Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas
<a name="redshift-15"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/1.3.1

**Categoria:** Proteger > Configuração de rede segura > Configuração do grupo de segurança

**Gravidade:** alta

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um grupo de segurança associado a um cluster do Amazon Redshift tem regras de entrada que permitem acesso à porta do cluster pela Internet (0.0.0.0/0 ou :/0). O controle falhará se as regras de entrada do grupo de segurança permitirem o acesso à porta do cluster pela Internet.

Permitir acesso de entrada irrestrito à porta de cluster do Redshift (endereço IP com sufixo /0) pode resultar em acesso não autorizado ou incidentes de segurança. Recomendamos aplicar o princípio de acesso com privilégio mínimo ao criar grupos de segurança e configurar regras de entrada.

### Correção
<a name="redshift-15-remediation"></a>

Para restringir a entrada na porta do cluster Redshift a origens restritas, consulte [Trabalhar com regras de grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) no *Guia do usuário da Amazon VPC*. Atualize as regras nas quais o intervalo de portas corresponda à porta do cluster do Redshift e o intervalo de portas IP seja 0.0.0.0/0.

## [Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade
<a name="redshift-16"></a>

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::Redshift::ClusterSubnetGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

O controle verifica se um grupo de sub-redes de cluster do Amazon Redshift tem sub-redes de mais de uma zona de disponibilidade (AZ). O controle falhará se o grupo de sub-redes do cluster não tiver sub-redes de pelo menos duas diferentes. AZs

A configuração de sub-redes em várias AZs ajuda a garantir que seu data warehouse do Redshift possa continuar operando mesmo quando ocorrerem eventos de falha.

### Correção
<a name="redshift-16-remediation"></a>

*Para modificar um grupo de sub-redes de cluster do Redshift para abranger vários AZs, consulte [Modificação de um grupo de sub-redes de cluster no Guia de gerenciamento do](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html) Amazon Redshift.*

## [Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags
<a name="redshift-17"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Redshift::ClusterParameterGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se o grupo de parâmetros de cluster do Amazon Redshift tem as chaves de tags especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se o grupo de parâmetros não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de parâmetros não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="redshift-17-remediation"></a>

Para obter informações sobre a adição de tags a um grupo de parâmetros de cluster do Redshift, consulte [Aplicação de tags em recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no *Guia de gerenciamento do Amazon Redshift*.

## [Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas
<a name="redshift-18"></a>

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se as implantações de várias zonas de disponibilidade (multi-AZ) estão habilitadas para um cluster do Amazon Redshift. O controle falhará se as implantações multi-AZ não estiverem habilitadas para um cluster do Amazon Redshift.

O Amazon Redshift oferece suporte a implantações de várias zonas de disponibilidade (multi-AZ) para clusters provisionados. Se as implantações multi-AZ estiverem habilitadas, um data warehouse do Amazon Redshift pode continuar operando em cenários de falha nos quais um evento inesperado acontece em uma zona de disponibilidade (AZ). Uma implantação multi-AZ implanta recursos computacionais em mais de uma AZ, e esses recursos computacionais podem ser acessados por meio de um único endpoint. Em caso de falha de uma AZ inteira, os recursos computacionais restantes na outra AZ permanecem disponíveis para continuar processando workloads. É possível converter um data warehouse single-AZ existente em um data warehouse multi-AZ. Recursos computacionais adicionais são então provisionados em uma segunda AZ.

### Correção
<a name="redshift-18-remediation"></a>

Para obter informações sobre como configurar implantações multi-AZ para um cluster do Amazon Redshift, consulte [Conversão de um data warehouse single-AZ em um data warehouse multi-AZ](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html) no *Guia de gerenciamento do Amazon Redshift*.

# Controles CSPM do Security Hub para Amazon Redshift Serverless
<a name="redshiftserverless-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Redshift Serverless. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado
<a name="redshiftserverless-1"></a>

**Categoria:** Proteger > Configuração de rede segura > Recursos na VPC

**Gravidade:** alta

**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o roteamento de VPC aprimorado está habilitado para um grupo de trabalho do Amazon Redshift sem servidor. O controle falhará se o roteamento de VPC aprimorado for desabilitado para o grupo de trabalho.

Se o roteamento de VPC aprimorado for desativado para um grupo de trabalho sem servidor do Amazon Redshift, o Amazon Redshift roteará o tráfego pela Internet, incluindo tráfego para outros serviços dentro da rede. AWS Se você habilitar o roteamento de VPC aprimorado para um grupo de trabalho, o Amazon Redshift forçará todo o tráfego de `COPY` e `UNLOAD` entre seu cluster e seus repositórios de dados através da sua nuvem privada virtual (VPC) com base no serviço da Amazon VPC. Com o roteamento de VPC aprimorado, é possível usar recursos de VPC padrão para controlar o fluxo de dados entre seu cluster do Amazon Redshift e outros recursos. Isso inclui recursos como grupos de segurança de VPC e políticas de endpoint, listas de controle de acesso à rede (ACLs) e servidores DNS (Sistema de Nomes de Domínio). Também é possível usar os logs de fluxo da VPC para monitorar o tráfego de `COPY` e `UNLOAD`.

### Correção
<a name="redshiftserverless-1-remediation"></a>

Para obter mais informações sobre o roteamento de VPC aprimorado e como habilitá-lo para um grupo de trabalho, consulte [Controle do tráfego de rede com o roteamento de VPC aprimorado do Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) no *Guia de gerenciamento do Amazon Redshift*.

## [RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL
<a name="redshiftserverless-2"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se as conexões com um grupo de trabalho do Amazon Redshift sem servidor são obrigadas a criptografar dados em trânsito. O controle falhará se o parâmetro `require_ssl` da configuração do grupo de trabalho estiver definido como `false`.

Um grupo de trabalho sem servidor do Amazon Redshift é uma coleção de recursos computacionais que agrupa recursos computacionais, como grupos de sub-redes RPUs VPC e grupos de segurança. As propriedades de um grupo de trabalho incluem configurações de rede e segurança. Essas configurações especificam se as conexões com um grupo de trabalho devem ser obrigadas a usar SSL para criptografar dados em trânsito.

### Correção
<a name="redshiftserverless-2-remediation"></a>

Para obter informações sobre como atualizar as configurações de um grupo de trabalho do Amazon Redshift sem servidor para exigir conexões de SSL, consulte [Conexão com o Amazon Redshift sem servidor](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html) no *Guia de gerenciamento do Amazon Redshift*.

## [RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
<a name="redshiftserverless-3"></a>

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** alta

**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o acesso público está desabilitado para um grupo de trabalho do Amazon Redshift sem servidor. Ele avalia a propriedade `publiclyAccessible` de um grupo de trabalho do Redshift sem servidor. O controle falhará se o acesso público estiver habilitado (`true`) para o grupo de trabalho.

A configuração de acesso público (`publiclyAccessible`) de um grupo de trabalho do Amazon Redshift sem servidor especifica se o grupo de trabalho pode ser acessado a partir de uma rede pública. Se o acesso público estiver habilitado (`true`) para um grupo de trabalho, o Amazon Redshift cria um endereço IP elástico que torna o grupo de trabalho acessível publicamente de fora da VPC. Se você não quiser que um grupo de trabalho seja acessível ao público, desabilite o acesso público a ele.

### Correção
<a name="redshiftserverless-3-remediation"></a>

Para obter informações sobre como alterar a configuração de acesso público para um grupo de trabalho do Amazon Redshift sem servidor, consulte [Visualização das propriedades de um grupo de trabalho](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html) no *Guia de gerenciamento do Amazon Redshift*.

## [RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys
<a name="redshiftserverless-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Uma lista de nomes de recursos da Amazon (ARNs) AWS KMS keys a serem incluídos na avaliação. O controle gerará uma descoberta `FAILED` se um namespace do Redshift sem servidor não estiver criptografado com uma chave do KMS na lista.  |  StringList (máximo de 3 itens)  |  1—3 ARNs das chaves KMS existentes. Por exemplo: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Nenhum valor padrão  | 

Esse controle verifica se um namespace do Amazon Redshift sem servidor é criptografado em repouso com uma AWS KMS key gerenciada pelo cliente. O controle falhará se o namespace Redshift sem servidor não for criptografado com uma chave do KMS gerenciada pelo cliente. Opcionalmente, é possível especificar uma lista de chaves do KMS para o controle incluir na avaliação.

No Amazon Redshift Serverless, um namespace define um contêiner lógico para objetos de banco de dados. Esse controle verifica periodicamente se as configurações de criptografia de um namespace especificam uma chave KMS gerenciada pelo cliente AWS KMS key, em vez de uma chave AWS gerenciada do KMS, para criptografia de dados no namespace. Com uma chave do KMS gerenciada pelo cliente, você tem controle total sobre a chave. Isso inclui definir e manter a política de chaves, gerenciar concessões, alternar material criptográfico, atribuir tags, criar aliases e habilitar e desabilitar a chave.

### Correção
<a name="redshiftserverless-4-remediation"></a>

*Para obter informações sobre a atualização das configurações de criptografia de um namespace sem servidor do Amazon Redshift e a especificação de um cliente gerenciado AWS KMS key, consulte [Alteração de um AWS KMS key namespace no Guia de gerenciamento do](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) Amazon Redshift.*

## [RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão
<a name="redshiftserverless-5"></a>

**Categoria:** Identificar > Configuração de recursos

**Gravidade:** média

**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o nome de usuário do administrador de um namespace Amazon Redshift sem servidor é o nome de usuário padrão do administrador, `admin`. O controle falhará se o nome de usuário do administrador do namespace Redshift sem servidor for `admin`. 

Ao criar um namespace do Amazon Redshift sem servidor, é necessário especificar um nome de usuário de administrador personalizado para o namespace. O nome de usuário padrão do administrador é de conhecimento público. Ao especificar um nome de usuário de administrador personalizado, é possível, por exemplo, ajudar a reduzir o risco ou a eficácia dos ataques de força bruta contra o namespace.

### Correção
<a name="redshiftserverless-5-remediation"></a>

É possível alterar o nome de usuário do administrador de um namespace do Amazon Redshift sem servidor usando o console ou a API do Amazon Redshift sem servidor. Para alterá-lo usando o console, escolha a configuração do namespace e escolha **Editar credenciais do administrador** no menu **Ações**. Para alterá-la programaticamente, use a [UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)operação ou, se estiver usando a AWS CLI, execute o comando [update-namespace](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html). Se você alterar o nome de usuário do administrador, também deverá alterar a senha do administrador ao mesmo tempo.

## [RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch
<a name="redshiftserverless-6"></a>

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um namespace Amazon Redshift Serverless está configurado para exportar registros de conexão e usuário para o Amazon Logs. CloudWatch O controle falhará se o namespace Redshift Serverless não estiver configurado para exportar os registros para o Logs. CloudWatch 

Se você configurar o Amazon Redshift Serverless para exportar dados de log de conexão (`connectionlog`) e log de usuário (`userlog`) para um grupo de log no Amazon CloudWatch Logs, poderá coletar e armazenar seus registros de log em armazenamento durável, que pode oferecer suporte a análises e auditorias de segurança, acesso e disponibilidade. Com o CloudWatch Logs, você também pode realizar análises em tempo real dos dados de registro e usá-los CloudWatch para criar alarmes e analisar métricas.

### Correção
<a name="redshiftserverless-6-remediation"></a>

Para exportar dados de log de um namespace Amazon Redshift Serverless para o Amazon CloudWatch Logs, os respectivos logs devem ser selecionados para exportação nas configurações de registro de auditoria do namespace. Para obter informações sobre a atualização dessas configurações, consulte [Edição de segurança e criptografia](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html) no *Guia de gerenciamento do Amazon Redshift*.

# Controles CSPM do Security Hub para o Route 53
<a name="route53-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Route 53.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [Route53.1] As verificações de integridade do Route 53 devem ser marcadas
<a name="route53-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Route53::HealthCheck`

**AWS Config regra:** `tagged-route53-healthcheck` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma verificação de integridade do Amazon Route 53 tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a verificação de integridade não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a verificação de integridade não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="route53-1-remediation"></a>

Para adicionar tags a uma verificação de integridade do Route 53, consulte [Nomear e adicionar tags às verificações de integridade](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html) no *Guia do desenvolvedor do Amazon Route 53*.

## [Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
<a name="route53-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::Route53::HostedZone`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o registro de consultas ao DNS está habilitado para uma zona hospedada pública do Amazon Route 53. Esse controle verifica se o registro de consultas ao DNS não estiver habilitado para uma zona hospedada pública do Route 53.

O registro em log de consultas ao DNS para uma zona hospedada do Route 53 atende aos requisitos de segurança e conformidade do DNS e concede visibilidade. Os logs incluem informações como o domínio ou o subdomínio que foi consultado, a data e hora da consulta, o tipo de registro DNS (por exemplo, A ou AAAA) e o código de resposta do DNS (por exemplo, `NoError` ou `ServFail`). Quando o registro de consultas DNS está ativado, o Route 53 publica os arquivos de log no Amazon CloudWatch Logs.

### Correção
<a name="route53-2-remediation"></a>

Para registrar consultas ao DNS para zonas hospedadas públicas do Route 53, consulte [Configurar registros em log para consultas ao DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring) no *Guia do desenvolvedor do Amazon Route 53*.

# Controles CSPM do Security Hub para Amazon S3
<a name="s3-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Simple Storage Service (Amazon S3). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas
<a name="s3-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20), (21), (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AC-3, PCI AWS DSS v3.2.1/1.2.1 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 PCI DSS v3.2.1/1.2.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html) 

**Tipo de programação:** Periódico

**Parâmetros:** 
+ `ignorePublicAcls`: `true` (não personalizável)
+ `blockPublicPolicy`: `true` (não personalizável)
+ `blockPublicAcls`: `true` (não personalizável)
+ `restrictPublicBuckets`: `true` (não personalizável)

Esse controle verifica se as configurações anteriores de bloqueio de acesso público do Amazon S3 estão configuradas ao nível da conta para o bucket de uso geral do S3. O controle falhará se uma ou mais configurações de bloqueio de acesso público estiverem definidas como `false`.

O controle falhará se alguma das configurações estiver definida como `false` ou se alguma das configurações não estiver definida.

O bloco de acesso público do Amazon S3 foi projetado para fornecer controles em um nível de bucket S3 inteiro Conta da AWS ou individual para garantir que os objetos nunca tenham acesso público. O acesso público é concedido a buckets e objetos por meio de listas de controle de acesso (ACLs), políticas de bucket ou ambas.

A menos que você queira que os buckets do S3 sejam acessíveis publicamente, configure o recurso Acesso público de bloco do Amazon S3 no nível da conta.

Para obter mais informações, consulte [Usar o bloqueio de acesso público do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) no *Guia do usuário do Amazon Simple Storage Service*.

### Correção
<a name="s3-1-remediation"></a>

Para habilitar o Amazon S3 para bloquear o acesso público para você Conta da AWS, consulte [Definir configurações de bloqueio de acesso público para sua conta no Guia do usuário](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html) do *Amazon Simple Storage Service*.

## [S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura
<a name="s3-2"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16), (20), (21), (3), (4)) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** crítica

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)

**Tipo de programação:** periódico e acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 permite acesso público para leitura. Ele avalia as configurações de bloqueio de acesso público, a política do bucket e a lista de controle de acesso (ACL) do bucket. O controle falhará se o bucket permitir acesso público para leitura.

**nota**  
Se um bucket do S3 tiver uma política de bucket, esse controle não avalia as condições da política que usam caracteres curinga ou variáveis. Para produzir uma descoberta `PASSED`, as condições na política de bucket devem usar somente valores fixos, que são valores que não contêm caracteres curinga ou variáveis de política. Para obter informações sobre as variáveis de política, consulte [Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do AWS Identity and Access Management *.

Alguns casos de uso exigem que todos na Internet possam ler a partir do bucket do S3. Entretanto, essas situações são raras. Para garantir a integridade e a segurança dos dados, o bucket do S3 não deve ser legível publicamente.

### Correção
<a name="s3-2-remediation"></a>

Para bloqueio de acesso público para seu bucket S3 do Amazon S3, consulte [Configurar bloqueio do acesso público aos seus buckets S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) no *Guia do usuário do Amazon Simple Storage Service*.

## [S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação
<a name="s3-3"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, 1,, (7), (21),, (11), (16), (20)), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** crítica

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) 

**Tipo de programação:** periódico e acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 permite acesso público para gravação. Ele avalia as configurações de bloqueio de acesso público, a política do bucket e a lista de controle de acesso (ACL) do bucket. O controle falhará se o bucket permitir acesso público para gravação.

**nota**  
Se um bucket do S3 tiver uma política de bucket, esse controle não avalia as condições da política que usam caracteres curinga ou variáveis. Para produzir uma descoberta `PASSED`, as condições na política de bucket devem usar somente valores fixos, que são valores que não contêm caracteres curinga ou variáveis de política. Para obter informações sobre as variáveis de política, consulte [Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do AWS Identity and Access Management *.

Alguns casos de uso exigem que todos na Internet possam gravar no bucket do S3. Entretanto, essas situações são raras. Para garantir a integridade e a segurança dos dados, o bucket do S3 não deve ser gravável publicamente.

### Correção
<a name="s3-3-remediation"></a>

Para bloqueio de gravação pública para seu bucket S3 do Amazon S3, consulte [Configurar bloqueio do acesso público aos seus buckets S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) no *Guia do usuário do Amazon Simple Storage Service*.

## [S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL
<a name="s3-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.1, CIS Foundations Benchmark v3.0.0/2.1.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, 7 (2),, (1), 2 (3), 3, 3, 3 (3), (4),, (1), (2), NIST.800-53.r5 NIST.800-53.r5 AC-1 SI-7 (6) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 NIST.800.800-53.r5 SI-7 (6), NIST.800-53.r5 SC-1 NIST.800.800-7 (6) NIST.800-53.r5 SC-1 -171.r2 NIST.800-53.r5 SC-2 3.13.8, NIST.800-53.r5 SC-2 NIST.800-171.r2 3.13.15, AWS PCI DSS v3.2.1/4.1 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 tem uma política que exige que as solicitações usem SSL. O controle falhará se a política do bucket não exigir que as solicitações usem SSL.

Os buckets do S3 devem ter políticas que exijam que todas as solicitações (`Action: S3:*`) aceitem somente a transmissão de dados por HTTPS na política de recursos do S3, indicada pela chave de condição `aws:SecureTransport`.

### Correção
<a name="s3-5-remediation"></a>

Para atualizar uma política de bucket do Amazon S3 para negar transporte não seguro, consulte [Adicionar uma política de bucket usando o console do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) no *Guia do usuário do Amazon Simple Storage*.

Adicione uma declaração de política semelhante à da política a seguir. Substitua `amzn-s3-demo-bucket` pelo nome do bucket que você está modificando.

------
#### [ JSON ]

****  

```
{
    "Id": "ExamplePolicy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}
```

------

Para obter mais informações, consulte [Qual política de bucket do S3 devo usar para cumprir a AWS Config regra s3-](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/)? bucket-ssl-requests-only no *Centro de Conhecimento AWS Oficial*.

## [S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS
<a name="s3-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.13.4

**Categoria:** Proteger > Gerenciamento de acesso seguro > Ações de operações de API confidenciais restritas 

**Gravidade:** alta

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config**: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `blacklistedactionpatterns`: `s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl` (não personalizável)

Esse controle verifica se a política de bucket de uso geral do Amazon S3 impede que as entidades principais de outras Contas da AWS executem ações negadas em recursos de bucket do S3. O controle falhará se a política de bucket permitir alguma das ações anteriores para uma entidade principal em outra Conta da AWS.

A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto de erros ou usuários mal-intencionados. Se uma política de bucket do S3 permitir o acesso de contas externas, isso poderá resultar na exfiltração de dados por uma ameaça interna ou por um invasor.

O parâmetro `blacklistedactionpatterns` permite uma avaliação bem-sucedida da regra para buckets do S3. O parâmetro concede acesso a contas externas para padrões de ação que não estão incluídos na lista `blacklistedactionpatterns`.

### Correção
<a name="s3-6-remediation"></a>

Para atualizar uma política de bucket do Amazon S3 para remover permissões, consulte [Adicionar uma política de bucket usando o console do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) no *Guia do usuário do Amazon Simple Storage Service*.

Na página **Editar política do bucket**, na caixa de texto de edição da política, execute uma das seguintes ações:
+ Remova as declarações que concedem a outras Contas da AWS acesso às ações negadas.
+ Remova as ações negadas permitidas das declarações.

## [S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões
<a name="s3-7"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST.800-53.r5 NIST.800-53.r5 SC-5 SI-13 (5)

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** baixa

**Tipo de recurso:** `AWS::S3::Bucket`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o bucket de uso geral do Amazon S3 tem a replicação entre regiões habilitada. O controle falhará se o bucket não tiver a replicação entre regiões habilitada.

A replicação é a cópia automática e assíncrona de objetos entre buckets iguais ou diferentes. Regiões da AWS A replicação copia os objetos recém-criados e as atualizações de objeto de um bucket de origem para um bucket de destino. As melhores práticas da AWS recomendam a replicação para os buckets de origem e destino que são propriedade da mesma Conta da AWS. Além da disponibilidade, é necessário considerar outras configurações de proteção de sistemas.

Esse controle produzirá uma descoberta `FAILED` para um bucket de destino de replicação se ele não tiver a replicação entre regiões habilitada. Se houver um motivo legítimo para o bucket de destino não precisar ter a replicação entre regiões habilitada, você poderá suprimir descobertas para esse bucket.

### Correção
<a name="s3-7-remediation"></a>

Para habilitar a replicação entre regiões em um bucket do S3, consulte [Configurar a replicação para buckets de origem e destino pertencentes à mesma conta](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html) no *Guia do usuário do Amazon Simple Storage Service*. Em **Source bucket**, escolha **Aplicar a todos os objetos no bucket**.

## [S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
<a name="s3-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.02.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso

**Gravidade:** alta

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**
+ `excludedPublicBuckets` (não personalizável): uma lista separada por vírgulas de nomes de buckets do S3 públicos permitidos conhecidos

Esse controle verifica se um bucket de uso geral do Amazon S3 permite acesso público ao nível do bucket. O controle falhará se alguma das seguintes configurações estiver definida como `false`:
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`

O bloqueio de acesso público no nível do bucket do S3 oferece controles para garantir que os objetos nunca tenham acesso público. O acesso público é concedido a buckets e objetos por meio de listas de controle de acesso (ACLs), políticas de bucket ou ambas.

A menos que você queira que os buckets do S3 sejam acessíveis publicamente, configure o recurso Bloqueio de acesso público do Amazon S3 no nível do bucket.

### Correção
<a name="s3-8-remediation"></a>

Para obter informações sobre como remover o acesso público em um nível de bucket, consulte [Bloquear o acesso público ao seu armazenamento do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) no *Guia do usuário do Amazon S3*.

## [S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado
<a name="s3-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.3.8, PCI DSS v4.0.1/10.2.1

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o registro em log de acesso ao servidor está habilitado para buckets de uso geral do S3. Esse controle falhará se o registro em log de acesso ao servidor não estiver habilitado. Quando você habilita o registro em log, o Amazon S3 entrega logs de acesso a um bucket de origem ou de destino de sua escolha. O bucket de destino deve estar no Região da AWS mesmo bucket de origem e não deve ter um período de retenção padrão configurado. O bucket de registro em log de destino não precisa ter o registro em log de acesso ao servidor ativado, e é necessário suprimir as descobertas desse bucket. 

O registro em log de acesso ao servidor fornece registros detalhados sobre as solicitações que são feitas a um bucket. Os logs de acesso ao servidor podem auxiliar nas auditorias de segurança e acesso. Para obter mais informações, consulte [Melhores práticas de segurança para o Amazon S3: Habilitar o registro em log de acesso ao servidor do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html).

### Correção
<a name="s3-9-remediation"></a>

Para habilitar o registro em log de acesso ao servidor Amazon S3, consulte [Habilitar registro em log de acesso ao servidor do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html) no *Guia do usuário do Amazon S3*.

## [S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida
<a name="s3-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um bucket versionado de uso geral do Amazon S3 tem uma configuração de ciclo de vida. O controle falhará se o bucket não tiver uma configuração de ciclo de vida.

Recomendamos criar uma configuração de ciclo de vida para o bucket do S3 para ajudar a definir as ações que você deseja que o Amazon S3 execute durante a vida útil de um objeto. 

### Correção
<a name="s3-10-remediation"></a>

Para obter mais informações sobre como configurar o ciclo de vida em um bucket do Amazon S3, consulte [Definir a configuração do ciclo de vida em um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) e [Gerenciar seu ciclo de vida de armazenamento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html).

## [S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas
<a name="s3-11"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (4), Nist.800-171.r2 3.3.8

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `eventTypes`  |  Lista de tipos de eventos do S3 preferidos  |  EnumList (máximo de 28 itens)  |  `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent`  |  Nenhum valor padrão  | 

Esse controle verifica se as notificações de eventos do S3 estão habilitadas em um bucket de uso geral do Amazon S3. O controle falhará se as notificações de eventos do S3 não estiverem habilitadas no bucket. Se você fornecer valores personalizados para o parâmetro `eventTypes`, o controle será aprovado somente se as notificações de eventos estiverem habilitadas para os tipos de eventos especificados.

Quando habilita as notificações de eventos do S3, você recebe alertas quando ocorrem eventos específicos que afetam seus buckets do S3. Por exemplo, você pode ser notificado sobre a criação, remoção e restauração de objetos. Essas notificações podem alertar as equipes relevantes sobre modificações acidentais ou intencionais que podem levar ao acesso não autorizado aos dados.

### Correção
<a name="s3-11-remediation"></a>

Para obter informações sobre a detecção de alterações em buckets e objetos do S3, consulte [Notificações de eventos do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html) no *Guia do usuário do Amazon S3*.

## [S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3
<a name="s3-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso

**Gravidade:** média

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 fornece permissões de usuário com uma lista de controle de acesso (ACL). O controle falhará se uma ACL estiver configurada para gerenciar o acesso de usuários nos buckets do S3.

ACLs são mecanismos legados de controle de acesso anteriores ao IAM. Em vez disso ACLs, recomendamos usar políticas de bucket do S3 ou políticas AWS Identity and Access Management (IAM) para gerenciar o acesso aos seus buckets do S3.

### Correção
<a name="s3-12-remediation"></a>

Para passar esse controle, você deve desabilitar ACLs seus buckets do S3. Para obter instruções, consulte [Controle da propriedade de objetos e desativação ACLs do seu bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) no *Guia do usuário do Amazon Simple Storage Service*.

Para criar uma política de bucket do S3, consulte [Adicionar uma política de bucket usando o console do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html). Para criar uma política de usuário do IAM em um bucket do S3, consulte [Controle do acesso a um bucket com políticas de usuário](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions).

## [S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
<a name="s3-13"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoria:** Proteger > Proteção de dados 

**Gravidade:** baixa

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `targetTransitionDays`  |  Número de dias após a criação do objeto em que os objetos farão a transição para a classe de armazenamento especificada.  |  Inteiro  |  `1` para `36500`  |  Nenhum valor padrão  | 
|  `targetExpirationDays`  |  Número de dias após a criação do objeto quando os objetos são excluídos.  |  Inteiro  |  `1` para `36500`  |  Nenhum valor padrão  | 
|  `targetTransitionStorageClass`  |  Tipo de classe de armazenamento do S3 de destino  |  Enum  |  `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE`  |  Nenhum valor padrão  | 

Esse controle verifica se um bucket de uso geral do Amazon S3 tem uma configuração de ciclo de vida. O controle falhará se o bucket não tiver uma configuração de ciclo de vida. Se você fornecer valores personalizados para um ou mais dos parâmetros anteriores, o controle será aprovado somente se a política incluir a classe de armazenamento, o tempo de exclusão ou o tempo de transição especificados. 

A criação de uma configuração de ciclo de vida para o bucket do S3 define as ações que você deseja que o Amazon S3 realize durante a vida útil de um objeto. Por exemplo, é possível fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período especificado.

### Correção
<a name="s3-13-remediation"></a>

Para obter mais informações sobre como configurar políticas de ciclo de vida em um bucket do Amazon S3, consulte [Definir a configuração do ciclo de vida em um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) e [Gerenciar seu ciclo de vida de armazenamento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) no *Guia do usuário do Amazon S3*.

## [S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado
<a name="s3-14"></a>

**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados

**Requisitos relacionados:** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5), NIST.800-171.r2 3.3.8

**Gravidade:** baixa

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 tem o versionamento habilitado. O controle falhará se o versionamento for suspenso para o bucket.

O versionamento mantém diversas variantes de um objeto no mesmo bucket do S3. É possível usar o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do S3. O versionamento ajuda você a se recuperar de ações não intencionais de usuários e de falhas da aplicação.

**dica**  
À medida que o número de objetos aumenta em um bucket devido ao versionamento, você pode definir uma configuração de ciclo de vida para arquivar ou excluir automaticamente objetos versionados com base em regras. Para obter mais informações, consulte o [Gerenciamento do ciclo de vida de objetos versionados no Amazon S3](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/).

### Correção
<a name="s3-14-remediation"></a>

Para usar o versionamento em um bucket do S3, consulte [Habilitar o versionamento em buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) no *Guia do usuário do Amazon S3*.

## [S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado
<a name="s3-15"></a>

**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados

**Requisitos relacionados:** NIST.800-53.r5 CP-6(2), PCI DSS v4.0.1/10.5.1

**Gravidade:** média

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `mode`  |  Modo de retenção do Bloqueio de objetos do S3  |  Enum  |  `GOVERNANCE`, `COMPLIANCE`  |  Nenhum valor padrão  | 

Esse controle verifica se um bucket de uso geral do Amazon S3 tem o Bloqueio de Objetos habilitado. O controle falhará se o Bloqueio de Objetos não estiver habilitado para o bucket. Se você fornecer um valor personalizado para o parâmetro `mode`, o controle passará somente se o Bloqueio de objetos do S3 usar o modo de retenção especificado.

Você pode usar o S3 Object Lock para armazenar objetos usando um modelo write-once-read-many (WORM). O bloqueio de objetos pode ajudar a evitar que os objetos em buckets S3 sejam excluídos ou substituídos por um período de tempo fixo ou indefinidamente. É possível usar o bloqueio de objetos do S3 para atender a requisitos regulamentares que exigem armazenamento WORM ou adicionar uma camada extra de proteção contra alterações e exclusões de objetos.

### Correção
<a name="s3-15-remediation"></a>

Para configurar o Bloqueio de objetos para buckets do S3 novos e existentes, consulte [Configuração do Bloqueio de objetos do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) no *Guia do usuário do Amazon S3*. 

## [S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys
<a name="s3-17"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Requisitos relacionados:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), (1), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6), NIST.800-53.r5 CA-9 NIST.800-53.r5 NIST.800-53.r5 SC-2 AU-9, NIST.800-171.r2 3.8.9, NIST.800-171.r2 3.13.11, NIST.800-171.r2 3.13.16, PCI DSS v4.0.1/3.5.1

**Gravidade:** média

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 está criptografado com um AWS KMS key (SSE-KMS ou DSSE-KMS). O controle falhará se o bucket do S3 for criptografado com a criptografia padrão (SSE-S3).

A criptografia do lado do servidor é a criptografia de dados em seu destino pela aplicação ou serviço que os recebe. A menos que você especifique o contrário, os buckets do S3 usam as chaves gerenciadas pelo Amazon S3 (SSE-S3) por padrão para a criptografia do lado do servidor. No entanto, para maior controle, você pode optar por configurar buckets para usar criptografia do lado do servidor (SSE-KMS ou DSSE-KMS AWS KMS keys ) em vez disso. O Amazon S3 criptografa seus dados no nível do objeto à medida que os grava em discos em AWS datacenters e os descriptografa para você quando você os acessa.

### Correção
<a name="s3-17-remediation"></a>

*Para criptografar um bucket do S3 usando o SSE-KMS, consulte [Especificação da criptografia do lado do servidor com (SSE-KMS) no Guia do usuário do Amazon AWS KMS S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html).* *Para criptografar um bucket do S3 usando o DSSE-KMS, consulte [Especificação da criptografia de duas camadas no lado do servidor com ( AWS KMS keys DSSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html)) no Guia do usuário do Amazon S3.*

## [S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas
<a name="s3-19"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

**Gravidade:** crítica

**Tipo de recurso:** `AWS::S3::AccessPoint`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um ponto de acesso Amazon S3 tem configurações de bloqueio de acesso público habilitadas. O controle falhará se as configurações de bloqueio de acesso público não estiverem habilitadas para o ponto de acesso.

O recurso Bloqueio de acesso público do Amazon S3 ajuda você a gerenciar o acesso aos recursos do S3 em três níveis: conta, bucket e ponto de acesso. As configurações em cada nível podem ser definidas de forma independente, permitindo que você tenha diferentes níveis de restrições de acesso público aos seus dados. As configurações do ponto de acesso não podem substituir individualmente as configurações mais restritivas em níveis mais altos (nível da conta ou bucket atribuído ao ponto de acesso). Em vez disso, as configurações no nível do ponto de acesso são aditivas, o que significa que elas complementam e funcionam junto com as configurações nos outros níveis. A menos que você pretenda que um ponto de acesso do S3 seja publicamente acessível, será necessário habilitar as configurações de bloqueio de acesso público.

### Correção
<a name="s3-19-remediation"></a>

Atualmente, o Amazon S3 não oferece suporte à alteração das configurações do bloqueio de acesso público após à criação de um ponto de acesso. Todas as configurações do bloqueio de acesso público são habilitadas por padrão quando você cria um novo pontos de acesso. Recomendamos que você mantenha todas as configurações ativadas, a menos que saiba que tem uma necessidade específica de desativar qualquer uma delas. Para obter mais informações, consulte [Gerenciamento do acesso público a pontos de acesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html) no *Guia do usuário do Amazon Simple Storage Service*.

## [S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada
<a name="s3-20"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.2, CIS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, (1), (2) AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados

**Gravidade:** baixa

**Tipo de recurso:** `AWS::S3::Bucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a exclusão da autenticação multifator (MFA) está habilitada em um bucket de uso geral do Amazon S3. O controle falhará se a exclusão de MFA não estiver habilitada para o bucket. O controle não produzirá descobertas para buckets que tenham uma configuração de ciclo de vida.

Se você habilitar o versionamento para buckets de uso geral do S3, é possível, opcionalmente, adicionar outra camada de segurança configurando a exclusão de MFA para o bucket. Se você fizer isso, o proprietário do bucket precisará incluir dois formulários de autenticação em qualquer solicitação para excluir uma versão ou modificar o estado de versionamento do bucket. A exclusão de MFA oferece segurança adicional se, por exemplo, as credenciais de segurança do proprietário do bucket forem comprometidas. A exclusão de MFA também pode ajudar a evitar exclusões acidentais de buckets exigindo que o usuário que inicia a ação de exclusão para provar a posse física de um dispositivo de MFA com um código de MFA, o que adiciona uma camada extra de atrito e segurança à ação de exclusão.

**nota**  
Esse controle só produzirá uma descoberta `PASSED` se a exclusão de MFA estiver habilitada para buckets de uso geral do S3. Para habilitar a exclusão de MFA para um bucket, o versionamento também deve ser habilitado para o bucket. O versionamento de buckets é um meio de armazenar diversas variantes de um objeto do S3 no mesmo bucket. Além disso, somente o proprietário do bucket que está conectado como usuário raiz pode habilitar a exclusão da MFA e realizar ações de exclusão no bucket. Não é possível usar a exclusão de MFA com um bucket que tenha uma configuração de ciclo de vida.

### Correção
<a name="s3-20-remediation"></a>

Para obter informações sobre a habilitação do versionamento e a configuração da exclusão de MFA para um bucket do S3, consulte [Configuração da exclusão de MFA](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) no *Guia do usuário do Amazon Simple Storage Service*.

## [S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto
<a name="s3-22"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.8, CIS Foundations Benchmark v3.0.0/3.8, PCI AWS DSS v4.0.1/10.2.1

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se há pelo menos uma Conta da AWS trilha AWS CloudTrail multirregional que registra todos os eventos de dados de gravação para buckets do Amazon S3. O controle falhará se a conta não tiver nenhuma trilha multirregional que registre eventos de dados de gravação para buckets do S3.

As operações ao nível do objeto do S3, como `GetObject`, `DeleteObject` e `PutObject`, são denominadas eventos de dados. Por padrão, CloudTrail não registra eventos de dados, mas você pode configurar trilhas para registrar eventos de dados para buckets do S3. Quando você habilita registro em log ao nível do objeto, pode registrar em log o acesso de cada objeto (arquivo) individual em um bucket do S3. Habilitar o registro em nível de objeto pode ajudá-lo a atender aos requisitos de conformidade de dados, realizar análises de segurança abrangentes, monitorar padrões específicos de comportamento do usuário e agir sobre a atividade de API em nível de objeto em seus buckets do S3 usando o Amazon Events. Conta da AWS CloudWatch Esse controle produzirá uma descoberta `PASSED` se você configurar uma trilha multirregional que registre em log os eventos apenas de gravação ou todos os tipos de eventos de dados em todos os buckets do S3.

### Correção
<a name="s3-22-remediation"></a>

Para habilitar o registro em nível de objeto para buckets do S3, consulte [Ativação do registro de CloudTrail eventos para buckets e objetos do S3 no](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) Guia do usuário do *Amazon* Simple Storage Service.

## [S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto
<a name="s3-23"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.9, CIS Foundations Benchmark v3.0.0/3.9, PCI AWS DSS v4.0.1/10.2.1

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se há pelo menos uma Conta da AWS trilha AWS CloudTrail multirregional que registra todos os eventos de dados lidos dos buckets do Amazon S3. O controle falhará se a conta não tiver nenhuma trilha multirregional que registre eventos de dados de leitura para buckets do S3.

As operações ao nível do objeto do S3, como `GetObject`, `DeleteObject` e `PutObject`, são denominadas eventos de dados. Por padrão, CloudTrail não registra eventos de dados, mas você pode configurar trilhas para registrar eventos de dados para buckets do S3. Quando você habilita o registro em log de eventos de dados de leitura ao nível do objeto, pode registrar em log o acesso de cada objeto (arquivo) individual em um bucket do S3. Habilitar o registro em nível de objeto pode ajudá-lo a atender aos requisitos de conformidade de dados, realizar análises de segurança abrangentes, monitorar padrões específicos de comportamento do usuário e agir sobre a atividade de API em nível de objeto em seus buckets do S3 usando o Amazon Events. Conta da AWS CloudWatch Esse controle produzirá uma descoberta `PASSED` se você configurar uma trilha multirregional que registre em log os eventos apenas de leitura ou todos os tipos de eventos de dados em todos os buckets do S3.

### Correção
<a name="s3-23-remediation"></a>

Para habilitar o registro em nível de objeto para buckets do S3, consulte [Ativação do registro de CloudTrail eventos para buckets e objetos do S3 no](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) Guia do usuário do *Amazon* Simple Storage Service.

## [S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas
<a name="s3-24"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** alta

**Tipo de recurso:** `AWS::S3::MultiRegionAccessPoint`

**AWS Config regra:** `s3-mrap-public-access-blocked` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um ponto de acesso multirregional do Amazon S3 tem configurações de bloqueio de acesso público habilitadas. O controle falhará quando o ponto de acesso multirregional não tiver as configurações de bloqueio de acesso público habilitadas.

Recursos publicamente acessíveis podem levar a acesso não autorizado, violações de dados ou exploração de vulnerabilidades. Restringir o acesso por meio de medidas de autenticação e autorização ajuda a proteger as informações confidenciais e a manter a integridade dos recursos.

### Correção
<a name="s3-24-remediation"></a>

Por padrão, todas as configurações de bloqueio de acesso público são habilitadas para pontos de acesso multirregionais. Para obter mais informações, consulte [Bloqueio de acesso público de pontos de acesso multirregionais do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html) no *Guia do usuário do Amazon Simple Storage Service*. Você não pode alterar as configurações de bloqueio de acesso público de um ponto de acesso multirregional após a criação dele.

## [S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida
<a name="s3-25"></a>

**Categoria:** Proteger > Proteção de dados

**Gravidade:** baixa

**Tipo de recurso:** `AWS::S3Express::DirectoryBucket`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `targetExpirationDays`  |  O número de dias, após a criação do objeto, em que os objetos devem expirar.  |  Inteiro  |  `1` para `2147483647`  |  Nenhum valor padrão  | 

Esse controle verifica se as regras de ciclo de vida estão configuradas para um bucket de diretório do S3. O controle falhará se as regras de ciclo de vida não estiverem configuradas para o bucket do diretório ou se uma regra de ciclo de vida para o bucket especificar configurações de expiração que não correspondam ao valor do parâmetro que você especificou opcionalmente.

No Amazon S3, uma configuração de ciclo de vida é um conjunto de regras que definem as ações aplicadas pelo Amazon S3 a um grupo de objetos em um bucket. Para um bucket de diretório do S3, é possível criar uma regra de ciclo de vida que especifique quando os objetos expiram com base na idade (em dias). Também é possível criar uma regra de ciclo de vida que exclua uploads incompletos de várias partes. Diferentemente de outros tipos de buckets do S3, como buckets de uso geral, os buckets de diretório não oferecem suporte a outros tipos de ações para regras de ciclo de vida, como a transição de objetos entre classes de armazenamento.

### Correção
<a name="s3-25-remediation"></a>

Para definir uma configuração de ciclo de vida para um bucket de diretório do S3, crie uma regra de ciclo de vida para o bucket. Para obter informações, consulte [Criação e gerenciamento de uma configuração de ciclo de vida para um bucket de diretório](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html) no *Guia do usuário do Amazon Simple Storage Service*.

# Controles CSPM do Security Hub para IA SageMaker
<a name="sagemaker-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos de SageMaker IA da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
<a name="sagemaker-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** alta

**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o acesso direto à Internet está desativado para uma instância de notebook SageMaker AI. O controle falhará se o campo `DirectInternetAccess` estiver habilitado para a instância de notebook. 

Se você configurar sua instância de SageMaker IA sem uma VPC, por padrão, o acesso direto à Internet será habilitado em sua instância. É necessário configurar sua instância com uma VPC e alterar a configuração padrão para **Desabilitar: acessar a Internet por meio de uma VPC**. Para treinar ou hospedar modelos a partir de um notebook, você precisa de acesso à Internet. Para habilitar o acesso à Internet, a VPC deve ter um endpoint de interface (AWS PrivateLink) ou um gateway de NAT e um grupo de segurança que permita conexões de saída. Para saber mais sobre como conectar uma instância de notebook a recursos em uma VPC, consulte [Conectar uma instância de notebook a recursos em uma VPC no *Amazon SageMaker * AI Developer](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) Guide. Você também deve garantir que o acesso à sua configuração de SageMaker IA seja limitado somente aos usuários autorizados. Restrinja as permissões do IAM que permitem que os usuários alterem as configurações e os recursos de SageMaker IA.

### Correção
<a name="sagemaker-1-remediation"></a>

Você não pode alterar a configuração do acesso à Internet depois de criar uma instância do notebook. Em vez disso, é possível parar, excluir e recriar a instância com acesso bloqueado à Internet. Para excluir uma instância de notebook que permite acesso direto à Internet, consulte [Usar instâncias de notebook para criar modelos: Limpeza](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) no *Amazon SageMaker AI Developer Guide*. Para recriar uma instância do notebook que nega o acesso à Internet, consulte [Criar uma instância do notebook](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). Em **Rede, Acesso direto à Internet**, escolha **Desabilitar: acessar a Internet por meio de uma VPC**.

## [SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
<a name="sagemaker-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Categoria:** Proteger > Configuração de rede segura > Recursos na VPC

**Gravidade:** alta

**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma instância de notebook Amazon SageMaker AI é executada em uma nuvem privada virtual (VPC) personalizada. Esse controle falhará se uma instância do notebook de SageMaker IA não for iniciada em uma VPC personalizada ou se for iniciada na VPC do serviço de SageMaker IA.

Sub-redes são intervalos de endereços IP em uma VPC. Recomendamos manter seus recursos dentro de uma VPC personalizada sempre que possível para garantir a proteção segura da rede de sua infraestrutura. Uma Amazon VPC é uma rede virtual dedicada à sua. Conta da AWS Com uma Amazon VPC, você pode controlar o acesso à rede e a conectividade com a Internet de suas instâncias de SageMaker AI Studio e notebook.

### Correção
<a name="sagemaker-2-remediation"></a>

Você não pode alterar a configuração da VPC depois de criar uma instância do notebook. Em vez disso, você pode parar, excluir e recriar a instância. Para obter instruções, consulte [Usar instâncias de notebook para criar modelos: Limpeza](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) no *Amazon SageMaker AI Developer Guide*.

## [SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
<a name="sagemaker-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

**Categoria:** Proteger > Gerenciamento de acesso seguro > Restrições de acesso do usuário raiz

**Gravidade:** alta

**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o acesso root está ativado para uma instância de notebook Amazon SageMaker AI. O controle falhará se o acesso root estiver ativado para uma instância de notebook de SageMaker IA.

Seguindo o princípio do privilégio mínimo, é uma prática recomendada de segurança restringir o acesso raiz aos recursos da instância para evitar o provisionamento excessivo involuntário de permissões.

### Correção
<a name="sagemaker-3-remediation"></a>

Para restringir o acesso root às instâncias do notebook SageMaker AI, consulte [Controlar o acesso root a uma instância do notebook SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) no *Amazon SageMaker AI Developer Guide*.

## [SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1
<a name="sagemaker-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3

**Categoria:** Recuperação > Resiliência > Alta disponibilidade

**Gravidade:** média

**Tipo de recurso:** `AWS::SageMaker::EndpointConfig`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se as variantes de produção de um endpoint de SageMaker IA da Amazon têm uma contagem inicial de instâncias maior que 1. O controle falhará se as variantes de produção do endpoint tiverem apenas 1 instância inicial.

As variantes de produção executadas com uma contagem de instâncias maior que 1 permitem a redundância de instâncias Multi-AZ gerenciada pela IA. SageMaker A implantação de recursos em várias zonas de disponibilidade é uma prática AWS recomendada para fornecer alta disponibilidade em sua arquitetura. A alta disponibilidade ajuda você a se recuperar de incidentes de segurança.

**nota**  
Esse controle se aplica somente à configuração de endpoint baseada na instância.

### Correção
<a name="sagemaker-4-remediation"></a>

Para obter mais informações sobre os parâmetros da configuração do endpoint, consulte [Criar uma configuração de endpoint](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) no *Amazon SageMaker AI Developer* Guide.

## [SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
<a name="sagemaker-5"></a>

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** média

**Tipo de recurso:** `AWS::SageMaker::Model`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um modelo hospedado pela Amazon SageMaker AI tem o isolamento de rede ativado. O controle falhará se o parâmetro `EnableNetworkIsolation` do modelo hospedado estiver definido como `False`.

SageMaker O treinamento de IA e os contêineres de inferência implantados são habilitados para a Internet por padrão. Se você não quiser que a SageMaker IA forneça acesso externo à rede aos seus contêineres de treinamento ou inferência, você pode ativar o isolamento da rede. Se você habilitar o isolamento de rede, nenhuma chamada de rede de entrada ou saída poderá ser feita de ou para o contêiner do modelo, incluindo chamadas de ou para outros Serviços da AWS. Além disso, nenhuma AWS credencial é disponibilizada para o ambiente de execução do contêiner. Ativar o isolamento da rede ajuda a impedir o acesso não intencional aos seus recursos de SageMaker IA pela Internet.

**nota**  
Em 13 de agosto de 2025, o Security Hub CSPM alterou o título e a descrição desse controle. O novo título e a descrição refletem com mais precisão que o controle verifica a configuração do `EnableNetworkIsolation` parâmetro dos modelos hospedados pela Amazon SageMaker AI. Anteriormente, o título desse controle era: *SageMaker models should block inbound traffic*.

### Correção
<a name="sagemaker-5-remediation"></a>

Para obter mais informações sobre isolamento de rede para modelos de SageMaker IA, consulte [Executar contêineres de treinamento e inferência no modo sem internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) no *Amazon SageMaker AI* Developer Guide. Quando você cria um modelo, é possível habilitar o isolamento de rede definindo o valor do parâmetro `EnableNetworkIsolation` como `True`.

## [SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas
<a name="sagemaker-6"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::SageMaker::AppImageConfig`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se uma configuração de imagem do aplicativo Amazon SageMaker AI (`AppImageConfig`) tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se a configuração de imagem da aplicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a configuração de imagem da aplicação não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="sagemaker-6-remediation"></a>

Para adicionar tags a uma configuração de imagem do aplicativo Amazon SageMaker AI (`AppImageConfig`), você pode usar a [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)operação da API SageMaker AI ou, se estiver usando a AWS CLI, executar o comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).

## [SageMaker.7] SageMaker as imagens devem ser marcadas
<a name="sagemaker-7"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::SageMaker::Image`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se uma imagem do Amazon SageMaker AI tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se a imagem não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a imagem não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="sagemaker-7-remediation"></a>

Para adicionar tags a uma imagem de SageMaker IA da Amazon, você pode usar a [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)operação da API de SageMaker IA ou, se estiver usando a AWS CLI, executar o comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).

## [SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis
<a name="sagemaker-8"></a>

**Categoria:** Detectar > Gerenciamento de vulnerabilidades, patches e versões

**Gravidade:** média

**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)

**Tipo de programação:** Periódico

**Parâmetros:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (não personalizável)

Esse controle verifica se uma instância do notebook Amazon SageMaker AI está configurada para ser executada em uma plataforma compatível, com base no identificador da plataforma especificado para a instância do notebook. O controle falhará se a instância do notebook estiver configurada para ser executada em uma plataforma para a qual não haja mais suporte.

Se a plataforma de uma instância de notebook Amazon SageMaker AI não for mais suportada, ela poderá não receber patches de segurança, correções de bugs ou outros tipos de atualizações. As instâncias do notebook podem continuar funcionando, mas não receberão atualizações de segurança de SageMaker IA nem correções críticas de bugs. Você assume os riscos associados ao uso de uma plataforma sem suporte. Para obter mais informações, consulte o controle de [JupyterLabversão](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) no *Amazon SageMaker AI Developer Guide*.

### Correção
<a name="sagemaker-8-remediation"></a>

Para obter informações sobre as plataformas que a Amazon SageMaker AI suporta atualmente e como migrar para elas, consulte as [instâncias do notebook Amazon Linux 2 no](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) *Amazon SageMaker AI Developer Guide*.

## [SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada
<a name="sagemaker-9"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::SageMaker::DataQualityJobDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma definição de trabalho de qualidade de dados do Amazon SageMaker AI tem criptografia habilitada para tráfego entre contêineres. O controle falhará se a definição de uma tarefa que monitora a qualidade e o desvio dos dados não tiver a criptografia habilitada para o tráfego entre contêineres.

A ativação da criptografia de tráfego entre contêineres protege dados confidenciais de ML durante o processamento distribuído para análise da qualidade dos dados. 

### Correção
<a name="sagemaker-9-remediation"></a>

Para obter mais informações sobre criptografia de tráfego entre contêineres para Amazon SageMaker AI, consulte [Protect Communications Between ML Compute Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) no *Amazon SageMaker AI Developer Guide*. Ao criar uma definição de tarefa de qualidade de dados, você pode habilitar a criptografia de tráfego entre contêineres definindo o valor do `EnableInterContainerTrafficEncryption` parâmetro como. `True`

## [SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada
<a name="sagemaker-10"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::SageMaker::ModelExplainabilityJobDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a definição de tarefa de explicabilidade SageMaker do modelo da Amazon tem a criptografia de tráfego entre contêineres ativada. O controle falhará se a definição do trabalho de explicabilidade do modelo não tiver a criptografia de tráfego entre contêineres ativada.

A ativação da criptografia de tráfego entre contêineres protege dados confidenciais de ML, como dados de modelo, conjuntos de dados de treinamento, resultados de processamento intermediário, parâmetros e pesos do modelo durante o processamento distribuído para análise de explicabilidade. 

### Correção
<a name="sagemaker-10-remediation"></a>

Para uma definição de tarefa de explicabilidade de um SageMaker modelo existente, a criptografia de tráfego entre contêineres não pode ser atualizada em vigor. Para criar uma nova definição de tarefa de explicabilidade do SageMaker modelo com a criptografia de tráfego entre contêineres ativada, use a API ou a [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) [ou](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) e defina como. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`

## [SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado
<a name="sagemaker-11"></a>

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::SageMaker::DataQualityJobDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma definição de trabalho de monitoramento de qualidade de dados da Amazon SageMaker AI tem o isolamento de rede ativado. O controle falhará se a definição de uma tarefa que monitora a qualidade e o desvio dos dados tiver o isolamento da rede desativado.

O isolamento da rede reduz a superfície de ataque e impede o acesso externo, protegendo assim contra acesso externo não autorizado, exposição acidental de dados e possível exfiltração de dados. 

### Correção
<a name="sagemaker-11-remediation"></a>

Para obter mais informações sobre isolamento de rede para SageMaker IA, consulte [Executar contêineres de treinamento e inferência no modo sem internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) no *Amazon SageMaker AI* Developer Guide. Ao criar uma definição de tarefa de qualidade de dados, você pode ativar o isolamento da rede definindo o valor do `EnableNetworkIsolation` parâmetro como`True`.

## [SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado
<a name="sagemaker-12"></a>

**Categoria:** Proteger > Configuração de rede segura > Configuração da política de recursos

**Gravidade:** média

**Tipo de recurso:** `AWS::SageMaker::ModelBiasJobDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a definição de tarefa de polarização do SageMaker modelo tem o isolamento de rede ativado. O controle falhará se a definição da tarefa de polarização do modelo não tiver o isolamento de rede ativado.

O isolamento da rede impede que trabalhos tendenciosos do SageMaker modelo se comuniquem com recursos externos pela Internet. Ao habilitar o isolamento da rede, você garante que os contêineres do trabalho não possam fazer conexões de saída, reduzindo a superfície de ataque e protegendo dados confidenciais da exfiltração. Isso é particularmente importante para trabalhos que processam dados regulamentados ou confidenciais.

### Correção
<a name="sagemaker-12-remediation"></a>

Para ativar o isolamento da rede, você deve criar uma nova definição de tarefa de polarização do modelo com o `EnableNetworkIsolation` parâmetro definido como`True`. O isolamento da rede não pode ser modificado após a criação da definição do trabalho. Para criar uma nova definição de trabalho tendenciosa de modelo, consulte [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)o *Amazon SageMaker AI Developer Guide*. 

## [SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada
<a name="sagemaker-13"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::SageMaker::ModelQualityJobDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se as definições de trabalho de qualidade do SageMaker modelo Amazon têm criptografia em trânsito habilitada para tráfego entre contêineres. O controle falhará se a definição de tarefa de qualidade do modelo não tiver a criptografia de tráfego entre contêineres ativada.

A criptografia de tráfego entre contêineres protege os dados transmitidos entre contêineres durante trabalhos de monitoramento da qualidade do modelo distribuído. Por padrão, o tráfego entre contêineres não é criptografado. A ativação da criptografia ajuda a manter a confidencialidade dos dados durante o processamento e apoia a conformidade com os requisitos normativos para proteção de dados em trânsito.

### Correção
<a name="sagemaker-13-remediation"></a>

Para habilitar a criptografia de tráfego entre contêineres para sua definição de trabalho de qualidade de SageMaker modelo da Amazon, você deve recriar a definição de trabalho com a configuração apropriada de criptografia em trânsito. Para criar uma definição de trabalho com qualidade de modelo, consulte [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)o *Amazon SageMaker AI Developer Guide*. 

## [SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado
<a name="sagemaker-14"></a>

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::SageMaker::MonitoringSchedule`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se os cronogramas de SageMaker monitoramento da Amazon têm o isolamento de rede ativado. O controle falhará se um cronograma de monitoramento for EnableNetworkIsolation definido como falso ou não configurado

O isolamento da rede impede que os trabalhos de monitoramento façam chamadas de rede de saída, reduzindo a superfície de ataque ao eliminar o acesso à Internet dos contêineres.

### Correção
<a name="sagemaker-14-remediation"></a>

Para obter informações sobre como configurar o isolamento de rede no NetworkConfig parâmetro ao criar ou atualizar um cronograma de monitoramento, consulte [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)ou [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)no *Amazon SageMaker AI Developer Guide*.

## [SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada
<a name="sagemaker-15"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::SageMaker::ModelBiasJobDefinition`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se as definições de trabalho tendenciosas do SageMaker modelo da Amazon têm a criptografia de tráfego entre contêineres ativada ao usar várias instâncias de computação. O controle falhará se `EnableInterContainerTrafficEncryption` for definido como falso ou não estiver configurado para definições de tarefas com uma contagem de instâncias igual ou superior a 2.

EInter- a criptografia de tráfego de contêineres protege os dados transmitidos entre instâncias de computação durante trabalhos de monitoramento de viés de modelos distribuídos. A criptografia impede o acesso não autorizado a informações relacionadas ao modelo, como pesos que são transmitidos entre instâncias.

### Correção
<a name="sagemaker-15-remediation"></a>

Para habilitar a criptografia de tráfego entre contêineres para definições de tarefas com polarização de SageMaker modelo, defina o `EnableInterContainerTrafficEncryption` parâmetro como `True` quando a definição de tarefa usa várias instâncias de computação. Para obter informações sobre como proteger as comunicações entre instâncias de computação de ML, consulte [Protect Communications Between ML Compute Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) no *Amazon SageMaker AI Developer Guide*. 

# Controles CSPM do Security Hub para Secrets Manager
<a name="secretsmanager-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS Secrets Manager serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada
<a name="secretsmanager-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Categoria:** Proteger > Desenvolvimento seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `maximumAllowedRotationFrequency`  |  Número máximo de dias permitidos para a frequência de rotação do segredo  |  Inteiro  |  `1` para `365`  |  Nenhum valor padrão  | 

Esse controle verifica se um segredo armazenado AWS Secrets Manager está configurado com rotação automática. O controle falhará se o segredo não estiver configurado com rotação automática. Se você fornecer um valor personalizado para o parâmetro `maximumAllowedRotationFrequency`, o controle passará somente se o segredo for rotacionado automaticamente dentro da janela de tempo especificada.

O Secrets Manager ajuda você a melhorar a postura de segurança de sua organização. O Secrets inclui credenciais de banco de dados, senhas, chaves de API de terceiros. É possível usar o Secrets Manager para armazenar segredos centralmente, criptografar segredos automaticamente, controlar o acesso aos segredos e alternar segredos de forma segura e automática.

O Secrets Manager pode alternar segredos. É possível usar a alternância para substituir segredos de longo prazo por segredos de curto prazo. A alternância de seus segredos limita por quanto tempo um usuário não autorizado pode usar um segredo comprometido. Por esse motivo, é necessário alternar seus segredos com frequência. Para saber mais sobre rotação, consulte Como [girar seus AWS Secrets Manager segredos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) no *Guia do AWS Secrets Manager usuário*.

### Correção
<a name="secretsmanager-1-remediation"></a>

Para ativar a rotação automática dos segredos do Secrets Manager, consulte [Configurar a rotação automática para AWS Secrets Manager segredos usando o console](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) no *Guia AWS Secrets Manager do Usuário*. Você deve escolher e configurar uma AWS Lambda função para rotação.

## [SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso
<a name="secretsmanager-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Categoria:** Proteger > Desenvolvimento seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um AWS Secrets Manager segredo foi rotacionado com sucesso com base no cronograma de rotação. O controle falha se `RotationOccurringAsScheduled` for `false`. O controle avalia apenas segredos que têm a alternância ativada.

O Secrets Manager ajuda você a melhorar a postura de segurança de sua organização. O Secrets inclui credenciais de banco de dados, senhas, chaves de API de terceiros. É possível usar o Secrets Manager para armazenar segredos centralmente, criptografar segredos automaticamente, controlar o acesso aos segredos e alternar segredos de forma segura e automática.

O Secrets Manager pode alternar segredos. É possível usar a alternância para substituir segredos de longo prazo por segredos de curto prazo. A alternância de seus segredos limita por quanto tempo um usuário não autorizado pode usar um segredo comprometido. Por esse motivo, é necessário alternar seus segredos com frequência.

Além de configurar segredos para alternar automaticamente, é necessário garantir que esses segredos sejam alternados com sucesso com base na programação de alternância.

Para saber mais sobre alternância, consulte [Alternar seus segredos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) no *Guia do usuário do AWS Secrets Manager *.

### Correção
<a name="secretsmanager-2-remediation"></a>

Se a alternância automática falhar, o Secrets Manager pode ter encontrado erros na configuração. Para alternar segredos no Secrets Manager, use uma função Lambda que defina como interagir com o banco de dados ou com o serviço que tem o segredo.

Para obter ajuda para diagnosticar e corrigir erros comuns relacionados à rotação de segredos, consulte [Solução de problemas de AWS Secrets Manager rotação de segredos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) no *Guia do AWS Secrets Manager usuário*.

## [SecretsManager.3] Remover segredos não utilizados do Secrets Manager
<a name="secretsmanager-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `unusedForDays`  |  Número máximo de dias em que um segredo pode permanecer sem uso  |  Inteiro  |  `1` para `365`  |  `90`  | 

Esse controle verifica se um AWS Secrets Manager segredo foi acessado dentro do período de tempo especificado. O controle falhará se um segredo não for usado além do período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de acesso, o Security Hub CSPM usa um valor padrão de 90 dias.

Excluir segredos não utilizados é tão importante quanto alternar segredos. Segredos não utilizados podem ser abusados por seus antigos usuários, que não precisam mais acessar esses segredos. Além disso, à medida que mais usuários obtêm acesso a um segredo, alguém pode tê-lo manipulado incorretamente e vazado para uma entidade não autorizada, o que aumenta o risco de abuso. A exclusão de segredos não utilizados ajuda a revogar o acesso a segredos por usuários que não precisam mais deles. Ele também ajuda a reduzir o custo do uso do Secrets Manager. Portanto, é essencial excluir rotineiramente segredos não utilizados.

### Correção
<a name="secretsmanager-3-remediation"></a>

Para excluir segredos inativos do Secrets Manager, consulte [Excluir um AWS Secrets Manager segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html) no *Guia do AWS Secrets Manager usuário*.

## [SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias
<a name="secretsmanager-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)

**Tipo de programação:** Periódico

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `maxDaysSinceRotation`  |  Número máximo de dias em que um segredo pode permanecer sem alterações  |  Inteiro  |  `1` para `180`  |  `90`  | 

Esse controle verifica se um AWS Secrets Manager segredo é rotacionado pelo menos uma vez dentro do período de tempo especificado. O controle falhará se um segredo não tiver sido rotacionado com pelo menos essa frequência. A menos que você forneça um valor de parâmetro personalizado para o período de rotação, o Security Hub CSPM usa um valor padrão de 90 dias.

A alternância de segredos pode ajudá-lo a reduzir o risco de uso não autorizado de seus segredos na sua Conta da AWS. Exemplos incluem credenciais de banco de dados, senhas, chaves de API de terceiros e até mesmo texto arbitrário. Se você não alterar o segredos por um longo período, eles se tornam mais propensos a ser comprometidos.

À medida que mais usuários obtêm acesso a um segredo, pode ser possível que alguém o tenha manipulado incorretamente e que ele tenha vazado para uma entidade não autorizada. Os segredos podem ser vazados por logs e dados de cache. Eles podem ser compartilhados para fins de depuração e não alterados nem revogados quando a depuração for concluída. Por todos esses motivos, os segredos devem ser mudados com frequência.

É possível configurar a alternância automática para segredos no AWS Secrets Manager. Com a alternância automática, você pode substituir os segredos de longo prazo por outros de curto prazo, reduzindo significativamente o risco de comprometimento. Recomendamos que você configure uma programação de alternância automática para seus segredos do Secrets Manager. Para ter mais informações, consulte [Alternar os segredos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) no *Guia do usuário do AWS Secrets Manager *. 

### Correção
<a name="secretsmanager-4-remediation"></a>

Para ativar a rotação automática dos segredos do Secrets Manager, consulte [Configurar a rotação automática para AWS Secrets Manager segredos usando o console](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) no *Guia AWS Secrets Manager do Usuário*. Você deve escolher e configurar uma AWS Lambda função para rotação.

## [SecretsManager.5] Os segredos do Secrets Manager devem ser marcados
<a name="secretsmanager-5"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**AWS Config regra:** `tagged-secretsmanager-secret` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um AWS Secrets Manager segredo tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o segredo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o segredo não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="secretsmanager-5-remediation"></a>

Para adicionar tags a um segredo do Secrets Manager, consulte [AWS Secrets Manager Segredos de tags](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) no *Guia AWS Secrets Manager do usuário*.

# Controles CSPM do Security Hub para AWS Service Catalog
<a name="servicecatalog-controls"></a>

Esse AWS Security Hub CSPM controle avalia o AWS Service Catalog serviço e os recursos. O controle pode não estar disponível em todas as Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS
<a name="servicecatalog-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-6, NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7

**Categoria:** Proteger > Gerenciamento de acesso seguro

**Gravidade:** média

**Tipo de recurso:** `AWS::ServiceCatalog::Portfolio`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se AWS Service Catalog compartilha portfólios dentro de uma organização quando a integração com AWS Organizations está habilitada. O controle falhará se os portfólios não forem compartilhados dentro de uma organização.

O compartilhamento de portfólio apenas dentro de organizações ajuda a garantir que um portfólio não seja compartilhado com Contas da AWS incorretas. Para compartilhar um portfólio do Service Catalog com uma conta em uma organização, o Security Hub CSPM recomenda usar `ORGANIZATION_MEMBER_ACCOUNT` em vez de. `ACCOUNT` Isso simplifica a administração controlando o acesso concedido à conta em toda a organização. Se houver uma necessidade comercial de compartilhar os portfólios do Service Catalog com uma conta externa, você poderá [suprimir automaticamente as descobertas](automation-rules.md) desse controle ou [desabilitá-lo](disable-controls-overview.md).

### Correção
<a name="servicecatalog-1-remediation"></a>

Para habilitar o compartilhamento de portfólio com AWS Organizations, consulte [Compartilhamento com AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations) no *Guia AWS Service Catalog do Administrador*.

# Controles de CSPM do Security Hub para Amazon SES
<a name="ses-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Simple Email Service (Amazon SES).

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [SES.1] As listas de contatos do SES devem ser marcadas
<a name="ses-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::SES::ContactList`

**AWS Config regra:** `tagged-ses-contactlist` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um agente do Amazon SES tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o contato não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o contato não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="ses-1-remediation"></a>

Para adicionar tags a uma lista de contatos do Amazon SES, consulte [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)na *Referência da API v2 do Amazon SES*.

## [SES.2] Os conjuntos de configuração do SES devem ser marcados
<a name="ses-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::SES::ConfigurationSet`

**AWS Config regra:** `tagged-ses-configurationset` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se um conjunto de configurações do Amazon SES tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se conjunto de configurações não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o conjunto de configurações não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="ses-2-remediation"></a>

Para adicionar tags a um conjunto de configurações do Amazon SES, consulte [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)na *Referência da API v2 do Amazon SES*.

## [SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails
<a name="ses-3"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit 

**Gravidade:** média

**Tipo de recurso:** `AWS::SES::ConfigurationSet`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um conjunto de configurações do Amazon SES exige conexões TLS. O controle falhará se a Política TLS não estiver definida como `'REQUIRE'` para um conjunto de configurações.

Por padrão, o Amazon SES usa TLS oportunista, o que significa que os e-mails podem ser enviados sem criptografia se uma conexão TLS não puder ser estabelecida com o servidor de e-mail receptor. A aplicação do TLS para envio de e-mail garante que as mensagens sejam entregues somente quando uma conexão criptografada segura puder ser estabelecida. Isso ajuda a proteger a confidencialidade e a integridade do conteúdo do e-mail durante a transmissão entre o Amazon SES e o servidor de e-mail do destinatário. Se uma conexão TLS segura não puder ser estabelecida, a mensagem não será entregue, evitando a possível exposição de informações confidenciais.

**nota**  
Embora o TLS 1.3 seja o método de entrega padrão para o Amazon SES, sem impor a exigência de TLS por meio de conjuntos de configurações, as mensagens poderiam ser entregues em texto simples se uma conexão TLS falhar. Para passar esse controle, você deve configurar a Política TLS de acordo com as opções `'REQUIRE'` de entrega do conjunto de configurações do SES. Quando o TLS é necessário, as mensagens são entregues somente se uma conexão TLS puder ser estabelecida com o servidor de e-mail receptor.

### Correção
<a name="ses-3-remediation"></a>

Para configurar o Amazon SES para exigir conexões TLS para um conjunto de configurações, consulte o [Amazon SES e os protocolos de segurança](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver) no *Guia do desenvolvedor do Amazon SES*.

# Controles de CSPM do Security Hub para Amazon SNS
<a name="sns-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Simple Notification Service (Amazon SNS). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS
<a name="sns-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-26), NIST.800-171.r2 3.13.11, NIST.800-171.r2 3.13.16

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::SNS::Topic`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um tópico do Amazon SNS é criptografado em repouso usando chaves gerenciadas no AWS Key Management Service (AWS KMS). Os controles falharão se o tópico do SNS não usar uma chave do KMS para criptografia do lado do servidor (SSE). Por padrão, o SNS armazena mensagens e arquivos usando criptografia de disco. Para passar esse controle, é necessário, em vez disso, escolher usar uma chave do KMS para criptografia. Isso adiciona uma camada adicional de segurança e fornece mais flexibilidade de controle de acesso.

Criptografar dados em repouso reduz o risco de os dados armazenados em disco serem acessados por um usuário não autenticado. AWS As permissões de API são necessárias para descriptografar os dados antes que eles possam ser lidos. Recomendamos criptografar os tópicos do SNS com chaves do KMS para uma camada adicional de segurança.

### Correção
<a name="sns-1-remediation"></a>

Para habilitar o SSE para um tópico do SNS, consulte [Enabling server-side encryption (SSE) for an Amazon SNS topic](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) no *Amazon Simple Notification Service Developer Guide*. Antes de usar o SSE, você também deve configurar AWS KMS key políticas para permitir a criptografia de tópicos e criptografia e descriptografia de mensagens. Para obter mais informações, consulte [Configuração de AWS KMS permissões](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse) no *Guia do desenvolvedor do Amazon Simple Notification Service*.

## [SNS.2] O registro em log do status de entrega deve ser habilitado para mensagens de notificação enviadas a um tópico
<a name="sns-2"></a>

**Importante**  
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::SNS::Topic`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o registro em log está habilitado para o status de entrega de mensagens de notificação enviadas para um tópico do Amazon SNS para endpoints. Esse controle falhará se a notificação do status de entrega das mensagens não estiver ativada.

O registro em log é uma parte importante para manter a confiabilidade, a disponibilidade e a performance dos serviços. O registro de status de entrega de mensagens proporciona um melhor insight operacional, como, por exemplo:
+ Saber se uma mensagem foi entregue para o endpoint do Amazon SNS.
+ Identificar a resposta enviada do endpoint do Amazon SNS ao Amazon SNS.
+ Determinar o tempo de permanência da mensagem (o tempo entre o carimbo de data e hora da publicação e antes do envio para um endpoint do Amazon SNS).

### Correção
<a name="sns-2-remediation"></a>

Para configurar o registro do status de entrega para um tópico, consulte [Status de entrega de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.

## [SNS.3] Os tópicos do SNS devem ser marcados
<a name="sns-3"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::SNS::Topic`

**AWS Config regra:** `tagged-sns-topic` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um tópico do Amazon SNS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o tópico não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o tópico não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="sns-3-remediation"></a>

Para adicionar tags a um tópico do SNS, consulte [Configuring Amazon SNS topic tags](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html) no *Amazon Simple Notification Service Developer Guide*.

## [SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público
<a name="sns-4"></a>

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** crítica

**Tipo de recurso:** `AWS::SNS::Topic`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se a política de acesso a tópicos do Amazon SNS permite o acesso público. Esse controle falhará se a política de acesso a tópicos do SNS permitir o acesso público.

Você usa uma política de acesso do Amazon SNS com determinado tópico para restringir quem pode trabalhar com esse tópico (por exemplo, quem pode publicar mensagens nele ou quem pode assiná-lo). As políticas do SNS podem conceder acesso a outras Contas da AWS pessoas ou a usuários dentro da sua Conta da AWS. Fornecer um caractere curinga (\$1) no campo `Principal` da política de tópicos e a falta de condições para limitar a política de tópicos podem resultar em exfiltração de dados, negação de serviço ou injeção indesejada de mensagens no serviço por um invasor.

**nota**  
Esse controle não avalia as condições de políticas que usem caracteres curinga ou variáveis. Para produzir uma descoberta `PASSED`, as condições na política de acesso do Amazon SNS para um tópico devem usar somente valores fixos, que são valores que não contenham caracteres curinga ou variáveis de política. Para obter informações sobre as variáveis de política, consulte [Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do AWS Identity and Access Management *.

### Correção
<a name="sns-4-remediation"></a>

Para atualizar as políticas de acesso para um tópico do SNS, consulte [Overview of managing access in Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html) no *Amazon Simple Notification Service Developer Guide*.

# Controles CSPM do Security Hub para Amazon SQS
<a name="sqs-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Simple Queue Service (Amazon SQS). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
<a name="sqs-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::SQS::Queue`

**AWS Config regra:** `sqs-queue-encrypted` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma fila do Amazon SQS está criptografada em repouso. O controle falhará se a fila não for criptografada com uma chave gerenciada pelo SQS (SSE-SQS) ou uma AWS Key Management Service chave () (SSE-KMS).AWS KMS

Criptografar dados em repouso reduz o risco de um usuário não autorizado acessar os dados armazenados em disco. A criptografia do lado do servidor (SSE) protege o conteúdo das mensagens nas filas do SQS usando chaves de criptografia gerenciadas pelo SQS (SSE-SQS) ou chaves (SSE-KMS). AWS KMS 

### Correção
<a name="sqs-1-remediation"></a>

Para configurar o SSE para uma fila do SQS, consulte[ Configuring server-side encryption (SSE) for a queue (console)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html) no *Amazon Simple Queue Service Developer Guide*.

## [SQS.2] As filas do SQS devem ser marcadas
<a name="sqs-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::SQS::Queue`

**AWS Config regra:** `tagged-sqs-queue` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se uma fila do Amazon SQS tem tags com chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se a fila não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a fila não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="sqs-2-remediation"></a>

Para adicionar tags a uma fila existente usando o console do Amazon SQS, [Configuring cost allocation tags for an Amazon SQS queue (console)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html) no *Amazon Simple Queue Service Developer Guide*.

## [SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público
<a name="sqs-3"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

**Gravidade:** crítica

**Tipo de recurso:** `AWS::SQS::Queue`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Isso controla se uma política de acesso do Amazon SQS permite acesso público a uma fila do SQS. O controle falhará se uma política de acesso do SQS permitir o acesso público à fila.

Uma política de acesso do Amazon SQS pode permitir acesso público a uma fila SQS, o que pode permitir que um usuário anônimo ou qualquer identidade AWS IAM autenticada acesse a fila. As políticas de acesso do SQS geralmente fornecem esse acesso especificando o caractere curinga (`*`) no elemento `Principal` da política, não usando condições adequadas para restringir o acesso à fila, ou ambos. Se uma política de acesso do SQS permitir acesso público, terceiros poderão realizar tarefas como receber mensagens da fila, enviar mensagens à fila ou modificar a política de acesso da fila. Isso pode resultar em eventos como exfiltração de dados, negação de serviço ou injeção de mensagens na fila por um agente de ameaça.

**nota**  
Esse controle não avalia as condições de políticas que usem caracteres curinga ou variáveis. Para produzir uma descoberta `PASSED`, as condições na política de acesso do Amazon SQS para uma fila devem usar somente valores fixos, que são valores que não contenham caracteres curinga ou variáveis de política. Para obter informações sobre as variáveis de política, consulte [Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do AWS Identity and Access Management *.

### Correção
<a name="sqs-3-remediation"></a>

Para obter informações sobre a configuração das políticas de acesso do SQS, consulte [Uso de políticas personalizadas com a linguagem de políticas de acesso do Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) no *Guia do desenvolvedor do Amazon Simple Queue Service*.

# Controles CSPM do Security Hub para Step Functions
<a name="stepfunctions-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS Step Functions serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
<a name="stepfunctions-1"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::StepFunctions::StateMachine`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logLevel`  |  Nível mínimo de registro em log  |  Enum  |  `ALL, ERROR, FATAL`  |  Nenhum valor padrão  | 

Isso controla se uma máquina de AWS Step Functions estado está com o registro ativado. O controle falhará se uma máquina de estado não tiver o registro em log ativado. Se você fornecer um valor personalizado para o parâmetro `logLevel`, o controle passará somente se a máquina de estados tiver o nível de registro em log especificado ativado.

O monitoramento ajuda a manter a confiabilidade, a disponibilidade e a performance do Step Functions. Você deve coletar o máximo de dados de monitoramento Serviços da AWS que você usa para poder depurar falhas de vários pontos com mais facilidade. Ter uma configuração de registro definida para suas máquinas de estado do Step Functions permite que você acompanhe o histórico de execução e os resultados no Amazon CloudWatch Logs. Opcionalmente, você pode rastrear somente erros ou eventos fatais.

### Correção
<a name="stepfunctions-1-remediation"></a>

Para ativar o registro em log em uma máquina de estado do Step Functions, consulte [Configurar registro em log](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure) no *Guia do desenvolvedor do AWS Step Functions *.

## [StepFunctions.2] As atividades do Step Functions devem ser marcadas
<a name="stepfunctions-2"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::StepFunctions::Activity`

**AWS Config regra:** `tagged-stepfunctions-activity` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Nenhum valor padrão  | 

Esse controle verifica se uma AWS Step Functions atividade tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a atividade não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a atividade não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="stepfunctions-2-remediation"></a>

Para adicionar tags a uma atividade do Step Functions, consulte [Tagging in Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html) no *AWS Step Functions Developer Guide*.

# Controles CSPM do Security Hub para Systems Manager
<a name="ssm-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos AWS Systems Manager (SSM). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager
<a name="ssm-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8), NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-2 (3) NIST.800-53.r5 SA-3

**Categoria:** Identificar > Inventário

**Gravidade:** média

**Recurso avaliado:** `AWS::EC2::Instance`

**Recursos AWS Config de gravação necessários:**`AWS::EC2::Instance`, `AWS::SSM::ManagedInstanceInventory`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se as instâncias do EC2 interrompidas e em execução na sua conta são gerenciadas pelo AWS Systems Manager. O Systems Manager é um AWS service (Serviço da AWS) que você pode usar para visualizar e controlar sua AWS infraestrutura.

Para ajudar você a manter a segurança e a conformidade, o Systems Manager verifica as instâncias gerenciadas interrompidas e em execução. Uma instância gerenciada é uma máquina que foi configurada para uso com o Systems Manager. Em seguida, o Systems Manager relata ou toma medidas corretivas sobre quaisquer violações de políticas detectadas. O Systems Manager também ajuda você a configurar e manter suas instâncias gerenciadas. Para saber mais, consulte o [Manual do usuário do AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).

**nota**  
Esse controle gera `FAILED` descobertas para instâncias do EC2 que são instâncias do AWS Elastic Disaster Recovery Replication Server gerenciadas pelo. AWS Uma instância do servidor de replicação é uma instância do EC2 que é iniciada automaticamente AWS Elastic Disaster Recovery para oferecer suporte à replicação contínua de dados dos servidores de origem. AWS remove intencionalmente o Agente do Systems Manager (SSM) dessas instâncias para manter o isolamento e ajudar a evitar possíveis caminhos de acesso não intencionais.

### Correção
<a name="ssm-1-remediation"></a>

Para obter informações sobre o gerenciamento de instâncias do EC2 com AWS Systems Manager, consulte Gerenciamento de [host do Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) no Guia *AWS Systems Manager do* usuário. Na seção **Opções de configuração** no AWS Systems Manager console, você pode manter as configurações padrão ou alterá-las conforme necessário para sua configuração preferida.

## [PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch
<a name="ssm-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(3), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), NIST.800-171.r2 3,7.1, PCI DSS v3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

**Categoria:** Detectar > Serviços de detecção 

**Gravidade:** alta

**Tipo de recurso:** `AWS::SSM::PatchCompliance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o status da conformidade do patch do Systems Manager é `COMPLIANT` ou `NON_COMPLIANT` após a instalação do patch na instância. O controle falhará se o status de conformidade for `NON_COMPLIANT`. O controle verifica somente as instâncias gerenciadas pelo gerenciador de patches do Systems Manager.

Ter as instâncias do EC2 corrigidas conforme exigido pela organização reduz a superfície de ataque de suas Contas da AWS.

### Correção
<a name="ssm-2-remediation"></a>

O Systems Manager recomenda o uso de [políticas de patch](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) para configurar a correção das suas instâncias gerenciadas. Também é possível usar [documentos do Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html), conforme descrito no procedimento a seguir, para corrigir uma instância.

**Como corrigir patches que não estão em conformidade**

1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Em **Gerenciamento de nós**, escolha **Executar comando** e, depois, **Executar comando**.

1. Escolha a opção para **AWS- RunPatchBaseline**.

1. Altere **Operation (Operação)** para **Install (Instalar)**.

1. Selecione **Choose instances manually (Escolher instâncias manualmente)** e selecione as instâncias que não estão em conformidade.

1. Escolha **Executar**.

1. Após a conclusão do comando, para monitorar o novo status de conformidade das instâncias com patches, no painel de navegação, escolha **Conformidade**.

## PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL
<a name="ssm-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8 (1), NIST.800-53.r5 CM-8 (3), NIST.800-53.r5 SI-2 (3), PCI DSS vs 3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

**Categoria:** Detectar > Serviços de detecção

**Gravidade:** baixa

**Tipo de recurso:** `AWS::SSM::AssociationCompliance`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o status da conformidade da AWS Systems Manager associação é `COMPLIANT` ou `NON_COMPLIANT` após a execução da associação em uma instância. O controle falhará se o status de conformidade for `NON_COMPLIANT`.

Uma associação do State Manager é uma configuração que é atribuída às instâncias gerenciadas. A configuração define o estado que você deseja manter em suas instâncias. Por exemplo, uma associação pode especificar que o software antivírus deve estar instalado e em execução nas instâncias ou que determinadas portas devem ser fechadas. 

Depois de criar uma ou mais associações de State Manager, as informações de status de conformidade ficam imediatamente disponíveis para você. Você pode visualizar o status de conformidade no console ou em resposta aos AWS CLI comandos ou às ações correspondentes da API do Systems Manager. Para associações, a Conformidade de configuração mostra o status de conformidade (`Compliant` ou `Non-compliant`). Também mostra o nível de gravidade atribuído à associação, como `Critical` ou `Medium`.

Para saber mais sobre a conformidade da associação State Manager, consulte [Sobre a conformidade de associações do Gerenciador de Estados](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) no *Guia do usuário do AWS Systems Manager *.

### Correção
<a name="ssm-3-remediation"></a>

Uma associação reprovada pode estar relacionada a motivos diferentes, incluindo destinos e nomes de documentos Systems Manager. Para corrigir esse problema, é necessário primeiro identificar e investigar a associação visualizando o histórico da associação. Para obter instruções sobre como visualizar o histórico de associações, consulte [Visualização de históricos de associações](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) no *Guia do usuário do AWS Systems Manager *.

Depois de investigar, você pode editar a associação para corrigir o problema identificado. É possível editar uma associação para especificar um novo nome, agendamento, nível de gravidade ou destinos. Depois de editar uma associação, AWS Systems Manager cria uma nova versão. Para obter instruções sobre como editar uma associação, consulte [Edita e criar uma nova versão de uma associação](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html) no *Guia do usuário do AWS Systems Manager *.

## [SSM.4] Os documentos SSM não devem ser públicos
<a name="ssm-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público

**Gravidade:** crítica

**Tipo de recurso:** `AWS::SSM::Document`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se AWS Systems Manager os documentos pertencentes a uma conta são públicos. O controle falhará se os documentos do Systems Manager com o proprietário `Self` forem públicos.

Documentos Systems Manager que são públicos podem permitir acesso não pretendido aos documentos. Um documento do Systems Manager público pode expor informações valiosas sobre sua conta, recursos e processos internos.

A menos que seu caso de uso exija compartilhamento público, recomendamos que você bloqueie o compartilhamento público para documentos do Systems Manager com o proprietário `Self`.

### Correção
<a name="ssm-4-remediation"></a>

Para obter informações sobre como configurar o compartilhamento de documentos do Systems Manager, consulte [Compartilhamento de um documento do SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) no *Guia do Usuário do AWS Systems Manager *.

## [SSM.5] Os documentos do SSM devem ser marcados com tags
<a name="ssm-5"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::SSM::Document`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se um AWS Systems Manager documento tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se o documento não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o documento não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`. O controle não avalia os documentos do Systems Manager de propriedade da Amazon.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="ssm-5-remediation"></a>

Para adicionar tags a um AWS Systems Manager documento, você pode usar a [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)operação da AWS Systems Manager API ou, se estiver usando a AWS CLI, executar o [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)comando. Também é possível usar o console do AWS Systems Manager .

## [SSM.6] A automação de SSM deve ter o registro ativado CloudWatch
<a name="ssm-6"></a>

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o CloudWatch registro na Amazon está habilitado para automação AWS Systems Manager (SSM). O controle falhará se o CloudWatch registro não estiver habilitado para a automação SSM.

O SSM Automation é uma AWS Systems Manager ferramenta que ajuda você a criar soluções automatizadas para implantar, configurar e gerenciar AWS recursos em grande escala usando runbooks predefinidos ou personalizados. Para satisfazer os requisitos de segurança ou operacionais da sua organização, pode ser necessário fornecer um registro dos scripts que ela executa. Você pode configurar o SSM Automation para enviar a saída das `aws:executeScript` ações em seus runbooks para um grupo de CloudWatch logs do Amazon Logs que você especificar. Com o CloudWatch Logs, você pode monitorar, armazenar e acessar arquivos de log de vários Serviços da AWS.

### Correção
<a name="ssm-6-remediation"></a>

Para obter informações sobre como ativar o CloudWatch registro para a automação SSM, consulte [Saída da ação do Logging Automation com CloudWatch registros](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) no *Guia do AWS Systems Manager usuário*.

## [SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada
<a name="ssm-7"></a>

**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

**Gravidade:** crítica

**Tipo de recurso:** `AWS::::Account`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se a configuração de bloqueio de compartilhamento público está habilitada para documentos do AWS Systems Manager . O controle falhará se a configuração de bloqueio de compartilhamento público estiver desabilitada para documentos do Systems Manager.

A configuração de bloqueio de compartilhamento público para documentos AWS Systems Manager (SSM) é uma configuração no nível da conta. Habilitar essa configuração pode impedir o acesso indesejado aos seus documentos do SSM. Se você habilitar essa configuração, sua alteração não afetará nenhum documento do SSM que você esteja compartilhando atualmente com o público. A menos que seu caso de uso exija que você compartilhe documentos do SSM com o público, recomendamos que você habilite a configuração de bloqueio de compartilhamento público. A configuração pode ser diferente para cada um Região da AWS.

### Correção
<a name="ssm-7-remediation"></a>

Para obter informações sobre a configuração de bloqueio de compartilhamento público para documentos do AWS Systems Manager (SSM), consulte [Bloqueio de compartilhamento público para documentos do SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access) no *Guia do usuário do AWS Systems Manager *.

# Controles CSPM do Security Hub para AWS Transfer Family
<a name="transfer-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS Transfer Family serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados
<a name="transfer-1"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Transfer::Workflow`

**AWS Config regra:** `tagged-transfer-workflow` (regra CSPM personalizada do Security Hub)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas  | StringList (máximo de 6 itens)  | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Esse controle verifica se um AWS Transfer Family fluxo de trabalho tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se o fluxo de trabalho não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o fluxo de trabalho não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.

**nota**  
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*

### Correção
<a name="transfer-1-remediation"></a>

**Para adicionar tags a um fluxo de trabalho do Transfer Family (console)**

1. Abra o AWS Transfer Family console.

1. No painel de navegação, escolha **Workflows** (Fluxos de trabalho). Em seguida, selecione o fluxo de trabalho que você deseja marcar.

1. Escolha **Gerenciar tags** e, em seguida, adicione as tags.

## [Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints
<a name="transfer-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5, NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1

**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit

**Gravidade:** média

**Tipo de recurso:** `AWS::Transfer::Server`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se um AWS Transfer Family servidor usa um protocolo diferente de FTP para conexão de endpoint. O controle falhará se o servidor usar o protocolo FTP para um cliente se conectar ao endpoint do servidor.

O FTP (File Transfer Protocol) estabelece a conexão do endpoint por meio de canais não criptografados, deixando os dados enviados por esses canais vulneráveis à interceptação. O uso de SFTP (SSH File Transfer Protocol), FTPS (File Transfer Protocol Secure) ou AS2 (Applicability Statement 2) oferece uma camada extra de segurança ao criptografar seus dados em trânsito e pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede.

### Correção
<a name="transfer-2-remediation"></a>

Para modificar o protocolo de um servidor Transfer Family, consulte [Edit the file transfer protocols](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols) no *AWS Transfer Family User Guide*.

## [Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado
<a name="transfer-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::Transfer::Connector`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o Amazon CloudWatch Logging está habilitado para um AWS Transfer Family conector. O controle falhará se o CloudWatch registro não estiver habilitado para o conector.

A Amazon CloudWatch é um serviço de monitoramento e observabilidade que fornece visibilidade de seus AWS recursos, incluindo AWS Transfer Family recursos. Para Transfer Family, CloudWatch fornece auditoria e registro consolidados para o progresso e os resultados do fluxo de trabalho. Isso inclui várias métricas que o Transfer Family define para os fluxos de trabalho. Você pode configurar o Transfer Family para registrar automaticamente os eventos do conector CloudWatch. Para fazer isso, especifique um perfil de registro em log para o conector. Para o perfil de registro em log, você cria um perfil do IAM e uma política do IAM baseada em recursos que define as permissões para o perfil.

### Correção
<a name="transfer-3-remediation"></a>

Para obter informações sobre como ativar o CloudWatch registro em um conector Transfer Family, consulte [ CloudWatch Registro na Amazon para AWS Transfer Family servidores](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) no *Guia AWS Transfer Family do usuário*.

## [Transfer.4] Os contratos do Transfer Family devem ser marcados com tags
<a name="transfer-4"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Transfer::Agreement`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se um AWS Transfer Family contrato tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se o contrato não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o contrato não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="transfer-4-remediation"></a>

Para obter informações sobre como adicionar tags a um AWS Transfer Family contrato, consulte [Métodos de marcação de recursos no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) do *usuário de AWS recursos de marcação e do editor de tags*.

## [Transfer.5] Os certificados do Transfer Family devem ser marcados com tags
<a name="transfer-5"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Transfer::Certificate`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se um AWS Transfer Family certificado tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se o certificado não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o certificado não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="transfer-5-remediation"></a>

Para obter informações sobre como adicionar tags a um AWS Transfer Family certificado, consulte [Métodos de marcação de recursos no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) do *usuário de AWS recursos de marcação e do editor de tags*.

## [Transfer.6] Os conectores do Transfer Family devem ser marcados com tags
<a name="transfer-6"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Transfer::Connector`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se um AWS Transfer Family conector tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se o conector não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o conector não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="transfer-6-remediation"></a>

Para obter informações sobre como adicionar tags a um AWS Transfer Family conector, consulte [Métodos de marcação de recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) no Guia do *usuário de AWS recursos de marcação e do editor de tags*.

## [Transfer.7] Os perfis do Transfer Family devem ser marcados com tags
<a name="transfer-7"></a>

**Categoria:** Identificar > Inventário > Marcação

**Gravidade:** baixa

**Tipo de recurso:** `AWS::Transfer::Profile`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)

**Tipo de programação:** acionado por alterações

**Parâmetros:**


| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão | 

Esse controle verifica se um AWS Transfer Family perfil tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se o perfls não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o perfil não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`. O controle avalia perfis locais e perfis de parceiros.

Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.

### Correção
<a name="transfer-7-remediation"></a>

Para obter informações sobre como adicionar tags a um AWS Transfer Family perfil, consulte [Métodos de marcação de recursos no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) do *usuário de AWS recursos de marcação e do editor de tags*.

# Controles CSPM do Security Hub para AWS WAF
<a name="waf-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o AWS WAF serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado
<a name="waf-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::WAF::WebACL`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o registro está habilitado para uma ACL da web AWS WAF global. Esse controle falhará se o registro em log não estiver habilitado para a ACL da web.

O registro em log é uma parte importante para manter a confiabilidade, a disponibilidade e o desempenho AWS WAF global. É um requisito comercial e de conformidade em muitas organizações e permite solucionar problemas de comportamento de aplicativos. Ele também fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web que está associada ao AWS WAF.

### Correção
<a name="waf-1-remediation"></a>

Para ativar o registro de uma ACL AWS WAF da web, consulte [Registro de informações de tráfego da ACL da web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) no Guia do *AWS WAF desenvolvedor*.

## [WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
<a name="waf-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::WAFRegional::Rule`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma regra AWS WAF regional tem pelo menos uma condição. O controle falhará se nenhuma condição estiver presente em uma regra.

Uma regra regional do WAF pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer condições, o tráfego passa sem inspeção. Uma regra regional do WAF sem condições, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.

### Correção
<a name="waf-2-remediation"></a>

Para adicionar uma condição a uma regra vazia, consulte [Adicionar e remover condições em uma regra](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) no *Guia do desenvolvedor do AWS WAF *.

## [WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
<a name="waf-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::WAFRegional::RuleGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um grupo de regras AWS WAF regionais tem pelo menos uma regra. O controle falhará se não houver regras no grupo de regras.

Um grupo de regras WAF regional pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer regras, o tráfego passa sem inspeção. Um grupo de regras regionais do WAF sem regras, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.

### Correção
<a name="waf-3-remediation"></a>

Para adicionar regras e condições de regras a um grupo de regras vazio, consulte [Adicionar e excluir regras de um grupo de regras AWS WAF clássico](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) e [Adicionar e remover condições em uma regra](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) no *Guia do AWS WAF desenvolvedor*.

## [WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
<a name="waf-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::WAFRegional::WebACL`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma AWS WAF Classic regional Web ACL contém alguma regra WAF ou grupos de regras WAF. Esse controle falhará se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF.

Uma ACL da web do WAF Regional pode conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web poderá passar sem ser detectado ou acionado pelo WAF, dependendo da ação padrão.

### Correção
<a name="waf-4-remediation"></a>

Para adicionar regras ou grupos de regras a uma ACL da web regional AWS WAF clássica vazia, consulte [Editando uma ACL da Web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) no Guia do *AWS WAF desenvolvedor*.

## [WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
<a name="waf-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::WAF::Rule`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma regra AWS WAF global contém alguma condição. O controle falhará se nenhuma condição estiver presente em uma regra.

Uma regra global WAF pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer condições, o tráfego passa sem inspeção. Uma regra global do WAF sem condições, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.

### Correção
<a name="waf-6-remediation"></a>

Para obter instruções sobre como criar uma regra e adicionar condições, consulte [Criar uma regra e adicionar condições](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) no *Guia do desenvolvedor do AWS WAF *.

## [WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
<a name="waf-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::WAF::RuleGroup`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um grupo de regras AWS WAF global tem pelo menos uma regra. O controle falhará se não houver regras no grupo de regras.

Um grupo de regras WAF Global pode conter várias regras. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer regras, o tráfego passa sem inspeção. Um grupo de regras globais do WAF sem regras, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.

### Correção
<a name="waf-7-remediation"></a>

Para obter instruções sobre como adicionar uma regra a um grupo de regras, consulte [Criação de um grupo de regras AWS WAF clássico](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) no *Guia do AWS WAF desenvolvedor*.

## [WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
<a name="waf-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::WAF::WebACL`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma Web ACL AWS WAF global contém pelo menos uma regra WAF ou um grupo de regras WAF. Esse controle falhará se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF.

Uma ACL da web global do WAF pode conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web poderá passar sem ser detectado ou acionado pelo WAF, dependendo da ação padrão.

### Correção
<a name="waf-8-remediation"></a>

Para adicionar regras ou grupos de regras a uma ACL da web AWS WAF global vazia, consulte [Edição de uma ACL da web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) no Guia do *AWS WAF desenvolvedor*. Em **Filtro**, escolha **Global (CloudFront)**.

## [WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
<a name="waf-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Proteger > Configuração de rede segura

**Gravidade:** média

**Tipo de recurso:** `AWS::WAFv2::WebACL`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma lista de controle de acesso à web AWS WAF V2 (Web ACL) contém pelo menos uma regra ou grupo de regras. Esse controle falhará se uma ACL da web não contiver nenhuma regra ou grupo de regras.

A web ACL é um recurso que oferece controle detalhado sobre todas as solicitações web HTTP (S) às quais o recurso protegido responde. Uma web ACL deve conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web poderá passar sem ser detectado ou manipulado, AWS WAF dependendo da ação padrão.

### Correção
<a name="waf-10-remediation"></a>

Para adicionar regras ou grupos de regras a uma WAFV2 Web ACL vazia, consulte [Editando uma Web ACL no Guia](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) do *AWS WAF Desenvolvedor*.

## [WAF.11] O registro de ACL AWS WAF da web deve estar ativado
<a name="waf-11"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

**Categoria:** Identificar > Registro em log

**Gravidade:** baixa

**Tipo de recurso:** `AWS::WAFv2::WebACL`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``

**Tipo de programação:** Periódico

**Parâmetros**: nenhum

Esse controle verifica se o registro está ativado para uma lista de controle de acesso à web AWS WAF V2 (Web ACL). Esse controle falhará se o registro em log não estiver habilitado para a web ACL.

**nota**  
Esse controle não verifica se o registro de ACL AWS WAF na web está habilitado para uma conta por meio do Amazon Security Lake.

O registro mantém a confiabilidade, a disponibilidade e o desempenho do AWS WAF. Além disso, o registro em log é um requisito comercial e de conformidade em muitas organizações. Ao registrar em log o tráfego que é analisado pela sua ACL da web, você pode solucionar problemas de comportamento do aplicativo.

### Correção
<a name="waf-11-remediation"></a>

Para ativar o registro de uma ACL AWS WAF da web, consulte [Gerenciando o registro de uma ACL da web](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) no Guia do *AWS WAF desenvolvedor*.

## As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch
<a name="waf-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

**Categoria:** Identificar > Registro em log

**Gravidade:** média

**Tipo de recurso:** `AWS::WAFv2::RuleGroup`

**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se uma AWS WAF regra ou grupo de regras tem CloudWatch métricas da Amazon ativadas. O controle falhará se a regra ou o grupo de regras não tiver CloudWatch métricas ativadas.

A configuração de CloudWatch métricas em AWS WAF regras e grupos de regras fornece visibilidade do fluxo de tráfego. É possível ver quais regras de ACL são acionadas e quais solicitações são aceitas e bloqueadas. Essa visibilidade pode ajudar você a identificar atividades maliciosas nos recursos associados.

### Correção
<a name="waf-12-remediation"></a>

Para ativar CloudWatch métricas em um grupo de AWS WAF regras, invoque a [ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API. Para ativar CloudWatch métricas em uma AWS WAF regra, invoque a API da [ UpdateWebACL.](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) Defina o campo `CloudWatchMetricsEnabled` como `true`. Quando você usa o AWS WAF console para criar regras ou grupos de regras, as CloudWatch métricas são ativadas automaticamente.

# Controles CSPM do Security Hub para WorkSpaces
<a name="workspaces-controls"></a>

Esses AWS Security Hub CSPM controles avaliam o WorkSpaces serviço e os recursos da Amazon.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).

## [WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
<a name="workspaces-1"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::WorkSpaces::Workspace`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se o volume de um usuário em uma Amazon WorkSpaces WorkSpace está criptografado em repouso. O controle falhará se o volume WorkSpace do usuário não estiver criptografado em repouso.

Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.

### Correção
<a name="workspaces-1-remediation"></a>

Para criptografar um volume de WorkSpaces usuário, consulte [Criptografar um WorkSpace no Guia](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) de * WorkSpaces Administração da Amazon*.

## [WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
<a name="workspaces-2"></a>

**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest

**Gravidade:** média

**Tipo de recurso:** `AWS::WorkSpaces::Workspace`

**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)

**Tipo de programação:** acionado por alterações

**Parâmetros**: nenhum

Esse controle verifica se um volume raiz em uma Amazon WorkSpaces WorkSpace está criptografado em repouso. O controle falhará se o volume WorkSpace raiz não estiver criptografado em repouso.

Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.

### Correção
<a name="workspaces-2-remediation"></a>

Para criptografar um volume WorkSpaces raiz, consulte [Criptografar um WorkSpace no Guia](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) de * WorkSpaces Administração da Amazon*.

# Permissões necessárias para configurar controles do CSPM do Security Hub
<a name="iam-permissions-controls-standards"></a>

Para visualizar informações sobre controles de segurança e habilitar e desabilitar controles de segurança em padrões, a função AWS Identity and Access Management (IAM) que você usa para acessar o CSPM do AWS Security Hub precisa de permissões para chamar as seguintes operações da API CSPM do Security Hub.

Para obter as permissões necessárias, é possível usar as [políticas gerenciadas do CSPM do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html). Como alternativa, você pode atualizar as políticas de IAM personalizadas para incluir esas ações . 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)**— Retorna informações sobre um lote de controles de segurança para a conta corrente Região da AWS e. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)**: retorna informações sobre controles de segurança que se aplicam a um padrão específico. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)**: identifica se um controle de segurança está atualmente ativado ou desativado em cada padrão ativado na conta. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)**: para um lote de controles de segurança, identifica se cada controle está atualmente ativado ou desativado a partir de um padrão especificado. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**: usado para ativar um controle de segurança em padrões que incluem o controle ou para desativar um controle em padrões. Esse é uma substituição em lote para a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) existente. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**: usado para habilitar ou desabilitar um lote de controles de segurança em padrões que os incluem. Esse é uma substituição em lote para a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) existente. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)**: usado para habilitar ou desabilitar um único controle de segurança em padrões que o incluem 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html)**: retorna detalhes sobre os controles de segurança especificados.

Além do anterior APIs, você deve adicionar permissão `BatchGetControlEvaluations` para chamar sua função do IAM. Essa permissão é necessária para ver o status de habilitação e conformidade de um controle, a contagem de descobertas para um controle e a pontuação geral de segurança dos controles no console do CSPM do Security Hub. Como somente o console chama`BatchGetControlEvaluations`, essa permissão não corresponde diretamente ao CSPM APIs ou AWS CLI aos comandos do Security Hub documentados publicamente.

# Habilitação de controles no CSPM do Security Hub
<a name="securityhub-standards-enable-disable-controls"></a>

No AWS Security Hub CSPM, um controle é uma proteção dentro de um padrão de segurança que ajuda a organização a proteger a confidencialidade, integridade e disponibilidade de suas informações. Cada controle CSPM do Security Hub está relacionado a um recurso específico AWS . Quando você ativa um controle, o CSPM do Security Hub começa a realizar verificações de segurança e gerar descobertas para ele. O CSPM do Security Hub também considera todos os controles habilitados ao calcular as pontuações de segurança.

É possível escolher habilitar um controle em todos os padrões aos quais ele se aplica. Ou pode configurar o status de habilitação de maneira diferente para padrões diferentes. Recomendamos a primeira opção, na qual o status de habilitação de um controle está alinhado com todos os padrões habilitados. Para obter instruções para habilitar um controle em todos os padrões a que ele se aplica, consulte [Habilitar um controle em todos os padrões](enable-controls-overview.md). Para obter instruções para habilitar um controle em padrões específicos, consulte [Habilitando um controle em um padrão específico](controls-configure.md).

Se você habilitar a agregação entre regiões e fizer login em uma região de agregação, o console do CSPM do Security Hub mostrará os controles que estão disponíveis em pelo menos uma região vinculada. Se um controle estiver disponível em uma região vinculada, mas não na região de agregação, você não poderá habilitar ou desabilitar esse controle na região de agregação.

Você pode ativar e desativar controles em cada região usando o console CSPM do Security Hub, a API CSPM do Security Hub ou. AWS CLI

As instruções para habilitar e desabilitar os controles variam de acordo com o uso ou não da [configuração central](central-configuration-intro.md). Este tópico descreve as diferenças. A configuração central está disponível para usuários que integram o Security Hub CSPM e. AWS Organizations Recomendamos usar a configuração central para simplificar o processo de habilitação e desabilitação de controles em ambientes com várias contas e várias regiões. Se você usar a configuração central, poderá habilitar um controle em várias contas e regiões usando políticas de configuração. Se você não usar a configuração central, deverá habilitar um controle separadamente em cada conta e em cada região.

# Habilitar um controle em todos os padrões
<a name="enable-controls-overview"></a>

Recomendamos habilitar um controle CSPM do AWS Security Hub em todos os padrões aos quais o controle se aplica. Se você ativar as descobertas de controles consolidadas, receberá uma descoberta por verificação de controle, mesmo que um controle pertença a mais de um padrão.

## Habilitação em vários padrões em ambientes com várias contas e várias regiões
<a name="enable-controls-all-standards-central-configuration"></a>

[Para habilitar um controle de segurança em vários Contas da AWS e Regiões da AWS, você deve estar conectado à conta delegada de administrador CSPM do Security Hub e usar a configuração central.](central-configuration-intro.md)

Na configuração central, o administrador delegado pode criar políticas de configuração do CSPM do Security Hub que habilitem controles específicos em todos os padrões habilitados. Em seguida, você pode associar a política de configuração a contas e unidades organizacionais específicas (OUs) ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, é possível optar por habilitar todos os controles em uma UO e optar por habilitar somente os controles do Amazon Elastic Compute Cloud (EC2) em outra UO. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que habilite controles específicos em padrões, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

**nota**  
O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão [Gerenciado por Serviços](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html):. AWS Control Tower Os controles desse padrão devem ser configurados no AWS Control Tower serviço.

Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.

## Habilitação em vários padrões em uma única conta e região
<a name="enable-controls-all-standards"></a>

Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para habilitar controles de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para habilitar um controle em uma única conta e região.

------
#### [ Security Hub CSPM console ]

**Para habilitar um controle em padrões em uma conta e região**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Controles**.

1. Escolha a guia **Desativado**.

1. Escolha a opção ao lado de um controle.

1. Escolha **Ativar controle** (essa opção não aparece para um controle que já está ativado).

1. Repita em cada região na qual deseja habilitar o controle.

------
#### [ Security Hub CSPM API ]

**Para habilitar um controle em padrões em uma conta e região**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html). Forneça uma ID de controle de segurança.

   **Exemplo de solicitação:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html). Forneça o Nome do recurso da Amazon (ARN) de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).

1. Defina o parâmetro `AssociationStatus` igual a `ENABLED`. Se você seguir essas etapas para um controle que já está ativado, a API retornará uma resposta do código de status HTTP 200.

   **Exemplo de solicitação:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }
   ```

1. Repita em cada região na qual deseja habilitar o controle.

------
#### [ AWS CLI ]

**Para habilitar um controle em padrões em uma conta e região**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Forneça uma ID de controle de segurança.

   ```
   aws securityhub  --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
   ```

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Forneça o Nome do recurso da Amazon (ARN) de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute o `describe-standards` comando.

1. Defina o parâmetro `AssociationStatus` igual a `ENABLED`. Se você seguir essas etapas para um controle que já está ativado, o comando retornará uma resposta do código de status HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
   ```

1. Repita em cada região na qual deseja habilitar o controle.

------

# Habilitando um controle em um padrão específico
<a name="controls-configure"></a>

Quando você habilita um padrão no AWS Security Hub CSPM, todos os controles que se aplicam a ele são automaticamente habilitados nesse padrão (a exceção são os padrões gerenciados por serviços). É possível desabilitar e re-habilitar controles específicos no padrão. Entretanto, recomendamos alinhar o status de habilitação de um controle em todos os seus padrões habilitados. Para obter instruções sobre como habilitar um controle em todos os padrões, consulte [Habilitar um controle em todos os padrões](enable-controls-overview.md).

A página de detalhes de um padrão contém a lista de controles aplicáveis para o padrão e informações sobre quais controles estão atualmente habilitados e desativados nesse padrão.

Na página de detalhes do padrão, você também pode habilitar os controles em um padrão específico. Você deve habilitar controles em padrões específicos separadamente em cada Conta da AWS Região da AWS e. Quando você habilita um control em padrões específicos, ele afeta apenas a conta e a região atual.

Para ativar um controle em um padrão, é necessário primeiro ativar pelo menos um padrão ao qual o controle se aplica. Para obter instruções sobre a habilitação de um controle, consulte [Habilitar um padrão de segurança](enable-standards.md). Quando você habilita um controle em um ou mais padrões, o CSPM do Security Hub começa a gerar descobertas para esse controle. O CSPM do Security Hub inclui o [status do controle](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values) no cálculo da pontuação de segurança do padrão. Mesmo que você habilite um controle em vários padrões, você receberá uma única descoberta por verificação de segurança em todos os padrões se ativar as descobertas de controle consolidadas. Para obter mais informações, consulte [Descobertas de controle consolidadas](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings).

Para ativar um controle em um padrão, o controle deve estar disponível na sua região atual. Para obter mais informações, consulte [Disponibilidade de controles por região](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support).

Siga estas etapas para habilitar um controle do CSPM do Security Hub em um padrão *específico*. Em vez das etapas a seguir, você também pode usar a ação da API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) para ativar controles em um padrão específico. Para obter instruções sobre como habilitar um controle em *todos* os padrões, consulte [Habilitação em vários padrões em uma única conta e região](enable-controls-overview.md#enable-controls-all-standards).

------
#### [ Security Hub CSPM console ]

**Para habilitar um controle em um padrão específico**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Selecione **Padrões de segurança** no painel de navegação.

1. Escolha **Exibir resultados** para o respectivo padrão.

1. Selecione um controle.

1. Escolha **Ativar controle** (essa opção não aparece para um controle que já está ativado). Confirme escolhendo **Ativar**.

------
#### [ Security Hub CSPM API ]

**Para habilitar um controle em um padrão específico**

1. Execute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` e forneça um ARN padrão para obter uma lista dos controles disponíveis para um padrão específico. Para obter um ARN padrão, execute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Essa API retorna controle de segurança independente do padrão IDs, não controle específico do padrão. IDs

   **Exemplo de solicitação:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Execute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` e forneça um ID de controle específico para retornar o status atual de ativação de um controle em cada padrão.

   **Exemplo de solicitação:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Executar `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Forneça o ARN do padrão no qual você deseja ativar o controle.

1. Defina o parâmetro `AssociationStatus` igual a `ENABLED`.

   **Exemplo de solicitação:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }
   ```

------
#### [ AWS CLI ]

**Para habilitar um controle em um padrão específico**

1. Execute o comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` e forneça um ARN padrão para obter uma lista dos controles disponíveis para um padrão específico. Para obter um ARN padrão, execute `describe-standards`. Esse comando retorna o controle de segurança independente do padrão IDs, não o controle específico do padrão. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Execute o comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` e forneça um ID de controle específico para retornar o status atual de ativação de um controle em cada padrão.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Execute o comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Forneça o ARN do padrão no qual você deseja ativar o controle.

1. Defina o parâmetro `AssociationStatus` igual a `ENABLED`.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
   ```

------

# Habilitar novos controles em padrões habilitados automaticamente
<a name="controls-auto-enable"></a>

AWS O Security Hub CSPM lança regularmente novos controles e os adiciona a um ou mais padrões. É possível escolher se deseja habilitar automaticamente novos controles nos padrões habilitados.

Recomendamos usar a configuração central do CSPM do Security Hub para habilitar automaticamente novos controles de segurança. É possível criar políticas de configuração que incluam uma lista de controles a serem desabilitados em todos os padrões. Todos os outros controles, incluindo os recém-lançados, são habilitados por padrão. De forma alternativa, é possível criar políticas que incluam uma lista de controles a serem habilitados nos padrões. Todos os outros controles, incluindo os recém-lançados, são desabilitados por padrão. Para obter mais informações, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

O CSPM do Security Hub não habilita novos controles quando eles são adicionados a um padrão que você não habilitou.

As etapas a seguir se aplicam somente caso você não use a configuração central.

Escolha seu método de acesso preferido e siga estas etapas para ativar automaticamente novos controles em padrões habilitados.

**nota**  
Ao habilitar automaticamente novos controles usando as instruções a seguir, será possível interagir com os controles no console e programaticamente imediatamente após o lançamento. Entretanto, os controles habilitados automaticamente têm um status padrão temporário de **Desabilitado**. Pode levar vários dias para que o CSPM do Security Hub processe a liberação do controle e designe o controle como **Habilitado** em sua conta. Durante o período de processamento, é possível habilitar ou desabilitar manualmente um controle, e o CSPM do Security Hub manterá essa designação, independentemente de você ter a habilitação automática do controle ativada.

------
#### [ Security Hub CSPM console ]

**Para habilitar automaticamente novos controles**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, selecione **Configurações** e em seguida **Geral**.

1. Em **Controles**, escolha **Editar**.

1. Ative a **Ativação automática de novos controles nos padrões habilitados**.

1. Escolha **Salvar**.

------
#### [ Security Hub CSPM API ]

**Para habilitar automaticamente novos controles**

1. Executar [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html).

1. Para ativar automaticamente novos controles para os padrões habilitados, defina `AutoEnableControls` como `true`. Se você não quiser habilitar automaticamente novos controles, defina `AutoEnableControls` como false.

------
#### [ AWS CLI ]

**Para habilitar automaticamente novos controles**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html).

1. Para ativar automaticamente novos controles para os padrões habilitados, especifique os `--auto-enable-controls`. Se você não quiser habilitar automaticamente novos controles, especifique os `--no-auto-enable-controls`.

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
   ```

   **Exemplo de comando**

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls
   ```

------

Se você não habilitar automaticamente os novos controles, deverá habilitá-los manualmente. Para instruções, consulte [Habilitação de controles no CSPM do Security Hub](securityhub-standards-enable-disable-controls.md).

# Desabilitação de controles no CSPM do Security Hub
<a name="disable-controls-overview"></a>

Para reduzir o ruído de descobertas, pode ser útil desabilitar os controles que não sejam relevantes para o seu ambiente. No AWS Security Hub CSPM, você pode desativar um controle em todos os padrões de segurança ou somente em padrões específicos. 

Se você desabilita um controle em todos os padrões, ocorre o seguinte:
+ As verificações de segurança do controle não são mais realizadas.
+ Não são geradas descobertas adicionais para o controle.
+ As descobertas existentes não são mais atualizadas para o controle.
+ As descobertas existentes para o controle são arquivadas automaticamente, normalmente dentro de 3 a 5 dias, com base no melhor esforço.
+ O Security Hub CSPM remove todas AWS Config as regras relacionadas que ele criou para o controle.

Se você desabilitar um controle somente para padrões específicos, o CSPM do Security Hub interromperá a execução de verificações de segurança para o controle somente para esses padrões. Isso também removerá o controle dos [cálculos da pontuação de segurança](standards-security-score.md) de cada um desses padrões. Se o controle estiver habilitado em outros padrões, o CSPM do Security Hub reterá a regra do AWS Config associada, se aplicável, e continuará executando verificações de segurança para o controle dos outros padrões. O CSPM do Security Hub também inclui o controle ao calcular a pontuação de segurança para cada um dos outros padrões, o que afeta sua pontuação de segurança resumida.

Se você desabilitar um padrão, todos os controles que se aplicam ao padrão serão desabilitados automaticamente. No entanto, os controles podem continuar estando habilitados em outros padrões. Quando você desabilita um padrão, o CSPM do Security Hub não rastreia quais controles foram desabilitados pra o padrão. Como consequência, se você voltar a habilitar o mesmo padrão posteriormente, todos os controles aplicáveis a ele serão automaticamente habilitados. Para informações sobre como desativar um padrão, consulte [Desabilitar um padrão](disable-standards.md).

Desabilitar um controle não é uma ação permanente. Suponha que você desabilite um controle e, em seguida, habilite um padrão que inclua o controle. O controle será, então, habilitado para esse padrão. Quando você habilita um padrão no CSPM do Security Hub, todos os controles que se aplicam ao padrão são automaticamente habilitados. Para obter informações sobre a habilitação de um padrão, consulte [Habilitar um padrão](enable-standards.md).

**Topics**
+ [Desabilitar um controle em todos os padrões](disable-controls-across-standards.md)
+ [Habilitar um controle em um padrão específico](disable-controls-standard.md)
+ [Sugestões de controles a serem desabilitados](controls-to-disable.md)

# Desabilitar um controle em todos os padrões
<a name="disable-controls-across-standards"></a>

Recomendamos desativar um controle CSPM do AWS Security Hub em todos os padrões para manter o alinhamento em toda a organização. Se você desabilitar um controle em padrões específicos, continuará recebendo descobertas para o controle se ele estiver habilitado em outros padrões.

## Desabilitação de vários padrões, em várias contas e regiões
<a name="disable-controls-all-standards-central-configuration"></a>

Para desativar um controle de segurança em vários Contas da AWS e Regiões da AWS, você deve usar a [configuração central](central-configuration-intro.md).

Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração do CSPM do Security Hub que desabilitem controles específicos em padrões habilitados. Em seguida, você pode associar a política de configuração a OUs contas específicas ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, você pode optar por desativar todos os AWS CloudTrail controles em uma OU e pode optar por desativar todos os controles do IAM em outra OU. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que desabilite controles específicos em padrões, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

**nota**  
O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão [Gerenciado por Serviços](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html):. AWS Control Tower Os controles desse padrão devem ser configurados no AWS Control Tower serviço.

Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.

## Desabilitação de vários padrões em uma única conta e região
<a name="disable-controls-all-standards"></a>

Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para desabilitar controles de forma centralizada em várias contas e regiões. Contudo, é possível desabilitar um controle em uma única conta e região.

------
#### [ Security Hub CSPM console ]

**Para desabilitar um controle em padrões em uma conta e região**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Controles**.

1. Escolha a opção ao lado de um controle.

1. Escolha **Desabilitar controle**. Essa opção não aparecerá para um controle que já esteja desabilitado.

1. Forneça um motivo para desativar o controle e confirme escolhendo **Desativar**.

1. Repita em cada região na qual deseja desabilitar o controle.

------
#### [ Security Hub CSPM API ]

**Para desabilitar um controle em padrões em uma conta e região**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html). Forneça uma ID de controle de segurança.

   **Exemplo de solicitação:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html). Forneça o ARN de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).

1. Defina o parâmetro `AssociationStatus` igual a `DISABLED`. Se você seguir essas etapas para um controle que já está desativado, a API retornará uma resposta do código de status HTTP 200.

   **Exemplo de solicitação:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. Repita em cada região na qual deseja desabilitar o controle.

------
#### [ AWS CLI ]

**Para desabilitar um controle em padrões em uma conta e região**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Forneça uma ID de controle de segurança.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Forneça o ARN de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute o `describe-standards` comando.

1. Defina o parâmetro `AssociationStatus` igual a `DISABLED`. Se você seguir essas etapas para um controle que já está desativado, o comando retornará uma resposta do código de status HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. Repita em cada região na qual deseja desabilitar o controle.

------

# Habilitar um controle em um padrão específico
<a name="disable-controls-standard"></a>

É possível desabilitar um controle somente em padrões de segurança específicos, em vez de em todos os padrões. Se o controle se aplicar a outros padrões habilitados, o AWS Security Hub CSPM continuará executando verificações de segurança para o controle e você continuará recebendo descobertas para o controle.

Porém, recomendamos alinhar o status de habilitação de um controle em todos os padrões habilitados. Para obter informações sobre como desabilitar um controle em todos os padrões aos quais ele se aplica, consulte [Desabilitar um controle em todos os padrões](disable-controls-across-standards.md).

Na página de detalhes do padrão, você também pode desabilitar controles em padrões específicos. Você deve desativar os controles em padrões específicos separadamente em cada Conta da AWS Região da AWS e. Quando você habilita ou desabilita um controle, ele afeta apenas a conta e a região atuais.

Escolha seu método preferido e siga estas etapas para desabilitar um controle em um ou mais padrões específicos.

------
#### [ Security Hub CSPM console ]

**Para desabilitar um controle em um padrão específico**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Selecione **Padrões de segurança** no painel de navegação. Escolha **Exibir resultados** para o respectivo padrão.

1. Selecione um controle.

1. Escolha **Desabilitar controle**. Essa opção não aparecerá para um controle que já esteja desabilitado.

1. Forneça um motivo para desativar o controle e confirme escolhendo **Desativar**.

------
#### [ Security Hub CSPM API ]

**Para desabilitar um controle em um padrão específico**

1. Execute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` e forneça um ARN padrão para obter uma lista dos controles disponíveis para um padrão específico. Para obter um ARN padrão, execute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Essa API retorna controle de segurança independente do padrão IDs, não controle específico do padrão. IDs

   **Exemplo de solicitação:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Execute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` e forneça um ID de controle específico para retornar o status atual de ativação de um controle em cada padrão.

   **Exemplo de solicitação:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Executar `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Forneça o ARN do padrão no qual você deseja desativar o controle.

1. Defina o parâmetro `AssociationStatus` igual a `DISABLED`. Se você seguir essas etapas para um controle que já está desativado, a API retornará uma resposta do código de status HTTP 200.

   **Exemplo de solicitação:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**Para desabilitar um controle em um padrão específico**

1. Execute o comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` e forneça um ARN padrão para obter uma lista dos controles disponíveis para um padrão específico. Para obter um ARN padrão, execute `describe-standards`. Esse comando retorna o controle de segurança independente do padrão IDs, não o controle específico do padrão. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Execute o comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` e forneça um ID de controle específico para retornar o status atual de ativação de um controle em cada padrão.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Execute o comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Forneça o ARN do padrão no qual você deseja desativar o controle.

1. Defina o parâmetro `AssociationStatus` igual a `DISABLED`. Se você seguir essas etapas para um controle que já está ativado, o comando retornará uma resposta do código de status HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Sugestões de controles a serem desabilitados no CSPM do Security Hub
<a name="controls-to-disable"></a>

Recomendamos desativar alguns controles CSPM do AWS Security Hub para reduzir o ruído de localização e os custos de uso.

## Controles que usam recursos globais
<a name="controls-to-disable-global-resources"></a>

Alguns Serviços da AWS oferecem suporte a recursos globais, o que significa que você pode acessar o recurso de qualquer um Região da AWS. Para economizar no custo de AWS Config, você pode desativar o registro de recursos globais em todas as regiões, exceto em uma. Depois de fazer isso, contudo, o CSPM do Security Hub ainda executará verificações de segurança em todas as regiões em que os controles estejam habilitados e fará a cobrança com base no número de verificações por conta por região. Assim, para reduzir o ruído nas descobertas e economizar no custo do CSPM do Security Hub, é necessário desabilitar também os controles que envolvam recursos globais em todas as regiões, exceto na região que os registra.

Se um controle envolve recursos globais, mas está disponível somente em uma região, desabilitá-lo nessa região impede que você obtenha descobertas para o recurso subjacente. Nesse caso, recomendamos que você mantenha o controle habilitado. Ao usar a agregação entre regiões, a região na qual o controle está disponível deve ser a região de agregação ou uma das regiões vinculadas. Os controles a seguir envolvem recursos globais, mas estão disponíveis somente em uma única região:
+ **Todos os CloudFront controles** — Disponível somente na região Leste dos EUA (Norte da Virgínia)
+ **GlobalAccelerator.1** — Disponível somente na região Oeste dos EUA (Oregon)
+ **Route53.2:** disponível apenas na região Leste dos EUA (Norte da Virgínia)
+ **WAF.1, WAF.6, WAF.7, and WAF.8**: disponíveis apenas na região Leste dos EUA (Norte da Virgínia)

**nota**  
Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Os outros controles que você escolher habilitar por meio de uma política de configuração serão habilitados em todas as regiões em que estiverem disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem.  
Se um controle habilitado que envolva recursos globais não tiver suporte na região inicial, o CSPM do Security Hub tentará habilitar o controle em uma região vinculada onde haja suporte para o controle. Com a configuração central, não há cobertura para um controle que não esteja disponível na região inicial ou em alguma das regiões vinculadas.  
Para obter mais informações sobre a configuração central, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Para controles que possuem um tipo de programação *periódico*, é necessário desabilitá-los no CSPM do Security Hub para evitar o faturamento. Definir o AWS Config parâmetro como `false` não afeta `includeGlobalResourceTypes` os controles CSPM periódicos do Security Hub.

Os controles do CSPM do Security Hub a seguir usam recursos globais:
+ [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)
+ [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1)
+ [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)
+ [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)
+ [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)
+ [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)
+ [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)
+ [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7)
+ [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)
+ [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)
+ [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10)
+ [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11)
+ [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12)
+ [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13)
+ [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14)
+ [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)
+ [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)
+ [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17)
+ [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19)
+ [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21)
+ [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)
+ [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24)
+ [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26)
+ [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1)
+ [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2)
+ [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2)
+ [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1)
+ [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6)
+ [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7)
+ [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8)

## CloudTrail controles de registro
<a name="controls-to-disable-cloudtrail-logging"></a>

O controle [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) avalia o uso de AWS Key Management Service (AWS KMS) para AWS CloudTrail criptografar registros de trilhas. Se você registrar essas trilhas em uma conta de registro centralizada, precisará ativar esse controle somente na conta e Região da AWS onde o registro centralizado ocorre.

Se você usar a [configuração central](central-configuration-intro.md), o status de habilitação de um controle será alinhado entre a região inicial e as regiões vinculadas. Você não pode desabilitar um controle em algumas regiões e habilitá-lo em outras. Nesse caso, você pode suprimir as descobertas do controle CloudTrail .2 para reduzir o ruído de localização.

## CloudWatch controles de alarme
<a name="controls-to-disable-cloudwatch-alarms"></a>

Se você preferir usar a Amazon GuardDuty para detecção de anomalias em vez dos CloudWatch alarmes da Amazon, você pode desativar os seguintes controles, que se CloudWatch concentram nos alarmes:
+ [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14)

# Noções básicas sobre verificações e as pontuações de segurança no CSPM do Security Hub
<a name="securityhub-controls-finding-generation"></a>

Para cada controle que você habilita, o AWS Security Hub CSPM executa verificações de segurança. Uma verificação de segurança produz uma descoberta que informa se um AWS recurso específico está em conformidade com as regras que o controle inclui.

Algumas verificações são executadas em uma programação periódica. Outras verificações são executadas somente quando há uma alteração no estado do recurso. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).

Muitas verificações de segurança usam regras AWS Config gerenciadas ou personalizadas para estabelecer os requisitos de conformidade. Para executar essas verificações, você deve configurar AWS Config e ativar o registro de recursos para os recursos necessários. Para obter mais informações sobre a configuração AWS Config, consulte[Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md). Para obter uma lista dos AWS Config recursos que você deve registrar para cada padrão, consulte[AWS Config Recursos necessários para descobertas de controle](controls-config-resources.md). Outros controles usam funções do Lambda personalizadas, que são gerenciadas pelo CSPM do Security Hub e não exigem nenhum pré-requisito.

À medida que o CSPM do Security Hub executa verificações de segurança, ele gera descobertas e atribui a elas um status de conformidade. Para obter mais informações sobre o status de conformidade, consulte [Avaliação do status de conformidade das descobertas do CSPM do Security Hub](controls-overall-status.md#controls-overall-status-compliance-status).

O CSPM do Security Hub usa o status de conformidade das descobertas de controle para determinar um status geral de controle. Com base no status de controle, o CSPM do Security Hub também calcula uma pontuação de segurança para todos os controles habilitados e para os padrões específicos. Para obter mais informações, consulte [Avaliação do status de conformidade e do status de controle](controls-overall-status.md) e [Calcular pontuações de segurança](standards-security-score.md).

Se você ativou as descobertas de controle consolidadas, o CSPM do Security Hub gerará uma única descoberta mesmo quando um controle estiver associado a mais de um padrão. Para obter mais informações, consulte [Descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Config Recursos necessários para descobertas de controle](controls-config-resources.md)
+ [Programar a execução de verificações de segurança](securityhub-standards-schedule.md)
+ [Gerando e atualizando descobertas de controle](controls-findings-create-update.md)
+ [Avaliação do status de conformidade e do status de controle](controls-overall-status.md)
+ [Calcular pontuações de segurança](standards-security-score.md)

# AWS Config Recursos necessários para descobertas de controle
<a name="controls-config-resources"></a>

No CSPM do AWS Security Hub, alguns controles usam AWS Config regras vinculadas a serviços que detectam alterações de configuração em seus recursos. AWS Para que o Security Hub CSPM gere descobertas precisas para esses controles, você deve habilitar AWS Config e ativar o registro de recursos em. AWS Config Para obter informações sobre como o Security Hub CSPM usa AWS Config regras e como habilitar e configurar AWS Config, consulte. [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md) Para obter informações detalhadas sobre os registros de recursos, consulte [Trabalho com o gravador de configurações](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) no *Guia do desenvolvedor do AWS Config *.

Para receber resultados de controle precisos, você deve ativar o registro de AWS Config recursos para controles habilitados com um tipo de agendamento *acionado por alteração*. Alguns controles com um tipo de programação *periódica* também exigem o registro de recursos. Esta página lista os recursos necessários para esses controles do CSPM do Security Hub.

Os controles CSPM do Security Hub podem se basear em AWS Config regras gerenciadas ou em regras personalizadas de CSPM do Security Hub. Certifique-se de que não haja políticas AWS Identity and Access Management (IAM) ou políticas AWS Organizations gerenciadas que AWS Config impeçam a permissão de registrar seus recursos. Os controles CSPM do Security Hub avaliam as configurações de recursos diretamente e não levam em conta AWS Organizations as políticas.

**nota**  
 Regiões da AWS Quando um controle não está disponível, o recurso correspondente não está disponível em AWS Config. Para obter uma lista desses limites, consulte [Limites regionais em controles do CSPM do Security Hub](regions-controls.md).

**Topics**
+ [Recursos obrigatórios para todos os controles do CSPM do Security Hub](#all-controls-config-resources)
+ [Recursos necessários para o padrão AWS Foundational Security Best Practices](#securityhub-standards-fsbp-config-resources)
+ [Recursos necessários para o CIS AWS Foundations Benchmark](#securityhub-standards-cis-config-resources)
+ [Recursos obrigatórios para o padrão NIST SP 800-53 Revisão 5](#nist-config-resources)
+ [Recursos obrigatórios para o padrão NIST SP 800-171 Revisão 2](#nist-800-171-config-resources)
+ [Recursos obrigatórios para o PCI DSS v3.2.1](#securityhub-standards-pci-config-resources)
+ [Recursos necessários para o padrão AWS de marcação de recursos](#tagging-config-resources)

## Recursos obrigatórios para todos os controles do CSPM do Security Hub
<a name="all-controls-config-resources"></a>

Para que o Security Hub CSPM gere descobertas para controles acionados por alterações que estejam habilitados e usem uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config Essa tabela também indica quais controles avaliam um tipo de recurso específico. Um único controle pode avaliar mais de um tipo de recurso.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/controls-config-resources.html)

## Recursos necessários para o padrão AWS Foundational Security Best Practices
<a name="securityhub-standards-fsbp-config-resources"></a>

Para que o CSPM do Security Hub relate com precisão as descobertas de controles acionados por alterações que se aplicam ao padrão AWS Foundational Security Best Practices (v.1.0.0), esteja habilitado e use uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config Para obter informações sobre esse padrão, consulte [AWS Padrão básico de melhores práticas de segurança no Security Hub CSPM](fsbp-standard.md).


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup`  | 
|  Amazon Cognito  |  `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool`  | 
|  Amazon Connect  |  `AWS::Connect::Instance`  | 
|  AWS DataSync  |  `AWS::DataSync::Task`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  AWS Glue  |  `AWS::Glue::Job`, `AWS::Glue::MLTransform`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Key`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Serviço Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  banco de dados de origem  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Redshift Sem Servidor  |  `AWS::RedshiftServerless::Workgroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket`  | 
|   SageMaker IA da Amazon  |  `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Step Functions  |  `AWS::StepFunctions::StateMachine`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 
|  Amazon WorkSpaces  |  `AWS::WorkSpaces::WorkSpace`  | 

## Recursos necessários para o CIS AWS Foundations Benchmark
<a name="securityhub-standards-cis-config-resources"></a>

Para executar verificações de segurança para controles habilitados que se aplicam ao benchmark de AWS fundamentos do Center for Internet Security (CIS), o Security Hub CSPM executa as etapas de auditoria exatas prescritas para as verificações ou usa regras gerenciadas específicas. AWS Config Para obter informações sobre esse padrão no CSPM do Security Hub , consulte [Referência do CIS AWS Foundations no Security Hub CSPM](cis-aws-foundations-benchmark.md).

### Recursos necessários para o CIS v5.0.0
<a name="cis-5.0-config-resources"></a>

Para que o Security Hub CSPM relate com precisão as descobertas dos controles acionados por alterações do CIS v5.0.0 habilitados que usam uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::FileSystem`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### Recursos obrigatórios para o CIS v3.0.0
<a name="cis-3.0-config-resources"></a>

Para que o Security Hub CSPM relate com precisão as descobertas dos controles acionados por alterações do CIS v3.0.0 habilitados que usam uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### Recursos necessários para o CIS v1.4.0
<a name="cis-1.4-config-resources"></a>

Para que o Security Hub CSPM relate com precisão as descobertas dos controles acionados por alterações do CIS v1.4.0 habilitados que usam uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### Recursos necessários para o CIS v1.2.0
<a name="cis-1.2-config-resources"></a>

Para que o Security Hub CSPM relate com precisão as descobertas dos controles acionados por alterações do CIS v1.2.0 habilitados que usam uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 

## Recursos obrigatórios para o padrão NIST SP 800-53 Revisão 5
<a name="nist-config-resources"></a>

Para que o Security Hub CSPM relate com precisão as descobertas de controles acionados por alterações que se aplicam ao padrão NIST SP 800-53 Revisão 5, esteja habilitado e use uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config Para obter informações sobre esse padrão, consulte [NIST SP 800-53 Revisão 5 no CSPM do Security Hub](standards-reference-nist-800-53.md).


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Serviço Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  banco de dados de origem  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|   SageMaker IA da Amazon  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Recursos obrigatórios para o padrão NIST SP 800-171 Revisão 2
<a name="nist-800-171-config-resources"></a>

Para que o Security Hub CSPM relate com precisão as descobertas de controles acionados por alterações que se aplicam ao padrão NIST SP 800-171 Revisão 2, esteja habilitado e use uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config Para obter informações sobre esse padrão, consulte [NIST SP 800-171 Revisão 2 no CSPM do Security Hub](standards-reference-nist-800-171.md).


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Recursos obrigatórios para o PCI DSS v3.2.1
<a name="securityhub-standards-pci-config-resources"></a>

Para que o CSPM do Security Hub relate com precisão as descobertas dos controles aplicáveis ao Payment Card Industry Data Security Standard (PCI DSS) v3.2.1, habilitados e que usam uma regra do AWS Config , é necessário registrar os tipos de recursos a seguir em AWS Config. Para obter informações sobre esse padrão, consulte [PCI DSS no CSPM do Security Hub](pci-standard.md).


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|   OpenSearch Serviço Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`  | 
|  banco de dados de origem  |  `AWS::Redshift::Cluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 

## Recursos necessários para o padrão AWS de marcação de recursos
<a name="tagging-config-resources"></a>

Todos os controles que se aplicam ao padrão AWS Resource Tagging são acionados por alterações e usam uma AWS Config regra. Para que o Security Hub CSPM relate com precisão as descobertas desses controles, você deve registrar os seguintes tipos de recursos em. AWS Config Para obter informações sobre esse padrão, consulte [AWS Padrão de marcação de recursos no Security Hub CSPM](standards-tagging.md).


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
| AWS Amplify |  `AWS::Amplify::App`, `AWS::Amplify::Branch`  | 
| Amazon AppFlow  |  `AWS::AppFlow::Flow`  | 
| AWS App Runner  |  `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector`  | 
| AWS AppConfig  |  `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation`  | 
| AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
| Amazon Athena  |  `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup`  | 
| AWS Backup |  `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan`  | 
| AWS Batch  |  `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy`  | 
| AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
| AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
| Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
| AWS CloudTrail  |  `AWS::CloudTrail::Trail`  | 
| AWS CodeArtifact  |  `AWS::CodeArtifact::Repository`  | 
| Amazon CodeGuru  |  `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation`  | 
| Amazon Connect  |  `AWS::CustomerProfiles::ObjectType`  | 
| AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup`  | 
| AWS DataSync |  `AWS::DataSync::Task`  | 
| Amazon Detective  |  `AWS::Detective::Graph`  | 
| Amazon DynamoDB  |  `AWS::DynamoDB::Trail`  | 
| Amazon Elastic Compute Cloud (EC2)  |  `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway`  | 
| Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
| Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::PublicRepository`  | 
| Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
| Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
| Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig`  | 
| AWS Elastic Beanstalk |  `AWS::ElasticBeanstalk::Environment`  | 
| ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
| Amazon EventBridge  |  `AWS::Events::EventBus`  | 
| Amazon Fraud Detector  |  `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable`  | 
| AWS Global Accelerator  |  `AWS::GlobalAccelerator::Accelerator`  | 
| AWS Glue  |  `AWS::Glue::Job`  | 
| Amazon GuardDuty  |  `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet`  | 
| AWS Identity and Access Management (IAM)  |  `AWS::IAM::Role`, `AWS::IAM::User`  | 
| AWS Identity and Access Management Access Analyzer (Analisador de acesso IAM)  |  `AWS::AccessAnalyzer::Analyzer`  | 
| AWS IoT  |  `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile`  | 
| AWS IoT Eventos  |  `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input`  | 
| AWS IoT SiteWise  |  `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project`  | 
| AWS IoT TwinMaker  |  `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace`  | 
| AWS IoT Sem fio  |  `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile`  | 
| Amazon Interactive Video Service (Amazon IVS)  |  `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration`  | 
| Amazon Keyspaces (para Apache Cassandra)  |  `AWS::Cassandra::Keyspace`  | 
| Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
| AWS Lambda  |  `AWS::Lambda::Function`  | 
| Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
| AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`  | 
|  OpenSearch Serviço Amazon |  `AWS::OpenSearch::Domain`  | 
| Autoridade de Certificação Privada da AWS |  `AWS::ACMPCA::CertificateAuthority`  | 
| Amazon Relational Database Service  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup`  | 
| banco de dados de origem  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription`  | 
| Amazon Route 53  |  `AWS::Route53::HealthCheck`  | 
|  SageMaker IA da Amazon |  `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image`  | 
| AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
| Amazon Simple Email Service (Amazon SES)  |  `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList`  | 
| Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
| Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| AWS Step Functions  |  `AWS::StepFunctions::Activity`  | 
| AWS Systems Manager (SMS) |  `AWS::SSM::Document`  | 
| AWS Transfer Family |  `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow`  | 

# Programar a execução de verificações de segurança
<a name="securityhub-standards-schedule"></a>

Depois de habilitar um padrão de segurança, o AWS Security Hub CSPM começa a executar todas as verificações em duas horas. A maioria das verificações começa a ser executada em 25 minutos. O CSPM do Security Hub executa verificações avaliando a regra subjacente a um controle. Até que um controle conclua sua primeira execução de verificações, seu status é **Sem dados**.

Quando você habilita um novo padrão, pode levar até 24 horas para que o Security Hub CSPM gere descobertas para controles que usam a mesma regra subjacente AWS Config vinculada ao serviço dos controles habilitados de outros padrões habilitados. Por exemplo, se você habilitar o controle [Lambda.1](lambda-controls.md#lambda-1) no padrão AWS Foundational Security Best Practices (FSBP), o Security Hub CSPM cria a regra vinculada ao serviço e normalmente gera descobertas em minutos. Depois disso, se você habilitar o Lambda.1 no Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS), o CSPM do Security Hub poderá levar até 24 horas para gerar descobertas para esse controle, pois ele usa a mesma regra vinculada ao serviço.

Após a verificação inicial, a programação para cada controle pode ser periódica ou acionada por alterações. Para um controle baseado em uma AWS Config regra gerenciada, a descrição do controle inclui um link para a descrição da regra no *Guia do AWS Config desenvolvedor*. Essa descrição especifica se a regra é periódica ou acionada por alterações. 

## Verificações de segurança periódicas
<a name="periodic-checks"></a>

As verificações periódicas são executadas automaticamente dentro de 12 ou 24 horas após a última execução. O CSPM do Security Hub determina a periodicidade, e você não pode alterá-la. Os controles periódicos refletem uma avaliação no momento em que a verificação é executada.

Se você atualizar o status do fluxo de trabalho de uma descoberta de controle periódica e, na próxima verificação, o status de conformidade da descoberta permanecer o mesmo, o status do fluxo de trabalho permanecerá em seu estado modificado. Por exemplo, se você tiver uma falha na descoberta do controle [KMS.4](kms-controls.md#kms-4) (a *AWS KMS key rotação deve ser ativada*) e, em seguida, corrigir a descoberta, o CSPM do Security Hub alterará o status do fluxo de trabalho de para. `NEW` `RESOLVED` Se você desativar a alternância da chave KMS antes da próxima verificação periódica, o status do fluxo de trabalho da descoberta permanecerá `RESOLVED`.

As verificações que usam as funções do Lambda personalizadas para o CSPM do Security Hub são periódicas.

## Verificações de segurança acionadas por alterações
<a name="change-triggered-checks"></a>

As verificações de segurança acionadas por alterações são executadas quando o recurso associado muda de estado. AWS Config permite escolher entre *gravação contínua* de alterações no estado do recurso e *gravação diária*. Se você escolher a gravação diária, AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração das descobertas do CSPM do Security Hub até que um período de 24 horas seja concluído. Independentemente do período de gravação escolhido, o CSPM do Security Hub verifica a cada 18 horas para garantir que nenhuma atualização de recursos tenha AWS Config sido perdida.

Em geral, o CSPM do Security Hub usa regras acionadas por alterações sempre que possível. Para que um recurso use uma regra acionada por alterações, ele deve oferecer suporte a itens de AWS Config configuração.

# Gerando e atualizando descobertas de controle
<a name="controls-findings-create-update"></a>

AWS O Security Hub CSPM gera e atualiza as descobertas de controle quando executa verificações nos controles de segurança. As descobertas de controles usam o [Formato de Descobertas de Segurança da AWS (ASFF)](securityhub-findings-format.md).

O CSPM do Security Hub normalmente cobra por cada verificação de segurança de um controle. No entanto, se vários controles usarem a mesma AWS Config regra, o Security Hub CSPM cobrará somente uma vez por cada verificação contra a regra. Por exemplo, a AWS Config `iam-password-policy` regra é usada por vários controles no padrão CIS AWS Foundations Benchmark e no padrão AWS Foundational Security Best Practices. Cada vez que o CSPM do Security Hub executa uma verificação em relação a essa regra , ele gera uma descoberta de controle separada para cada controle relacionado, mas cobra apenas uma vez pela verificação.

Se o tamanho de uma descoberta de controle exceder o máximo de 240 KB, o CSPM do Security Hub removerá o objeto `Resource.Details` da descoberta. Para controles que são apoiados por AWS Config recursos, você pode revisar os detalhes dos recursos usando o AWS Config console.

**Topics**
+ [Descobertas de controle consolidadas](#consolidated-control-findings)
+ [Geração, atualização e arquivamento de descobertas de controle](#securityhub-standards-results-updating)
+ [Automação e supressão de descobertas de controle](#automation-control-findings)
+ [Detalhes de conformidade para as descobertas de controle](#control-findings-asff-compliance)
+ [ProductFields detalhes das descobertas de controle](#control-findings-asff-productfields)
+ [Níveis de gravidade para as descobertas de controles](#control-findings-severity)

## Descobertas de controle consolidadas
<a name="consolidated-control-findings"></a>

Se as descobertas de controle consolidadas estiverem habilitadas para a sua conta, o CSPM do Security Hub gerará uma única descoberta ou atualização de descoberta para cada verificação de segurança de um controle, mesmo que um controle se aplique a vários padrões habilitados. Para obter uma lista dos controles e dos padrões aos quais eles se aplicam, consulte a [Referência de controle para o CSPM do Security Hub](securityhub-controls-reference.md). Recomendamos habilitar as descobertas de controles consolidadas para reduzir o ruído das descobertas.

Se você habilitou o Security Hub CSPM Conta da AWS antes de 23 de fevereiro de 2023, você pode habilitar descobertas de controle consolidadas seguindo as instruções mais adiante nesta seção. Se você habilitou o CSPM do Security Hub a partir de 23 de fevereiro de 2023, as descobertas de controles consolidadas serão habilitadas automaticamente para a sua conta.

Se você usar a [Integração do CSPM do Security Hub com o AWS Organizations](securityhub-accounts-orgs.md) ou convidar contas de membro por um [processo de convite manual](account-management-manual.md), as descobertas de controles consolidadas serão habilitadas somente para as contas de membro se forem habilitadas para a conta do administrador. Se o atributo for desabilitado para a conta do administrador, ele será desabilitado para as contas de membro. Esse comportamento se aplica a contas de membros novas e existentes. Além disso, se o administrador usar a [configuração central](central-configuration-intro.md) para gerenciar o CSPM do Security Hub para várias contas, ele não poderá usar políticas de configuração central para habilitar ou desabilitar descobertas de controle consolidadas para as contas.

Se você desabilitar as descobertas de controles consolidadas para sua conta, o CSPM do Security Hub gerará ou atualizará uma descoberta de controle separada para cada padrão habilitado que incluir um controle. Por exemplo, se você habilitar quatro padrões que compartilhem um controle, você receberá quatro descobertas separadas após uma verificação de segurança para o controle. Se você habilitar as descobertas de controles consolidadas, receberá somente uma descoberta.

Quando você habilita as descobertas de controles consolidadas, o CSPM do Security Hub cria novas descobertas independentes de padrões e arquiva as descobertas originais baseadas em padrões. Alguns campos e valores de descobertas de controle mudarão e poderão afetar seus fluxos de trabalho existentes. Consulte informações sobre essas alterações em [Descobertas de controle consolidadas - Alterações no ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings). Habilitar as descobertas de controle consolidadas também pode afetar as descobertas que as integrações de produtos de terceiros recebem do CSPM do Security Hub. Se você usa a solução [Automated Security Response na AWS v2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), observe que ela oferece suporte a descobertas de controle consolidadas. 

Para habilitar ou desabilitar as descobertas de controles consolidadas, é necessário fazer login em uma conta de administrador ou a uma conta autônoma.

**nota**  
Depois de você habilitar as descobertas de controles consolidadas, pode levar até 24 horas para que o CSPM do Security Hub gere novas descobertas consolidadas e arquive as descobertas existentes baseadas em padrões. De modo semelhante, depois de desabilitar as descobertas de controles consolidadas, o CSPM do Security Hub pode levar até 24 horas para gerar descobertas novas baseadas em padrões e arquivar as descobertas consolidadas existentes. Durante esses períodos, talvez você veja uma mistura de descobertas independentes de padrões e baseadas em padrões em sua conta.

------
#### [ Security Hub CSPM console ]

**Para habilitar ou desabilitar as descobertas de controles consolidadas**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, em **Configurações**, selecione **Geral**.

1. Na seção **Controles**, selecione **Editar**.

1. Use a opção **Descobertas de controle consolidadas** para habilitar ou desabilitar as descobertas de controles consolidadas.

1. Escolha **Salvar**.

------
#### [ Security Hub CSPM API ]

Para habilitar ou desabilitar as descobertas de controle programaticamente, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html) da API do CSPM do Security Hub. Ou, se você estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html)comando. 

Para o parâmetro `control-finding-generator`, especifique `SECURITY_CONTROL` para habilitar as descobertas de controle consolidadas. Para desabilitar as descobertas de controles consolidadas, especifique `STANDARD_CONTROL`.

Por exemplo, o AWS CLI comando a seguir permite descobertas de controle consolidadas.

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```

O AWS CLI comando a seguir desativa as descobertas de controle consolidadas.

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```

------

## Geração, atualização e arquivamento de descobertas de controle
<a name="securityhub-standards-results-updating"></a>

O CSPM do Security Hub executa verificações de segurança em uma [programação](securityhub-standards-schedule.md). A primeira vez que o Security Hub CSPM executa uma verificação de segurança para um controle, ele gera uma nova descoberta para cada AWS recurso verificado pelo controle. Cada vez que o CSPM do Security Hub executa uma verificação de segurança subsequente para o controle, ele atualiza as descobertas existentes para relatar os resultados da verificação. Isso significa que é possível usar os dados fornecidos por descobertas individuais para rastrear alterações de conformidade de recursos específicos em relação a controles específicos.

Por exemplo, se o status de conformidade de um recurso mudar de `FAILED` para `PASSED` para um controle específico, o CSPM do Security Hub não gerará uma nova descoberta. Em vez disso, o CSPM do Security Hub atualizará a descoberta existente para o controle e o recurso. Na descoberta, o CSPM do Security Hub altera o valor do campo status de conformidade (`Compliance.Status`) para `PASSED`. O CSPM do Security Hub também atualiza os valores dos campos adicionais para refletir os resultados da verificação, como, por exemplo, o rótulo de gravidade, o status do fluxo de trabalho e os timestamps que indicam quando o CSPM do Security Hub executou a verificação mais recentemente e atualizou a descoberta.

Ao relatar alterações no status de conformidade, o CSPM do Security Hub pode atualizar qualquer um dos campos a seguir em uma descoberta de controle:
+ `Compliance.Status`: o novo status de conformidade do recurso para o controle especificado.
+ `FindingProviderFields.Severity.Label`: a nova representação qualitativa da gravidade da descoberta, como `LOW`, `MEDIUM` ou `HIGH`.
+ `FindingProviderFields.Severity.Original`: a nova representação quantitativa da gravidade da descoberta, como `0` para um recurso em conformidade.
+ `FirstObservedAt`: quando o status de conformidade do recurso foi alterado mais recentemente.
+ `LastObservedAt`: quando o CSPM do Security Hub executou mais recentemente a verificação de segurança do controle e do recurso especificados.
+ `ProcessedAt`: quando o CSPM do Security Hub começou a processar a descoberta mais recentemente.
+ `ProductFields.PreviousComplianceStatus`: o status de conformidade (`Compliance.Status`) anterior do recurso para o controle especificado.
+ `UpdatedAt`: quando o CSPM do Security Hub atualizou a descoberta mais recentemente.
+ `Workflow.Status`: o status da investigação sobre a descoberta, com base no novo status de conformidade do recurso para o controle especificado.

Se o CSPM do Security Hub atualiza um campo, isso depende principalmente dos resultados da verificação de segurança mais recente para o controle e o recurso aplicáveis. Por exemplo, se o status de conformidade de um recurso mudar de `PASSED` para `FAILED` para um controle específico, o CSPM do Security Hub alterará o status do fluxo de trabalho da descoberta para `NEW`. Para rastrear as atualizações de descobertas individuais, é possível consultar o histórico de uma descoberta. Para obter detalhes sobre campos individuais nas descobertas, consulte o [Formato de Descobertas de Segurança da AWS (ASFF)](securityhub-findings-format.md).

Em certos casos, o CSPM do Security Hub gera novas descobertas para verificações subsequentes por um controle, em vez de atualizar as descobertas existentes. Isso pode ocorrer se houver um problema com a AWS Config regra que apóia um controle. Se isso acontecer, o CSPM do Security Hub arquivará a descoberta existente e gerará uma nova descoberta para cada verificação. Nas novas descobertas, o status de conformidade será `NOT_AVAILABLE` e o estado do registro será `ARCHIVED`. Depois de resolver o problema com a AWS Config regra, o Security Hub CSPM gera novas descobertas e começa a atualizá-las para rastrear alterações subsequentes no status de conformidade de recursos individuais.

Além de gerar e atualizar as descobertas de controle, o CSPM do Security Hub arquiva automaticamente as descobertas de controle que atendem a determinados critérios. O CSPM do Security Hub arquivará uma descoberta se o controle estiver desabilitado, se o recurso especificado for excluído ou se o recurso especificado não existir mais. Um recurso pode não existir mais porque o serviço associado não está mais sendo usado. Mais especificamente, o CSPM do Security Hub arquivará automaticamente uma descoberta de controle se a descoberta atender a um dos critérios a seguir:
+ A descoberta não foi atualizada dentro de 3 a 5 dias. Observe que o arquivamento com base nesse período de tempo é feito com base em melhor esforço, e não é garantido.
+ A AWS Config avaliação associada retornou `NOT_APPLICABLE` para o status de conformidade do recurso especificado.

Para determinar se uma descoberta está arquivada, é possível consultar o campo estado do registro (`RecordState`) da descoberta. Se uma descoberta for arquivada, o valor desse campo será `ARCHIVED`.

O CSPM do Security Hub armazena as descobertas de controle arquivadas por 30 dias. Depois de 30 dias, as descobertas expiram e o CSPM do Security Hub as exclui de forma permanente. Para determinar se uma descoberta de controle arquivada expirou, o CSPM do Security Hub baseia seu cálculo no valor do campo `UpdatedAt` da descoberta.

Para armazenar descobertas de controle arquivadas por mais de 30 dias, será possível exportá-las para um bucket do S3. Você pode fazer isso usando uma ação personalizada com uma EventBridge regra da Amazon. Para obter mais informações, consulte [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md).

**nota**  
Antes de 3 de julho de 2025, o CSPM do Security Hub gerava e atualizava as descobertas de controle de forma diferente quando o status de conformidade de um recurso mudava para um controle. Anteriormente, o CSPM do Security Hub criava uma nova descoberta de controle e arquivava a descoberta existente para um recurso. Portanto, é possível ter várias descobertas arquivadas para um determinado controle e recurso até que essas descobertas expirem (após 30 dias).

## Automação e supressão de descobertas de controle
<a name="automation-control-findings"></a>

É possível usar as regras de automação do CSPM do Security Hub para atualizar ou suprimir descobertas de controle específicas. Se você suprimir uma descoberta, poderá continuar acessando-a. No entanto, a supressão indica sua crença de que nenhuma ação é necessária para lidar com a descoberta.

Ao suprimir as descobertas, é possível reduzir o ruído de descobertas. Por exemplo, é possível suprimir as descobertas de controle geradas nas contas de teste. Ou é possível suprimir descobertas relacionadas a recursos específicos. Para saber mais sobre como atualizar ou suprimir descobertas automaticamente, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md). 

As regras de automação são apropriadas quando você deseja atualizar ou suprimir descobertas de controle específicas. No entanto, se um controle não for relevante para sua organização ou caso de uso, recomendamos [desabilitar o controle](disable-controls-overview.md). Se você desabilitar um controle, o CSPM do Security Hub não executará as verificações de segurança e você não será cobrado por ele.

## Detalhes de conformidade para as descobertas de controle
<a name="control-findings-asff-compliance"></a>

Nas descobertas geradas pelas verificações de segurança dos controles, o objeto de [conformidade](asff-top-level-attributes.md#asff-compliance) e os campos no Formato de descoberta de AWS segurança (ASFF) fornecem detalhes de conformidade para recursos individuais verificados por um controle. Isso as informações a seguir:
+ `AssociatedStandards`: os padrões habilitados nos quais um controle está habilitado.
+ `RelatedRequirements`: os requisitos relacionados para o controle em todos os padrões habilitados. Esses requisitos derivam de estruturas de segurança de terceiros para o controle, como o Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) ou o padrão NIST SP 800-171 Revisão 2.
+ `SecurityControlId`: o identificador para o controle dentre os padrões de segurança aos quais o CSPM do Security Hub oferece suporte.
+ `Status`: o resultado da verificação mais recente que o CSPM do Security Hub executou para o controle. Os resultados das verificações anteriores são mantidos no histórico da descoberta.
+ `StatusReasons`: uma matriz que lista os motivos do valor especificado pelo campo `Status`. Para cada motivo, isso inclui um código de motivo e uma descrição.

A tabela a seguir lista os códigos de motivos e as descrições que uma descoberta pode incluir na matriz `StatusReasons`. As etapas de correção variam, dependendo de qual controle gerou uma descoberta com um código de motivo específico. Para analisar a orientação de correção de um controle, consulte a [Referência de controle para o CSPM do Security Hub](securityhub-controls-reference.md).


| Código do motivo | Compliance status (Status de conformidade) | Description | 
| --- | --- | --- | 
|  `CLOUDTRAIL_METRIC_FILTER_NOT_VALID`  |  `FAILED`  |  A CloudTrail trilha multirregional não tem um filtro métrico válido.  | 
|  `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`  |  `FAILED`  |  Os filtros métricos não estão presentes na CloudTrail trilha multirregional.  | 
|  `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`  |  `FAILED`  |  A conta não tem uma CloudTrail trilha multirregional com a configuração necessária.  | 
|  `CLOUDTRAIL_REGION_INVAILD`  |  `WARNING`  |  As CloudTrail trilhas multirregionais não estão na região atual.  | 
|  `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`  |  `FAILED`  |  Nenhuma ação de alarme válida está presente.  | 
|  `CLOUDWATCH_ALARMS_NOT_PRESENT`  |  `FAILED`  |  CloudWatch os alarmes não existem na conta.  | 
|  `CONFIG_ACCESS_DENIED`  |  `NOT_AVAILABLE` AWS Config status é `ConfigError`  |  AWS Config acesso negado. Verifique se AWS Config está ativado e se recebeu permissões suficientes.  | 
|  `CONFIG_EVALUATIONS_EMPTY`  |  `PASSED`  |  AWS Config avaliou seus recursos com base na regra. A regra não se aplicava aos AWS recursos em seu escopo, os recursos especificados foram excluídos ou os resultados da avaliação foram excluídos.  | 
|  `CONFIG_RECORDER_CUSTOM_ROLE`  |  `FAILED` (para Config.1)  |  O AWS Config gravador usa uma função personalizada do IAM em vez da função AWS Config vinculada ao serviço, e o parâmetro `includeConfigServiceLinkedRoleCheck` personalizado para Config.1 não está definido como. `false`  | 
|  `CONFIG_RECORDER_DISABLED`  |  `FAILED` (para Config.1)  |  AWS Config não está habilitado com o gravador de configuração ligado.  | 
|  `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`  |  `FAILED` (para Config.1)  |  AWS Config não está registrando todos os tipos de recursos que correspondem aos controles CSPM habilitados do Security Hub. Ative a gravação para os seguintes recursos:*Resources that aren't being recorded*.  | 
|  `CONFIG_RETURNS_NOT_APPLICABLE`  |  `NOT_AVAILABLE`  |  O status de conformidade é `NOT_AVAILABLE` porque AWS Config retornou um status de **Não aplicável**. AWS Config não fornece o motivo do status. Aqui estão alguns motivos possíveis para o status **Não aplicável**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_EVALUATION_ERROR`  |  `NOT_AVAILABLE` AWS Config status é `ConfigError`  |  Esse código de motivo é usado para vários tipos diferentes de erros de avaliação. A descrição fornece as informações específicas do motivo. O tipo de erro pode ser um dos seguintes: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_NOT_FOUND`  |  `NOT_AVAILABLE` AWS Config status é `ConfigError`  |  A AWS Config regra está em processo de criação.  | 
|  `INTERNAL_SERVICE_ERROR`  |  `NOT_AVAILABLE`  |  Ocorreu um erro desconhecido.  | 
|  `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`  |  `FAILED`  |  O CSPM do Security Hub não consegue realizar uma verificação em um runtime do Lambda personalizado.  | 
|  `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  A descoberta está no estado `WARNING` porque o bucket do S3 associado a essa regra está em uma região ou conta diferente. Essa regra não é compatível com verificações entre regiões ou entre contas. É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado.  | 
|  `SNS_SUBSCRIPTION_NOT_PRESENT`  |  `FAILED`  |  Os filtros métricos do CloudWatch Logs não têm uma assinatura válida do Amazon SNS.  | 
|  `SNS_TOPIC_CROSS_ACCOUNT`  |  `WARNING`  |  A descoberta está em um estado de `WARNING`. O tópico SNS associado a esta regra pertence a uma conta diferente. A conta atual não pode obter as informações da assinatura. A conta proprietária do tópico do SNS deve conceder à conta atual a permissão `sns:ListSubscriptionsByTopic` para o tópico do SNS.  | 
|  `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  A descoberta está em estado `WARNING` porque o tópico do SNS associado a essa regra está em uma região ou conta diferente. Essa regra não é compatível com verificações entre regiões ou entre contas. É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado.  | 
|  `SNS_TOPIC_INVALID`  |  `FAILED`  |  O tópico do SNS associado a essa regra é inválido.  | 
|  `THROTTLING_ERROR`  |  `NOT_AVAILABLE`  |  A operação de API relevante excedeu a taxa permitida.  | 

## ProductFields detalhes das descobertas de controle
<a name="control-findings-asff-productfields"></a>

Nas descobertas geradas pelas verificações de segurança dos controles, o [ProductFields](asff-top-level-attributes.md#asff-productfields)atributo no Formato de descoberta de AWS segurança (ASFF) pode incluir os seguintes campos.

`ArchivalReasons:0/Description`  
Descreve por que o CSPM do Security Hub arquivou uma descoberta.  
Por exemplo, o CSPM do Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão, ou quando você habilita ou desabilita [descobertas de controle consolidadas](#consolidated-control-findings).

`ArchivalReasons:0/ReasonCode`  
Especifica por que o CSPM do Security Hub arquivou uma descoberta.  
Por exemplo, o CSPM do Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão, ou quando você habilita ou desabilita [descobertas de controle consolidadas](#consolidated-control-findings).

`PreviousComplianceStatus`  
O status de conformidade (`Compliance.Status`) anterior do recurso para o controle especificado, a partir da atualização mais recente da descoberta. Se o status de conformidade do recurso não foi alterado durante a atualização mais recente, esse valor será igual ao valor do campo `Compliance.Status` da descoberta. Para obter uma lista de valores possíveis, consulte [Avaliação do status de conformidade e do status de controle](controls-overall-status.md).

`StandardsGuideArn` ou `StandardsArn`  
O ARN do padrão associado ao controle.  
Para o padrão CIS AWS Foundations Benchmark, o campo é. `StandardsGuideArn` Para os padrões PCI DSS e AWS Foundational Security Best Practices, o campo é. `StandardsArn`  
Esses campos serão removidos em favor dos `Compliance.AssociatedStandards` se você habilitar as [descobertas de controles consolidadas](#consolidated-control-findings).

`StandardsGuideSubscriptionArn` ou `StandardsSubscriptionArn`  
O ARN da assinatura padrão da conta.  
Para o padrão CIS AWS Foundations Benchmark, o campo é. `StandardsGuideSubscriptionArn` Para os padrões PCI DSS e AWS Foundational Security Best Practices, o campo é. `StandardsSubscriptionArn`  
Esses campos serão removidos se você habilitar as [descobertas de controles consolidadas](#consolidated-control-findings).

`RuleId` ou `ControlId`  
O identificador do controle.  
Para a versão 1.2.0 do padrão CIS AWS Foundations Benchmark, o campo é. `RuleId` Para outros padrões, incluindo versões subsequentes do padrão CIS AWS Foundations Benchmark, o campo é `ControlId`.  
Esses campos serão removidos em favor dos `Compliance.SecurityControlId` se você habilitar as [descobertas de controles consolidadas](#consolidated-control-findings).

`RecommendationUrl`  
O URL para informações de correção para o controle. Esse campo será removido em favor dos `Remediation.Recommendation.Url` se você habilitar as [descobertas de controles consolidadas](#consolidated-control-findings).

`RelatedAWSResources:0/name`  
O nome do recurso associado à descoberta.

`RelatedAWSResource:0/type`  
O tipo de recurso associado ao controle.

`StandardsControlArn`  
O ARN do controle. Esse campo será removido se você habilitar as [descobertas de controles consolidadas](#consolidated-control-findings).

`aws/securityhub/ProductName`  
Para descobertas de controles, o nome do produto é `Security Hub`.

`aws/securityhub/CompanyName`  
Para descobertas de controles, o nome da empresa é `AWS`.

`aws/securityhub/annotation`  
Uma descrição do problema descoberto pelo controle.

`aws/securityhub/FindingId`  
O identificador para a descoberta.  
Esse campo não referenciará um padrão se você habilitar as [descobertas de controles consolidadas](#consolidated-control-findings).

## Níveis de gravidade para as descobertas de controles
<a name="control-findings-severity"></a>

A gravidade atribuída a um controle do CSPM do Security Hub indica a importância do controle. A gravidade de um controle determina o rótulo de gravidade atribuído às descobertas do controle.

### Critérios de gravidade
<a name="securityhub-standards-results-severity-criteria"></a>

A gravidade de um controle é determinada com base em uma avaliação dos seguintes critérios:
+ **É difícil para um agente de ameaças tirar proveito da fraqueza de configuração associada ao controle?** A dificuldade é determinada pela quantidade de sofisticação ou complexidade necessária para usar a fraqueza para realizar um cenário de ameaça.
+ **Qual é a probabilidade de que a fraqueza leve ao comprometimento de seus recursos Contas da AWS ou de seus recursos?** O comprometimento de seus Contas da AWS recursos significa que a confidencialidade, a integridade ou a disponibilidade de seus dados ou AWS infraestrutura estão danificadas de alguma forma. A probabilidade de comprometimento indica a probabilidade de o cenário de ameaça resultar em uma interrupção ou violação de seus recursos ou de seus recursos Serviços da AWS .

Como exemplo, considere os seguintes pontos fracos da configuração:
+ As chaves de acesso do usuário não são trocadas a cada 90 dias.
+ A chave de usuário raiz do IAM existe.

Ambas as fraquezas são igualmente difíceis de serem aproveitadas por um adversário. Em ambos os casos, o adversário pode usar o roubo de credenciais ou algum outro método para adquirir uma chave de usuário. Eles podem então usá-lo para acessar seus recursos de forma não autorizada.

No entanto, a probabilidade de um comprometimento é muito maior se o agente da ameaça adquirir a chave de acesso do usuário raiz, pois isso lhe dá maior acesso. Como resultado, a fraqueza da chave do usuário raiz tem uma gravidade maior.

A gravidade não leva em conta a criticidade do recurso subjacente. A criticidade é definida como o nível de importância dos recursos associados à descoberta. Por exemplo, um recurso associado a uma aplicação de missão crítica é mais crítico que um associado a testes que não sejam de produção. Para capturar informações sobre a criticidade do recurso, use o `Criticality` campo AWS Security Finding Format (ASFF).

A tabela a seguir mapeia a dificuldade de exploração e a probabilidade de comprometimento dos rótulos de segurança.


|  |  |  |  |  | 
| --- |--- |--- |--- |--- |
|    |  **Comprometimento altamente provável**  |  **Comprometimento provável**  |  **Comprometimento improvável**  |  **Comprometimento altamente improvável**  | 
|  **Muito fácil de explorar**  |  Crítico  |  Crítico  |  Alto  |  Médio  | 
|  **Um pouco fácil de explorar**  |  Crítico  |  Alto  |  Médio  |  Médio  | 
|  **Um pouco difícil de explorar**  |  Alto  |  Médio  |  Médio  |  Baixo  | 
|  **Muito difícil de explorar**  |  Médio  |  Médio  |  Baixo  |  Baixo  | 

### Definições de gravidade
<a name="securityhub-standards-results-severity-definitions"></a>

Os rótulos de gravidade são definidos da seguinte forma.

**Crítico: o problema deve ser corrigido imediatamente para evitar que seja escalonado.**  
Por exemplo, um bucket do S3 aberto é considerado uma descoberta de gravidade crítica. Como muitos atores maliciosos buscam buckets do S3 abertos, é provável que os dados em um bucket do S3 exposto sejam descobertos e acessados por outros.  
Em geral, os recursos acessíveis ao público são considerados problemas críticos de segurança. É necessário tratar as descobertas críticas com a máxima urgência. Você também deve considerar a importância do recurso.

**Alto: o problema deve ser tratado como prioridade de curto prazo.**  
Por exemplo, se um grupo de segurança VPC padrão estiver aberto ao tráfego de entrada e saída, ele será considerado de alta gravidade. É um pouco fácil para um agente de ameaças comprometer uma VPC usando esse método. Também é provável que o agente da ameaça consiga interromper ou exfiltrar recursos quando eles estiverem na VPC.  
O CSPM do Security Hub recomenda que você trate uma descoberta de alta gravidade como uma prioridade de curto prazo. É necessário tomar medidas imediatas de correção. Você também deve considerar a importância do recurso.

**Médio: a questão deve ser tratada como uma prioridade de médio prazo.**  
Por exemplo, a falta de criptografia para dados em trânsito é considerada uma descoberta de gravidade média. É necessário um man-in-the-middle ataque sofisticado para tirar proveito dessa fraqueza. Em outras palavras, é um pouco difícil. É provável que alguns dados sejam comprometidos se o cenário de ameaça for bem-sucedido.  
O CSPM do Security Hub recomenda que você investigue o recurso implicado o mais cedo possível. Você também deve considerar a importância do recurso.

**Baixo: o problema não requer ação por conta própria.**  
Por exemplo, a falha na coleta de informações forenses é considerada de baixa gravidade. Esse controle pode ajudar a evitar futuros compromissos, mas a ausência de perícia não leva diretamente a um comprometimento.  
Você não precisa tomar medidas imediatas em relação às descobertas de baixa gravidade, mas elas podem fornecer contexto quando você as correlaciona com outros problemas.

**Informativo: nenhuma falha de configuração foi encontrada.**  
Em outras palavras, o status é `PASSED`, `WARNING` ou `NOT AVAILABLE`.  
Não há ação recomendada. As descobertas informativas ajudam os clientes a demonstrar que estão em um estado de conformidade.

# Avaliação do status de conformidade e do status de controle
<a name="controls-overall-status"></a>

O `Compliance.Status` campo do Formato de descoberta de AWS segurança descreve o resultado de uma descoberta de controle. AWS O Security Hub CSPM usa o status de conformidade das descobertas de controle para determinar um status geral de controle. O status do controle é exibido na página de detalhes do controle no console do CSPM do Security Hub.

## Avaliação do status de conformidade das descobertas do CSPM do Security Hub
<a name="controls-overall-status-compliance-status"></a>

Ao status de conformidade de cada descoberta é atribuído um dos seguintes valores:
+ `PASSED`: indica que o controle passou na verificação de segurança da descoberta. Isso define automaticamente o CSPM do `Workflow.Status` do Security Hub como `RESOLVED`.
+ `FAILED`: indica que o controle não passou na verificação de segurança da descoberta.
+ `WARNING`: indica que o CSPM do Security Hub não pode determinar se o recurso está em um estado `PASSED` ou `FAILED`. Por exemplo, a [gravação de recursos do AWS Config](securityhub-setup-prereqs.md#config-resource-recording) não está ativada para o tipo de recurso correspondente.
+ `NOT_AVAILABLE`— Indica que a verificação não pode ser concluída porque um servidor falhou, o recurso foi excluído ou o resultado da AWS Config avaliação foi`NOT_APPLICABLE`. Se o resultado da AWS Config avaliação for`NOT_APPLICABLE`, o Security Hub CSPM arquiva automaticamente a descoberta.

Se o status de conformidade de uma descoberta mudar de `PASSED` para `FAILED`, `WARNING` ou `NOT_AVAILABLE`, e o `Workflow.Status` for `NOTIFIED` ou `RESOLVED`, o CSPM do Security Hub automaticamente modificará `Workflow.Status` para `NEW`.

Se você não tiver os recursos que correspondam a um controle, o CSPM do Security Hub gerará uma descoberta `PASSED` no nível da conta. Se você tiver um recurso que corresponda a um controle, mas excluir o recurso, o CSPM do Security Hub criará uma descoberta `NOT_AVAILABLE` e a arquivará imediatamente. Após 18 horas, você receberá uma descoberta `PASSED`, pois não terá mais os recursos correspondentes ao controle.

## Derivar o status do controle do status de conformidade
<a name="controls-overall-status-values"></a>

O CSPM do Security Hub usa o status de conformidade das descobertas de controles para determinar um status geral de controle. Ao determinar o status do controle, o CSPM do Security Hub ignorará as descobertas que tenham um `RecordState` de `ARCHIVED` e as descobertas que tenham um `Workflow.Status` de `SUPPRESSED`.

Ao status do controle é atribuído um dos valores a seguir:
+ **Aprovado**: indica que o status de conformidade de todas as descobertas é `PASSED`.
+ **Reprovado**: indica que o status de conformidade de pelo menos um descoberta é `FAILED`.
+ **Desconhecido**: indica que o status de conformidade de pelo menos uma descoberta é `WARNING` ou `NOT_AVAILABLE`. Nenhuma descoberta tem um status de conformidade `FAILED`.
+ **Sem dados**: indica que não há descobertas para o controle. Por exemplo, um controle recém-habilitado terá esse status até o CSPM do Security Hub começar a gerar descobertas para ele. Um controle também terá esse status se todas as suas descobertas forem `SUPPRESSED` ou se ele estiver indisponível na Região da AWS atual.
+ **Desabilitado**: indica que o controle está desabilitado na conta e região atual. Nenhuma verificação de segurança está sendo feita para esse controle nessa conta e nessa região. Porém, as descobertas de um controle desabilitado podem ter um de status de conformidade por até 24 horas após a desabilitação.

Em uma conta de administrador, o status do controle reflete o status do controle para a conta de administrador e em todas as contas de membro. Especificamente, o status geral de um controle aparece como **Reprovado** se o controle tiver uma ou mais descobertas reprovadas na conta do administrador ou em alguma das contas de membro. Se você definiu uma região de agregação, o status do controle na região de agregação refletirá o status do controle na região de agregação e nas regiões vinculadas. Especificamente, o status geral de um controle aparece como **Reprovado** se o controle tiver uma ou mais descobertas reprovadas na região de agregação ou em alguma das regiões vinculadas.

Normalmente, o CSPM do Security Hub gera o status inicial do controle dentro de 30 minutos após sua primeira visita à página **Resumo** ou à página **Padrões de segurança** no console do CSPM do Security Hub. A [gravação de recursos do AWS Config](controls-config-resources.md) deve estar configurada para que o status do controle seja exibido. Depois que o status do controle for gerado pela primeira vez, o CSPM do Security Hub atualizará esse status a cada 24 horas com base nas descobertas das 24 horas anteriores. Um timestamp na página de detalhes do controle indica a última vez que o status do controle foi atualizado.

**nota**  
Após a habilitação de um controle pela primeira vez, pode levar até 24 horas para que os status de controle sejam gerados nas regiões da China e da AWS GovCloud (US) Region.

# Calcular pontuações de segurança
<a name="standards-security-score"></a>

No console CSPM do AWS Security Hub, a página **Resumo** e a página **Controles** exibem uma pontuação de segurança resumida em todos os padrões habilitados. Na página **Padrões de segurança**, o CSPM do Security Hub também exibe uma pontuação de segurança de 0 a 100% para cada padrão habilitado.

Quando você habilita o CSPM do Security Hub pela primeira vez, ele calcula a pontuação de segurança resumida e as pontuações de segurança padrão dentro de 30 minutos após sua primeira visita à página **Resumo** ou à página **Padrões de segurança** no console. As pontuações são geradas somente para padrões que estejam habilitados quando você visita essas páginas no console. Além disso, a gravação de recursos do AWS Config deve ser configurada para que as pontuações sejam exibidas. A pontuação de segurança resumida é a média das pontuações de segurança padrão. Para revisar uma lista de padrões atualmente habilitados, você pode usar a [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)operação da API CSPM do Security Hub. 

Após a primeira geração de pontuação, o CSPM do Security Hub atualizará as pontuações de segurança a cada 24 horas. O CSPM do Security Hub exibe um timestamp para indicar quando uma pontuação de segurança foi atualizada pela última vez. Observe que pode levar até 24 horas para que as pontuações de segurança sejam geradas pela primeira vez nas regiões da China e AWS GovCloud (US) Regions.

Se você ativar as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings), poderá levar até 24 horas para que suas pontuações de segurança sejam atualizadas. Além disso, habilitar uma nova região de agregação ou atualizar regiões vinculadas redefine as pontuações de segurança existentes. Pode levar até 24 horas para que o CSPM do Security Hub gere novas pontuações de segurança que incluam dados das regiões atualizadas.

## Método de cálculo das pontuações de segurança
<a name="standard-security-score-calculation"></a>

A pontuação de segurança representa a proporção de controles no estado **Aprovado** para controles habilitados. A pontuação é exibida como uma porcentagem arredondada para cima ou para baixo para o número inteiro mais próximo.

O CSPM do Security Hub calcula uma pontuação de segurança resumida em todos os seus padrões habilitados. O CSPM do Security Hub também calcula uma pontuação de segurança para cada padrão habilitado. Para fins de cálculo de pontuação, os controles habilitados incluem controles com status de **Aprovado**, **Falha** e **Desconhecido**. Os controles com o status **Sem dados** são excluídos do cálculo da pontuação.

O CSPM do Security Hub ignora descobertas arquivadas e suprimidas ao calcular o status do controle. Isso pode afetar as pontuações de segurança. Por exemplo, se você suprimir todas as descobertas com falhas de um controle, seu status se tornará **Aprovado**, o que, por sua vez, pode melhorar suas pontuações de segurança. Para obter mais informações sobre status de controle, consulte [Avaliação do status de conformidade e do status de controle](controls-overall-status.md).

**Exemplo de pontuação:**


| Standard | Controles aprovados | Falha nos controles | Controles desconhecidos | Pontuação padrão | 
| --- | --- | --- | --- | --- | 
|  AWS Melhores práticas básicas de segurança v1.0.0  |  168  |  22  |  0  |  88%  | 
|  Referência do CIS AWS Foundations v1.4.0  |  8  |  29  |  0  |  22%  | 
|  Referência do CIS AWS Foundations v1.2.0  |  6  |  35  |  0  |  15%  | 
|  Publicação especial 800-53 do NIST Revisão 5  |  159  |  56  |  0  |  74%  | 
|  PCI DSS v3.2.1  |  28  |  17  |  0  |  62%  | 

Ao calcular a pontuação resumida de segurança, o CSPM do Security Hub conta cada controle apenas uma vez em todos os padrões. Por exemplo, se você ativou um controle que se aplica a três padrões ativados, ele conta apenas como um controle ativado para fins de pontuação.

Neste exemplo, embora o número total de controles habilitados em todos os padrões habilitados seja 528, o CSPM do Security Hub conta cada controle exclusivo apenas uma vez para fins de pontuação. O número de controles ativados exclusivos provavelmente é menor que 528. Se assumirmos que o número de controles exclusivos ativados é 515 e o número de controles exclusivos aprovados é 357, a pontuação resumida é 69%. Essa pontuação é calculada dividindo o número de controles exclusivos aprovados pelo número de controles exclusivos habilitados.

É possível ter uma pontuação resumida diferente da pontuação de segurança padrão, mesmo que tenha habilitado apenas um padrão em sua conta na região atual. Isso pode ocorrer se você estiver conectado a uma conta de administrador e as contas de membros tiverem padrões adicionais ou padrões diferentes habilitados. Isso também pode ocorrer se você estiver visualizando a pontuação da região de agregação e padrões adicionais ou padrões diferentes estiverem habilitados nas regiões vinculadas.

## Pontuações de segurança para contas de administrador
<a name="standard-security-score-admin"></a>

Se você estiver conectado a uma conta de administrador, a pontuação de segurança resumida e a pontuação padrão contam com os status de controle na conta do administrador e em todas as contas dos membros.

Se o status de um controle for **Falha** em até mesmo uma conta de membro, seu status será **Falha** na conta do administrador e afetará as pontuações da conta do administrador.

Se você estiver conectado a uma conta de administrador e estiver visualizando pontuações em uma região de agregação, as pontuações de segurança representam os status de controle em todas as contas de membros *e* em todas as regiões vinculadas.

## Pontuações de segurança se você tiver definido uma região de agregação
<a name="standard-security-aggregation-region"></a>

Se você definiu uma agregação Região da AWS, a pontuação de segurança resumida e a pontuação padrão são responsáveis pelos status de controle em todos Regiões vinculadas.

Se o status de um controle for **Falha** em até mesmo uma região vinculada, seu status será **Falha** na região de agregação e afetará as pontuações da região de agregação.

Se você estiver conectado a uma conta de administrador e estiver visualizando pontuações em uma região de agregação, as pontuações de segurança representam os status de controle em todas as contas de membros *e* em todas as regiões vinculadas.

# Categorias de controle no CSPM do Security Hub
<a name="control-categories"></a>

Cada controle é atribuído a uma categoria. A categoria de um controle reflete a função de segurança à qual o controle se aplica.

O valor da categoria contém a categoria, a subcategoria dentro da categoria e, opcionalmente, um classificador dentro da subcategoria. Por exemplo:
+ Identificar > Inventário
+ Proteger > Proteção de dados > Criptografia de dados em trânsito

Aqui estão as descrições das categorias, subcategorias e classificadores disponíveis.

## Identificar
<a name="control-category-identify"></a>

Desenvolva a compreensão organizacional para gerenciar o risco de segurança cibernética para sistemas, ativos, dados e recursos.

** Inventory**  
O serviço implementou as estratégias corretas de marcação de recursos? As estratégias de marcação incluem o proprietário do recurso?  
Quais recursos são usados pelo serviço? Eles são recursos aprovados para este serviço?  
Você tem visibilidade do inventário aprovado? Por exemplo, você usa serviços como Amazon EC2 Systems Manager e Service Catalog? 

**Registro em log**  
Você habilitou com segurança todos os registros em log relevantes para o serviço? São exemplos de arquivos de log:  
+ Logs de fluxo do Amazon VPC
+ Logs de acesso do Elastic Load Balancing
+  CloudFront Registros da Amazon
+  CloudWatch Registros da Amazon
+ Registros em log do Amazon Relational Database Service
+ Registros de indexação lentos do Amazon OpenSearch Service
+ Rastreamento do X-Ray
+ AWS Directory Service troncos
+ AWS Config itens
+ Snapshots

## Proteger
<a name="control-category-protect"></a>

Desenvolver e implementar as proteções adequadas para garantir a entrega de serviços críticos de infraestrutura e práticas de programação segura.

**Gerenciamento de acesso seguro**  
O serviço usa práticas de privilégio mínimo em políticas do IAM ou de recursos?  
As senhas e os segredos são suficientemente complexos? Eles são alternados de maneira apropriada?  
O serviço usa autenticação multifator (MFA)?  
O serviço evita o usuário raiz?  
As políticas baseadas em recursos permitem acesso público?

**Configuração de rede segura**  
O serviço evita acesso remoto público e inseguro à rede?  
O serviço está sendo usado VPCs corretamente? Por exemplo, os trabalhos são necessários para serem executados VPCs?  
O serviço segmenta e isola adequadamente recursos confidenciais? 

**Proteção de dados**  
Criptografia de dados em repouso: o serviço criptografa dados em repouso?  
Criptografia de dados em trânsito: o serviço criptografa dados em trânsito?  
Integridade dos dados: o serviço valida a integridade dos dados?  
Proteção contra exclusão de dados: o serviço protege os dados contra exclusão acidental?  
Gerenciamento e uso de dados: você usa serviços como o Amazon Macie para rastrear a localização de seus dados confidenciais?

**Proteção de APIs**  
O serviço é usado AWS PrivateLink para proteger as operações da API do serviço?

**Serviços de proteção**  
Os serviços de proteção corretos estão em vigor? Eles fornecem a quantidade correta de cobertura?  
Os serviços de proteção ajudam você a desviar ataques e comprometimentos direcionados ao serviço. Exemplos de serviços de proteção AWS incluem AWS Control Tower,, AWS WAF AWS Shield Advanced, Vanta, Secrets Manager, IAM Access Analyzer e. AWS Resource Access Manager

**Desenvolvimento seguro**  
Você usa práticas de programação segura?  
Você evita vulnerabilidades como os Open Web Application Security Project (OWASP) Top Ten?

## Detectar
<a name="control-category-detect"></a>

Desenvolver e implementar as atividades adequadas para identificar a ocorrência de um evento de segurança cibernética.

**Serviços de detecção**  
Os serviços de detecção corretos estão em vigor?  
Eles fornecem a quantidade correta de cobertura?  
Exemplos de serviços de AWS detecção incluem Amazon GuardDuty, AWS Security Hub CSPM, Amazon Inspector, Amazon Detective CloudWatch , Amazon Alarms, e. AWS IoT Device Defender AWS Trusted Advisor

## Resposta
<a name="control-category-respond"></a>

Desenvolver e implementar as atividades adequadas para tomar medidas em relação a um evento de segurança cibernética detectado.

**Ações de resposta**  
Você responde rapidamente aos eventos de segurança?  
Você tem alguma descoberta crítica ativa ou de alta gravidade?

**Dados forenses**  
É possível adquirir com segurança dados forenses para o serviço? Por exemplo, você adquire snapshots do Amazon EBS associados a descobertas positivas verdadeiras?  
Você configurou uma conta de dados forenses?

## Recuperar
<a name="control-category-recover"></a>

Desenvolver e implementar as atividades adequadas para manter planos de resiliência e restaurar quaisquer recursos ou serviços que tenham sido prejudicados devido a um evento de segurança cibernética.

**Resiliência**  
A configuração do serviço oferece suporte a failovers ágeis, dimensionamento elástico e alta disponibilidade?  
Você estabeleceu backups? 

# Análise dos detalhes dos controles no CSPM do Security Hub
<a name="securityhub-standards-control-details"></a>

Selecionar um controle na página **Controles** ou na página de detalhes de um padrão do console do CSPM do Security Hub levará você a uma página de detalhes do controle.

A parte superior da página de detalhes do controle indica qual é o status do controle. O status do controle resume a performance do controle com base no status de conformidade das descobertas do controle. Normalmente, o CSPM do Security Hub gera o status inicial do controle dentro de 30 minutos após sua primeira visita à página **Resumo** ou à página **Padrões de segurança** no console do CSPM do Security Hub. Os status só estão disponíveis para controles que são ativados quando você visita essas páginas.

A página de detalhes do controle também fornece um detalhamento do status de conformidade das descobertas do controle para as últimas 24 horas. Para obter mais informações sobre status de controle e status de conformidade, consulte [Avaliação do status de conformidade e do status de controle](controls-overall-status.md).

AWS Config a gravação de recursos deve ser configurada para que o status do controle apareça. Depois que os status do controle forem gerados pela primeira vez, o CSPM do Security Hub atualizará esses status a cada 24 horas com base nas descobertas das 24 horas anteriores.

As contas de administrador refletem o status agregado da conta do administrador e de todas as contas dos membros. Se você definiu uma região de agregação, o status do controle inclui descobertas em todas as regiões vinculadas. Para obter mais informações sobre status de controle, consulte [Avaliação do status de conformidade e do status de controle](controls-overall-status.md).

Também é possível habilitar ou desabilitar o controle na página de detalhes do controle.

**nota**  
Pode levar até 24 horas após a ativação de um controle para que os primeiros status de controle sejam gerados nas regiões da China e AWS GovCloud (US) Regions.

A guia **Padrões e requisitos** lista os padrões para os quais um controle pode ser habilitado e os requisitos relacionados ao controle de diferentes estruturas de conformidade.

A guia **Verificações** lista as descobertas ativas para o controle nas últimas 24 horas. As descobertas de controles são geradas e atualizadas quando o CSPM do Security Hub executa verificações de segurança no controle. A lista nesta guia não inclui as descobertas arquivadas.

Para cada descoberta, a lista fornece acesso aos detalhes da descoberta, como o status de conformidade e os recursos relacionados. Também é possível definir o status do fluxo de trabalho de cada descoberta e enviar as descobertas para ações personalizadas. Para obter mais informações, consulte [Análise e gerenciamento de descobertas de controles](securityhub-control-manage-findings.md).

## Visualizar detalhes de um controle
<a name="view-control-details-console"></a>

Escolha seu método de acesso preferido e siga estas etapas para analisar os detalhes de um controle. Os detalhes se aplicam à conta e região atuais e incluem o seguinte:
+ O título e a descrição do controle.
+ Um link para orientações de correção para descobertas de controle com falha.
+ A gravidade do controle.
+ O status do controle.

No console, também é possível analisar uma lista das descobertas recentes do controle. Para fazer isso programaticamente, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) da API do CSPM do Security Hub.

------
#### [ Security Hub CSPM console ]

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Controles**.

1. Selecione um controle.

------
#### [ Security Hub CSPM API ]

1. Execute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` e forneça um ou mais padrões ARNs para obter uma lista de controle IDs para esse padrão. Para obter o padrão ARNs, execute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Se você não fornecer um ARN padrão, essa API retornará todo o controle CSPM do Security Hub. IDs Essa API retorna o controle de segurança independente do padrão IDs, não o controle baseado em padrões IDs que existia antes do lançamento desses recursos.

   **Exemplo de solicitação:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Execute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)` para obter detalhes sobre um ou mais controles no atual Conta da AWS Região da AWS e.

   **Exemplo de solicitação:**

   ```
   {
       "SecurityControlIds": ["Config.1", "IAM.1"]
   }
   ```

------
#### [ AWS CLI ]

1. Execute o `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` comando e forneça um ou mais padrões ARNs para obter uma lista de controle IDs. Para obter o padrão ARNs, execute o `describe-standards` comando. Se você não fornecer um ARN padrão, esse comando retornará todo o controle CSPM do Security Hub. IDs Esse comando retorna o controle de segurança independente do padrão IDs, não o controle baseado em padrões IDs que existia antes desses lançamentos de recursos.

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Execute o comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html)` para obter detalhes sobre um ou mais controles na Conta da AWS e Região da AWS atuais.

   ```
   aws securityhub --region us-east-1 batch-get-security-controls --security-control-ids '["Config.1", "IAM.1"]'
   ```

------

# Filtragem e classificação de controles do CSPM do Security Hub
<a name="controls-filter-sort"></a>

No console CSPM do AWS Security Hub, você pode usar a página **Controles** para revisar uma tabela dos controles que estão disponíveis no atual. Região da AWS A exceção é uma região de agregação. Se você [configurar uma região de agregação](finding-aggregation.md) e fizer login nessa região, o console mostrará os controles que estão disponíveis na região de agregação ou em uma ou mais regiões vinculadas.

Para se concentrar em um subconjunto específico de controles, é possível filtrar e classificar a tabela de controles. As opções **Filtrar por** ao lado da tabela permitem enfocar rapidamente esses subconjuntos específicos:
+ Todos os controles habilitados, que são os controles habilitados em pelo menos um padrão habilitado.
+ Todos os controles desabilitados, que são os controles desabilitados em todos os padrões.
+ Todos os controles habilitados que têm um status de controle específico, como **Com falha**. A opção **Sem dados** exibe somente os controles que não têm descobertas no momento. Para obter informações sobre status de controle, consulte [Avaliação do status de conformidade e do status de controle](controls-overall-status.md).

Além das opções **Filtrar por**, é possível filtrar as tabelas inserindo critérios de filtros na caixa **Filtrar controles** acima da tabela. Por exemplo, é possível filtrar por ID ou gravidade.

Por padrão, controles com status **Com falha** são listados primeiro, em ordem decrescente de gravidade. É possível alterar a ordem de classificação escolhendo um cabeçalho de coluna diferente.

**dica**  
Se você tiver fluxos de trabalho automatizados com base em descobertas de controle, recomendamos usar o `SecurityControlId` ou os [campos do ASFF](securityhub-findings-format.md) do `SecurityControlArn` como filtros, em vez dos campos `Title` ou `Description`. Os últimos campos podem mudar ocasionalmente, enquanto o ID de controle e o ARN são identificadores estáticos.

Se você fez login em uma conta de administrador do CSPM do Security Hub, os controles **Habilitados** incluem os habilitados em pelo menos uma conta de membro. Se você configurou uma região de agregação, os controles **Habilitados** incluem os controles habilitados em pelo menos uma região vinculada.

Se você selecionar a opção ao lado de um controle habilitado, um painel será exibido, mostrando os padrões nos quais o controle está atualmente habilitado. Também é possível ver os padrões nos quais o controle está atualmente desativado. Nesse painel, é possível desabilitar um controle em todos os padrões. Para obter mais informações, consulte [Desabilitação de controles no CSPM do Security Hub](disable-controls-overview.md). Para contas de administrador, as informações no painel lateral refletem as configurações de todas as suas contas de membros.

Para recuperar uma lista de controles programaticamente, é possível usar a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) da API do CSPM do Security Hub. Para recuperar os detalhes de controles individuais, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html).

# Noções básicas sobre os parâmetros de controles no CSPM do Security Hub
<a name="custom-control-parameters"></a>

Alguns controles no AWS Security Hub CSPM usam parâmetros que afetam a forma como o controle é avaliado. Normalmente, esses controles são avaliados em relação aos valores de parâmetros padrão definidos pelo CSPM do Security Hub. Porém, para um subconjunto desses controles, você pode personalizar os valores dos parâmetros. Quando você modifica o valor de um parâmetro de controle, o CSPM do Security Hub começa a avaliar o controle em relação ao valor especificado. Se o recurso subjacente ao controle satisfizer o valor personalizado, o CSPM do Security Hub gerará uma descoberta `PASSED`. Se o recurso não satisfizer o valor personalizado, o CSPM do Security Hub gerará uma descoberta `FAILED`.

Ao personalizar os parâmetros de controle, é possível refinar as melhores práticas recomendadas de segurança e monitoradas pelo CSPM do Security Hub para se alinharem aos requisitos de sua empresa e às expectativas de segurança. Em vez de suprimir as descobertas de um controle, é possível personalizar um ou mais de seus parâmetros para obter descobertas que atendam às suas necessidades de segurança.

Aqui estão alguns exemplos de casos de uso de modificação de parâmetros de controles e definição de valores personalizados:
+ **[CloudWatch.16] — os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado**

  É possível especificar o período de tempo de retenção.
+ **[IAM.7]: as políticas de senha para usuários do IAM devem ter configurações fortes**

  É possível especificar parâmetros relacionados à força da senha.
+ **[EC2.18] — Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas**

  É possível especificar quais portas estão autorizadas a permitir tráfego de entrada irrestrito.
+ **[Lambda.5]: as funções do Lambda da VPC devem operar em várias zonas de disponibilidade**

  É possível especificar o número mínimo de zonas de disponibilidade que produzem uma descoberta aprovada.

Esta seção aborda o que deverá ser considerado quando você modificar os parâmetros de controle.

## Efeito da modificação dos valores dos parâmetros de controle
<a name="custom-control-parameters-overview"></a>

Ao alterar o valor de um parâmetro, você também aciona uma nova verificação de segurança que avaliará o controle com base no novo valor. Em seguida, o CSPM do Security Hub gerará novas descobertas de controle com base no novo valor. Durante atualizações periódicas para controlar as descobertas, o CSPM do Security Hub também usará o novo valor do parâmetro. Se você alterar os valores dos parâmetros de um controle, mas não tiver habilitado nenhum padrão que inclua o controle, o CSPM do Security Hub não realizará nenhuma verificação de segurança usando os novos valores. Você precisa habilitar pelo menos um padrão relevante para que o CSPM do Security Hub avalie o controle com base no novo valor do parâmetro.

Um controle pode ter um ou mais parâmetros personalizáveis. Os possíveis tipos de dados para cada parâmetro de controle incluem o seguinte:
+ Booleano
+ Duplo
+ Enum
+ EnumList
+ Inteiro
+ IntegerList
+ String
+ StringList

Valores de parâmetros personalizados se aplicam a todos os padrões habilitados. Você não pode personalizar os parâmetros de um controle que não seja compatível com sua região atual. Para obter uma lista de limites regionais para controles individuais, consulte [Limites regionais em controles do CSPM do Security Hub](regions-controls.md).

Em alguns controles, os valores aceitáveis dos parâmetros devem estar em intervalo especificado para serem válidos. Nesses casos, o CSPM do Security Hub fornece o intervalo aceitável.

O CSPM do Security Hub escolhe valores de parâmetros padrão e pode ocasionalmente atualizá-los. Depois de personalizar um parâmetro de controle, seu valor continua sendo o valor que você especificou para o parâmetro, a menos que você o altere. Ou seja, o parâmetro interrompe o rastreamento de atualizações no valor padrão do CSPM do Security Hub, mesmo que o valor personalizado do parâmetro corresponda ao valor padrão atual definido pelo CSPM do Security Hub. Aqui está um exemplo para o controle **[ACM.1]: certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado**:

```
{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}
```

No exemplo anterior, o parâmetro `daysToExpiration` tem um valor personalizado de `30`. O valor padrão atual desse parâmetro também é `30`. Se o CSPM do Security Hub alterar o valor padrão para `14`, o parâmetro neste exemplo não rastreará essa alteração. Ele manterá um valor de `30`.

Se você quiser rastrear as atualizações do valor padrão do CSPM do Security Hub para um parâmetro, defina o campo `ValueType` como `DEFAULT` em vez de `CUSTOM`. Para obter mais informações, consulte [Reverter os parâmetros de controles ao padrão em uma única conta e região](revert-default-parameter-values.md#revert-default-parameter-values-local-config).

## Controles que oferecem suporte a parâmetros personalizados
<a name="controls-list-custom-parameters"></a>

Para obter uma lista de controles de segurança que oferecem suporte a parâmetros personalizados, consulte a página **Controles** no console do CSPM do Security Hub ou a [Referência de controle para o CSPM do Security Hub](securityhub-controls-reference.md). Para recuperar essa lista programaticamente, é possível usar a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html). Na resposta, o objeto `CustomizableProperties` indica quais controles oferecem suporte a parâmetros personalizáveis.

# Revisar os valores dos parâmetros de controles atuais
<a name="view-control-parameters"></a>

Pode ser útil saber o valor atual de um parâmetro de controle antes de modificá-lo.

É possível revisar os valores atuais dos parâmetros de controle individuais em sua conta. Se você usar a configuração central, o administrador delegado do CSPM do AWS Security Hub também poderá revisar os valores dos parâmetros especificados em uma política de configuração.

Escolha seu método preferido e siga as etapas para revisar os valores atuais dos parâmetros de controle.

------
#### [ Security Hub CSPM console ]

**Para revisar os valores atuais dos parâmetros de controles (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Controles**. Escolha um controle.

1. Selecione a guia **Parâmetros**. Essa guia mostra os valores atuais dos parâmetros do controle.

------
#### [ Security Hub CSPM API ]

**Para revisar os valores atuais dos parâmetros de controles (API)**

Invoque a [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)API e forneça um ou mais controles de segurança IDs ou ARNs. O objeto `Parameters` na resposta mostra os valores dos parâmetros atuais para os controles especificados.

Por exemplo, o AWS CLI comando a seguir mostra os valores dos parâmetros atuais para `APIGatway.1``CloudWatch.15`, `IAM.7` e. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```

------

Escolha seu método preferido para visualizar os valores dos parâmetros atuais em uma política de configuração central.

------
#### [ Security Hub CSPM console ]

**Para revisar os valores atuais dos parâmetros em uma política de configuração (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Na guia **Políticas**, selecione a política de configuração e escolha **Exibir detalhes**. Em seguida, os detalhes da política serão exibidos, incluindo os valores dos parâmetros atuais.

------
#### [ Security Hub CSPM API ]

**Para revisar os valores atuais dos parâmetros em uma política de configuração (API)**

1. Invoque a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) a partir da conta de administrador delegado na região inicial.

1. Forneça o ARN ou o ID da política de configuração cujos detalhes você deseja ver. A resposta inclui valores de parâmetros atuais.

Por exemplo, o AWS CLI comando a seguir recupera os valores atuais dos parâmetros de controle na política de configuração especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

As descobertas de controles também incluem os valores atuais dos parâmetros de controle. Em [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md), esses valores aparecem no campo `Parameters` do objeto `Compliance`. Para revisar as descobertas no console do CSPM do Security Hub, escolha **Descobertas** no painel de navegação. Para revisar as descobertas programaticamente, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html) da API do CSPM do Security Hub.

# Personalizar parâmetros de controles
<a name="customize-control-parameters"></a>

As instruções para personalizar os parâmetros de controle variam de acordo com o uso da [configuração central](central-configuration-intro.md) no CSPM do AWS Security Hub. A configuração central é um recurso que o administrador delegado do CSPM do Security Hub pode usar para configurar os recursos do CSPM do Security Hub em contas e unidades Regiões da AWS organizacionais (). OUs

Se sua organização usa a configuração central, o administrador delegado pode criar políticas de configuração que incluam parâmetros de controle personalizados. Essas políticas podem ser associadas a contas de membros gerenciadas centralmente e OUs entram em vigor na sua região de origem e em todas as regiões vinculadas. O administrador delegado também pode designar uma ou mais contas como autogerenciadas, o que permite que o proprietário da conta configure seus próprios parâmetros separadamente em cada região. Se sua organização não usa a configuração central, será necessário personalizar os parâmetros de controle separadamente em cada conta e região.

Recomendamos usar a configuração central porque ela permite alinhar os valores dos parâmetros de controle em diferentes partes da sua organização. Por exemplo, todas as suas contas de teste podem usar determinados valores de parâmetros, e todas as contas de produção podem usar valores diferentes.

## Personalizar os parâmetros dos controles em várias contas e regiões
<a name="customize-control-parameters-central-config"></a>

Se você for o administrador delegado do CSPM do Security Hub de uma organização que use a configuração central, escolha seu método preferido e siga as etapas para personalizar os parâmetros de controle em várias contas e regiões.

------
#### [ Security Hub CSPM console ]

**Para personalizar os parâmetros de controles em várias contas e regiões (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Certifique-se de que você está conectado à região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Escolha a guia **Políticas**.

1. Para criar uma nova política de configuração que inclua parâmetros personalizados, escolha **Criar política**. Para especificar parâmetros personalizados em uma política de configuração existente, selecione a política e escolha **Editar**.

   **Para criar uma nova política de configuração com valores de parâmetros de controles personalizados**

   1. Na seção **Política personalizada**, escolha os padrões e controles de segurança que você deseja habilitar.

   1. Selecione **Personalizar parâmetros de controle**.

   1. Selecione um controle e, em seguida, especifique valores personalizados para um ou mais parâmetros.

   1. Para personalizar os parâmetros para mais controles, escolha **Personalizar controle adicional**.

   1. Na seção **Contas**, selecione as contas às OUs quais você deseja aplicar a política.

   1. Escolha **Próximo**.

   1. Escolha **Criar política e aplicar**. Na sua região de origem e em todas as regiões vinculadas, essa ação substitui as configurações existentes das contas e OUs que estão associadas a essa política de configuração. Contas e OUs podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um pai.

   **Para personalizar valores de parâmetros de controles em uma política de configuração existente**

   1. Na seção **Controles**, em **Política personalizada**, especifique os novos valores de parâmetros personalizados que você deseja.

   1. Se essa for a primeira vez que você personaliza parâmetros de controle nessa política, selecione **Personalizar parâmetros de controle** e, em seguida, selecione um controle para personalizar. Para personalizar os parâmetros para mais controles, escolha **Personalizar controle adicional**.

   1. Na seção **Contas**, verifique as contas às OUs quais você deseja aplicar a política.

   1. Escolha **Próximo**.

   1. Revise suas alterações e verifique se estão corretas. Ao terminar, escolha **Salvar política e aplicar**. Na sua região de origem e em todas as regiões vinculadas, essa ação substitui as configurações existentes das contas e OUs que estão associadas a essa política de configuração. Contas e OUs podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um pai.

------
#### [ Security Hub CSPM API ]

**Para personalizar os parâmetros de controles em várias contas e regiões (API)**

**Para criar uma nova política de configuração com valores de parâmetros de controles personalizados**

1. Invoque a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) a partir da conta de administrador delegado na região inicial.

1. Para o objeto `SecurityControlCustomParameters`, forneça o identificador de cada controle que você deseja personalizar.

1. Para o objeto `Parameters`, forneça o nome de cada parâmetro que você deseja personalizar. Para cada parâmetro que você personalizar, forneça `CUSTOM` para `ValueType`. Em `Value`, forneça o tipo de dados do parâmetro e o valor personalizado. O campo `Value` não poderá estar vazio quando `ValueType` for `CUSTOM`. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual. É possível encontrar parâmetros com suporte, tipos de dados e valores válidos para um controle invocando a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html).

**Para personalizar valores de parâmetros de controles em uma política de configuração existente**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) a partir da conta de administrador delegado na região inicial.

1. No campo `Identifier`, forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja atualizar.

1. Para o objeto `SecurityControlCustomParameters`, forneça o identificador de cada controle que você deseja personalizar.

1. Para o objeto `Parameters`, forneça o nome de cada parâmetro que você deseja personalizar. Para cada parâmetro que você personalizar, forneça `CUSTOM` para `ValueType`. Em `Value`, forneça o tipo de dados do parâmetro e o valor personalizado. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual. É possível encontrar parâmetros com suporte, tipos de dados e valores válidos para um controle invocando a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html).

Por exemplo, o AWS CLI comando a seguir cria uma nova política de configuração com um valor personalizado para o `daysToExpiration` parâmetro de`ACM.1`. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```

------

## Personalização de parâmetros de controle em uma única conta e região
<a name="customize-control-parameters-local-config"></a>

Se você não usar a configuração central ou sua conta for autogerenciada, poderá personalizar os parâmetros de controles da conta em uma região de cada vez.

Escolha seu método preferido e siga as etapas para personalizar os parâmetros de controle. Suas alterações se aplicam somente à sua conta na região atual. Para personalizar os parâmetros de controle em regiões adicionais, repita as etapas a seguir em cada conta e região adicional na qual você deseja personalizar os parâmetros. O mesmo controle pode usar valores de parâmetros diferentes em regiões diferentes.

------
#### [ Security Hub CSPM console ]

**Para personalizar os valores dos parâmetros de controles em uma única conta e região (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Controles**. Na tabela, escolha um controle que ofereça suporte a parâmetros personalizados e para o qual você deseja alterar os parâmetros. A coluna **Parâmetros personalizados** indica quais controles oferecem suporte a parâmetros personalizados.

1. Na página de detalhes do controle, escolha a guia **Parâmetros** e, em seguida, selecione **Editar**.

1. Especifique os valores de parâmetros que você desejar.

1. Opcionalmente, na seção **Motivo da alteração**, selecione um motivo para personalizar os parâmetros.

1. Escolha **Salvar**.

------
#### [ Security Hub CSPM API ]

**Para personalizar os valores dos parâmetros de controles em uma única conta e região (API)**

1. Invoque a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html).

1. Em `SecurityControlId`, forneça o ID do controle que você deseja personalizar.

1. Para o objeto `Parameters`, forneça o nome de cada parâmetro que você deseja personalizar. Para cada parâmetro que você personalizar, forneça `CUSTOM` para `ValueType`. Em `Value`, forneça o tipo de dados do parâmetro e o valor personalizado. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual. É possível encontrar parâmetros com suporte, tipos de dados e valores válidos para um controle invocando a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html).

1. Opcionalmente, em `LastUpdateReason`, forneça um motivo para personalizar os parâmetros de controle.

Por exemplo, o AWS CLI comando a seguir define um valor personalizado para o `daysToExpiration` parâmetro de`ACM.1`. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```

------

# Revertendo para valores de parâmetros de controle padrão
<a name="revert-default-parameter-values"></a>

Um parâmetro de controle pode ter um valor padrão definido pelo AWS Security Hub CSPM. Ocasionalmente, o CSPM do Security Hub atualiza o valor padrão de um parâmetro para refletir a evolução das práticas recomendadas de segurança. Se você não especificou um valor personalizado para um parâmetro de controle, o controle acompanhará automaticamente essas atualizações e usará o novo valor padrão.

É possível voltar a usar valores de parâmetros padrão para um controle. As instruções para reversão dependem de você usar ou não a [configuração central](central-configuration-intro.md) no CSPM do Security Hub. A configuração central é um recurso que o administrador delegado do CSPM do Security Hub pode usar para configurar os recursos do CSPM do Security Hub em contas e unidades Regiões da AWS organizacionais (). OUs

**nota**  
Nem todos os parâmetros de controle têm um valor padrão no CSPM do Security Hub. Nesses casos, quando `ValueType` estiver definido como `DEFAULT`, não haverá um valor padrão específico usado pelo CSPM do Security Hub. Em vez disso, o CSPM do Security Hub ignorará o parâmetro na ausência de um valor personalizado.

## Para reverter os parâmetros de controles ao padrão em várias contas e regiões
<a name="revert-default-parameter-values-central-config"></a>

Se você usar a configuração central, poderá reverter os parâmetros de controle para várias contas gerenciadas centralmente e na região de origem e OUs nas regiões vinculadas.

Escolha seu método preferido e siga as etapas para voltar aos valores de parâmetros padrão em várias contas e regiões usando a configuração central.

------
#### [ Security Hub CSPM console ]

**Para reverter os parâmetros aos valores padrão em várias contas e regiões (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Escolha a guia **Políticas**.

1. Selecione uma política e escolha **Editar**. 

1. Em **Política personalizada**, a seção **Controles** mostrará uma lista de controles para os quais você especificou parâmetros personalizados.

1. Encontre o controle que tem um ou mais valores de parâmetros a serem revertidos. Em seguida, escolha **Remover** para reverter aos valores padrão.

1. Na seção **Contas**, verifique as contas às OUs quais você deseja aplicar a política.

1. Escolha **Próximo**.

1. Revise suas alterações e verifique se estão corretas. Ao terminar, escolha **Salvar política e aplicar**. Na sua região de origem e em todas as regiões vinculadas, essa ação substitui as configurações existentes das contas e OUs que estão associadas a essa política de configuração. Contas e OUs podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um pai.

------
#### [ Security Hub CSPM API ]

**Para reverter os parâmetros aos valores padrão em várias contas e regiões (API)**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) a partir da conta de administrador delegado na região inicial.

1. No campo `Identifier`, forneça o nome do recurso da Amazon (ARN) ou o ID da política que deseja atualizar.

1. Para o objeto `SecurityControlCustomParameters`, forneça o identificador de cada controle para o qual você deseja reverter um ou mais parâmetros.

1. No objeto `Parameters`, para cada parâmetro que você desejar reverter, forneça `DEFAULT` para o campo `ValueType`. Quando `ValueType` estiver definido como `DEFAULT`, você não precisará fornecer um valor para o campo `Value`. Se um valor for incluído na sua solicitação, o CSPM do Security Hub o ignorará. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual.

**Atenção**  
Se você omitir um objeto de controle do campo `SecurityControlCustomParameters`, o CSPM do Security Hub reverterá todos os parâmetros personalizados do controle para seus valores padrão. Uma lista completamente vazia para `SecurityControlCustomParameters` reverterá os parâmetros personalizados de todos os controles para seus valores padrão.

Por exemplo, o AWS CLI comando a seguir reverte o parâmetro de `daysToExpiration` controle `ACM.1` para seu valor padrão na política de configuração especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## Reverter os parâmetros de controles ao padrão em uma única conta e região
<a name="revert-default-parameter-values-local-config"></a>

Se você não usa a configuração central ou tem uma conta autogerenciada, pode reverter para o uso dos valores padrão dos parâmetros para sua conta em uma região por vez

Escolha seu método preferido e siga as etapas para voltar aos valores padrão dos parâmetros para sua conta em uma única região. Para reverter aos valores padrão dos parâmetros em regiões adicionais, repita essas etapas em cada região adicional.

**nota**  
Se você desabilitar o CSPM do Security Hub, seus parâmetros de controle personalizados serão redefinidos. Se você habilitar o CSPM do Security Hub novamente no futuro, todos os controles usarão valores de parâmetros padrão ao iniciar.

------
#### [ Security Hub CSPM console ]

**Para reverter os parâmetros de controles aos valores padrão em uma única conta e região (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Controles**. Escolha o controle que você deseja reverter para os valores padrão dos parâmetros.

1. Na guia `Parameters`, escolha **Personalizado** ao lado de um parâmetro de controle. Em seguida, escolha **Remover personalização**. Esse parâmetro agora usa o valor padrão do CSPM do Security Hub e acompanhará futuras atualizações até o valor padrão.

1. Repita a etapa anterior para cada valor de parâmetro que desejar reverter.

------
#### [ Security Hub CSPM API ]

**Para reverter os parâmetros de controles aos valores padrão em uma única conta e região (API)**

1. Invoque a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html).

1. Em `SecurityControlId`, forneça o ARN ou ID do controle cujos parâmetros você deseja reverter.

1. No objeto `Parameters`, para cada parâmetro que você desejar reverter, forneça `DEFAULT` para o campo `ValueType`. Quando `ValueType` estiver definido como `DEFAULT`, você não precisará fornecer um valor para o campo `Value`. Se um valor for incluído na sua solicitação, o CSPM do Security Hub o ignorará.

1. Opcionalmente, em `LastUpdateReason`, forneça um motivo para reverter aos valores padrão dos parâmetros.

Por exemplo, o AWS CLI comando a seguir reverte o parâmetro `daysToExpiration` de controle `ACM.1` para seu valor padrão. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------

# Verificar o status de alterações nos parâmetros de controle
<a name="parameter-update-status"></a>

Quando você tenta personalizar um parâmetro de controle ou revertê-lo ao valor padrão, pode validar se as alterações desejadas tiveram efeito. Isso ajuda a garantir que um controle funcione conforme o esperado e forneça o valor de segurança pretendido. Se a atualização de um parâmetro não obtiver êxito, o CSPM do Security Hub reterá o valor atual do parâmetro.

Para verificar se a atualização de um parâmetro obteve êxito, é possível revisar os detalhes do controle no console do CSPM do Security Hub. No console, escolha **Controles** no painel de navegação. Depois, escolha um controle para exibir seus detalhes. A guia **Parâmetros** mostra o status da alteração do parâmetro.

Programaticamente, se a sua solicitação para atualizar um parâmetro for válida, o valor do campo `UpdateStatus` será `UPDATING` em resposta à operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html). Isso significa que a atualização foi válida, mas que talvez nem as todas descobertas já incluam os valores dos parâmetros atualizados. Quando o valor de `UpdateState` muda para `READY`, o CSPM do Security Hub usa os valores atualizados dos parâmetros de controles ao executar verificações de segurança do controle. As descobertas incluem os valores atualizados dos parâmetros.

A operação `UpdateSecurityControl` retorna uma resposta `InvalidInputException` para valores de parâmetros inválidos. A resposta fornece detalhes adicionais sobre o motivo da falha. Por exemplo, pode ter sido especificado um valor que esteja fora do intervalo válido para um parâmetro. Ou talvez você tenha especificado um valor que não usa o tipo de dados correto. Envie sua solicitação novamente com informações válidas.

Se ocorrer uma falha interna ao tentar atualizar um valor de parâmetro, o Security Hub CSPM tentará novamente automaticamente se você tiver habilitado. AWS Config Para obter mais informações, consulte [Considerações antes de ativar e configurar AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

# Análise e gerenciamento das descobertas de controles do CSPM do Security Hub
<a name="securityhub-control-manage-findings"></a>

A página de detalhes do controle exibe uma lista das descobertas ativas de um controle. A lista não inclui descobertas arquivadas.

A página de detalhes do controle é compatível com a agregação entre regiões. Se você definiu uma região de agregação, o status do controle e a lista de verificações de segurança na página de detalhes do controle incluem verificações de todas as Regiões da AWS vinculadas.

A lista fornece ferramentas para filtrar e classificar as descobertas, para que você possa se concentrar primeiro nas descobertas mais urgentes. Uma descoberta pode incluir links para detalhes do recurso no console de serviço relacionado. Para controles baseados em AWS Config regras, você pode ver detalhes sobre a regra.

Você também pode usar a API CSPM do AWS Security Hub para recuperar uma lista de descobertas e detalhes da descoberta.

Para obter mais informações, consulte [Revisar os detalhes e o histórico das descobertas](securityhub-findings-viewing.md#finding-view-details-console).

Para refletir o status atual da sua investigação da descoberta de um controle, você define o status do fluxo de trabalho. Para obter mais informações, consulte [Definição do status do fluxo de trabalho das descobertas no CSPM do Security Hub](findings-workflow-status.md).

Você também pode enviar descobertas selecionadas do CSPM do Security Hub para uma ação personalizada na Amazon. EventBridge Para obter mais informações, consulte [Envio de descobertas a uma ação personalizada do CSPM do Security Hub](findings-custom-action.md).

**Topics**
+ [Filtrar e classificar descobertas de controles](control-finding-list.md)
+ [Exemplos de descobertas de controles](sample-control-findings.md)

# Filtrar e classificar descobertas de controles
<a name="control-finding-list"></a>

Selecionar um controle na página **Controles** do console CSPM do AWS Security Hub ou na página de detalhes de um padrão leva você à página de detalhes do controle.

A página de detalhes do controle mostra o título e a descrição do controle, o status geral do controle e um detalhamento das verificações de segurança do controle nas últimas 24 horas.

Use as opções **Filtrar por** ao lado da lista de verificações do controle para se concentrar rapidamente nas descobertas com um determinado [status de fluxo de trabalho](controls-overall-status.md#controls-overall-status-compliance-status) ou [status de conformidade](findings-workflow-status.md).

Além das opções **Filtrar por**, você pode usar a caixa **Adicionar filtro** para filtrar a lista de verificação por outros campos, como Conta da AWS ID ou ID do recurso.

Por padrão, as descobertas com um status de conformidade **APROVADO** são listadas primeiro. É possível alterar a classificação padrão escolhendo outra opção nos cabeçalhos das colunas.

Na página de detalhes do controle, você pode escolher **Baixar** para baixar a página atual de descobertas de controles para um arquivo .csv.

Se você filtrar a lista de descobertas, o arquivo baixado incluirá somente os controles que correspondem ao filtro. Se você selecionar descobertas específicas na lista, o download incluirá somente as descobertas selecionadas.

Para obter mais informações sobre filtragem, consulte [Filtragem de descobertas no CSPM do Security Hub](securityhub-findings-manage.md).

# Exemplos de descobertas de controles
<a name="sample-control-findings"></a>

Os exemplos a seguir fornecem exemplos de descobertas de controle CSPM do AWS Security Hub no AWS Security Finding Format (ASFF). O conteúdo das descobertas de controles varia dependendo se você habilitou as descobertas de controle consolidadas.

Se você habilitar as descobertas de controles consolidadas, o CSPM do Security Hub gerará uma única descoberta para um controle, mesmo se o controle se aplicar a vários padrões habilitados. Se você não habilitar esse recurso, o CSPM do Security Hub gerará uma descoberta de controle separada para cada padrão habilitado ao qual um controle se aplicar. Por exemplo, se você habilitar dois padrões e um controle se aplicar a ambos, você receberá duas descobertas separadas para o controle, uma para cada padrão. Se você habilitar as descobertas de controles consolidadas, receberá somente uma descoberta para o controle. Para obter mais informações, consulte [Descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).

As amostras desta página fornecem exemplos para os dois cenários. As amostras incluem: descobertas de controle para padrões individuais do CSPM do Security Hub quando as descobertas de controles consolidadas estão desabilitadas e uma descoberta de controle para vários padrões do CSPM do Security Hub quando as descobertas de controles consolidadas estão habilitadas.

**Topics**
+ [Exemplo de descoberta do padrão AWS Boundational Security Best Practices](#sample-finding-fsbp)
+ [Exemplo de descoberta para o CIS AWS Foundations Benchmark v5.0.0](#sample-finding-cis-5)
+ [Exemplo de descoberta para o CIS AWS Foundations Benchmark v3.0.0](#sample-finding-cis-3)
+ [Exemplo de descoberta para o CIS AWS Foundations Benchmark v1.4.0](#sample-finding-cis-1.4)
+ [Exemplo de descoberta para o CIS AWS Foundations Benchmark v1.2.0](#sample-finding-cis-1.2)
+ [Exemplo de descoberta para o padrão NIST SP 800-53 Revisão 5](#sample-finding-nist-800-53)
+ [Exemplo de descoberta para o padrão NIST SP 800-171 Revisão 2](#sample-finding-nist-800-171)
+ [Exemplo de descoberta para o Payment Card Industry Data Security Standard v3.2.1](#sample-finding-pcidss-v321)
+ [Amostra de descoberta para o padrão AWS Resource Tagging](#sample-finding-tagging)
+ [Amostra de descoberta para o padrão AWS Control Tower gerenciado por serviços](#sample-finding-service-managed-aws-control-tower)
+ [Exemplo de descoberta consolidada para vários padrões](#sample-finding-consolidation)

**nota**  
As descobertas de controles fazem referência a diferentes campos e valores nas regiões da China e da AWS GovCloud (US) . Para obter mais informações, consulte [Impacto da consolidação nos campos e valores do ASFF](asff-changes-consolidation.md).

## Exemplo de descoberta do padrão AWS Boundational Security Best Practices
<a name="sample-finding-fsbp"></a>

A amostra a seguir fornece um exemplo de uma descoberta de um controle que se aplica ao padrão Práticas Recomendadas de Segurança Básica da AWS (FSBP). Neste exemplo, as descobertas de controles consolidadas estão desabilitadas.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.076Z",
  "LastObservedAt": "2021-09-28T16:10:06.956Z",
  "CreatedAt": "2020-08-06T02:18:23.076Z",
  "UpdatedAt": "2021-09-28T16:10:00.093Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/aws-foundation-best-practices/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
    ]
  }
}
```

## Exemplo de descoberta para o CIS AWS Foundations Benchmark v5.0.0
<a name="sample-finding-cis-5"></a>

O exemplo a seguir fornece um exemplo de uma descoberta para um controle que se aplica ao CIS AWS Foundations Benchmark v5.0.0. Neste exemplo, as descobertas de controles consolidadas estão desabilitadas.

```
{
  "AwsAccountId": "123456789012",
  "CompanyName": "AWS",
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.7",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v5.0.0/5.1.1"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/5.0.0"
      }
    ]
  },
  "CreatedAt": "2025-10-10T17:04:00.952Z",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Product": 40,
      "Original": "MEDIUM"
    }
  },
  "FirstObservedAt": "2025-10-10T17:03:57.895Z",
  "GeneratorId": "cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
  "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
  "LastObservedAt": "2025-10-14T05:22:28.667Z",
  "ProcessedAt": "2025-10-14T05:22:50.099Z",
  "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub",
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0",
    "ControlId": "5.1.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2a99554f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
    "PreviousComplianceStatus": "FAILED"
  },
  "ProductName": "Security Hub CSPM",
  "RecordState": "ACTIVE",
  "Region": "us-west-1",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "Resources": [
    {
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-west-1",
      "Type": "AwsAccount"
    }
  ],
  "SchemaVersion": "2018-10-08",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM",
    "Product": 40
  },
  "Title": "5.1.1 EBS default encryption should be enabled",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "UpdatedAt": "2025-10-14T05:22:38.671Z",
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW"
}
```

## Exemplo de descoberta para o CIS AWS Foundations Benchmark v3.0.0
<a name="sample-finding-cis-3"></a>

O exemplo a seguir fornece um exemplo de uma descoberta para um controle que se aplica ao CIS AWS Foundations Benchmark v3.0.0. Neste exemplo, as descobertas de controles consolidadas estão desabilitadas.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2024-04-18T07:46:18.193Z",
  "LastObservedAt": "2024-04-23T07:47:01.137Z",
  "CreatedAt": "2024-04-18T07:46:18.193Z",
  "UpdatedAt": "2024-04-23T07:46:46.165Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.2.1 EBS default encryption should be enabled",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/3.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0",
    "ControlId": "2.2.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2843ed9e",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v3.0.0/2.2.1"
    ],
    "SecurityControlId": "EC2.7",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  },
  "ProcessedAt": "2024-04-23T07:47:07.088Z"
}
```

## Exemplo de descoberta para o CIS AWS Foundations Benchmark v1.4.0
<a name="sample-finding-cis-1.4"></a>

O exemplo a seguir fornece um exemplo de uma descoberta para um controle que se aplica ao CIS AWS Foundations Benchmark v1.4.0. Neste exemplo, as descobertas de controles consolidadas estão desabilitadas.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/1.4.0/3.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2022-10-21T22:14:48.913Z",
  "LastObservedAt": "2022-12-22T22:24:56.980Z",
  "CreatedAt": "2022-10-21T22:14:48.913Z",
  "UpdatedAt": "2022-12-22T22:24:52.409Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "3.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS CloudTrail is a web service that records AWS API calls for an account and makes those logs available to users and resources in accordance with IAM policies. AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and AWS KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0",
    "ControlId": "3.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-855f82d1",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/1.4.0/3.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.4.0/3.7"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## Exemplo de descoberta para o CIS AWS Foundations Benchmark v1.2.0
<a name="sample-finding-cis-1.2"></a>

O exemplo a seguir fornece um exemplo de uma descoberta para um controle que se aplica ao CIS AWS Foundations Benchmark v1.2.0. Neste exemplo, as descobertas de controles consolidadas estão desabilitadas.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2020-08-29T04:10:06.337Z",
  "LastObservedAt": "2021-09-28T16:10:05.350Z",
  "CreatedAt": "2020-08-29T04:10:06.337Z",
  "UpdatedAt": "2021-09-28T16:10:00.087Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0",
    "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0",
    "RuleId": "2.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/2.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## Exemplo de descoberta para o padrão NIST SP 800-53 Revisão 5
<a name="sample-finding-nist-800-53"></a>

A amostra a seguir fornece um exemplo de uma descoberta de um controle que se aplica ao padrão NIST SP 800-53 Revisão 5. Neste exemplo, as descobertas de controles consolidadas estão desabilitadas.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-53/v/5.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2023-02-17T14:22:46.726Z",
  "LastObservedAt": "2023-02-17T14:22:50.846Z",
  "CreatedAt": "2023-02-17T14:22:46.726Z",
  "UpdatedAt": "2023-02-17T14:22:46.726Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to fix this issue, consult the AWS Security Hub CSPM NIST 800-53 R5 documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-53/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.9/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",

      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",

      "Partition": "aws",

      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
        "NIST.800-53.r5 AU-9",
        "NIST.800-53.r5 CA-9(1)",
        "NIST.800-53.r5 CM-3(6)",
        "NIST.800-53.r5 SC-13",
        "NIST.800-53.r5 SC-28",
        "NIST.800-53.r5 SC-28(1)",
        "NIST.800-53.r5 SC-7(10)",
        "NIST.800-53.r5 SI-7(6)"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-53/v/5.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2023-02-17T14:22:53.572Z"
}
```

## Exemplo de descoberta para o padrão NIST SP 800-171 Revisão 2
<a name="sample-finding-nist-800-171"></a>

A amostra a seguir fornece um exemplo de uma descoberta de um controle que se aplica ao padrão NIST SP 800-171 Revisão 2. Neste exemplo, as descobertas de controles consolidadas estão desabilitadas.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-171/v/2.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "AwsAccountName": "TestAcct",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2025-05-29T05:23:58.690Z",
  "LastObservedAt": "2025-05-30T05:50:11.898Z",
  "CreatedAt": "2025-05-29T05:24:24.772Z",
  "UpdatedAt": "2025-05-30T05:50:34.292Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-171/v/2.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-0ab1c2d4",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/nist-800-171/v/2.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
      "Partition": "aws",
      "Region": "us-east-1",
      "Type": "AwsCloudTrailTrail"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "NIST.800-171.r2/3.3.8"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-171/v/2.0.0"
      }
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Product": 40,
      "Label": "MEDIUM",
      "Normalized": 40,
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T05:50:40.297Z"
}
```

## Exemplo de descoberta para o Payment Card Industry Data Security Standard v3.2.1
<a name="sample-finding-pcidss-v321"></a>

A amostra a seguir fornece um exemplo de uma descoberta de um controle que se aplica ao Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) v3.2.1. Neste exemplo, as descobertas de controles consolidadas estão desabilitadas.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "pci-dss/v/3.2.1/PCI.CloudTrail.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.089Z",
  "LastObservedAt": "2021-09-28T16:10:06.942Z",
  "CreatedAt": "2020-08-06T02:18:23.089Z",
  "UpdatedAt": "2021-09-28T16:10:00.090Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "PCI.CloudTrail.1 CloudTrail logs should be encrypted at rest using AWS KMS CMKs",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption by checking if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1",
    "ControlId": "PCI.CloudTrail.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/pci-dss/v/3.2.1/PCI.CloudTrail.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "PCI DSS 3.4"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/pci-dss/v/3.2.1"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
    ]
  }
}
```

## Amostra de descoberta para o padrão AWS Resource Tagging
<a name="sample-finding-tagging"></a>

A amostra a seguir fornece um exemplo de uma descoberta de um controle que se aplica ao padrão Marcação de Recursos da AWS . Neste exemplo, as descobertas de controles consolidadas estão desabilitadas.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "eu-central-1",
  "GeneratorId": "security-control/EC2.44",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-02-19T21:00:32.206Z",
  "LastObservedAt": "2024-04-29T13:01:57.861Z",
  "CreatedAt": "2024-02-19T21:00:32.206Z",
  "UpdatedAt": "2024-04-29T13:01:41.242Z",
  "Severity": {
    "Label": "LOW",
    "Normalized": 1,
    "Original": "LOW"
  },
  "Title": "EC2 subnets should be tagged",
  "Description": "This control checks whether an Amazon EC2 subnet has tags with the specific keys defined in the parameter requiredTagKeys. The control fails if the subnet doesn't have any tag keys or if it doesn't have all the keys specified in the parameter requiredTagKeys. If the parameter requiredTagKeys isn't provided, the control only checks for the existence of a tag key and fails if the subnet isn't tagged with any key. System tags, which are automatically applied and begin with aws:, are ignored.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.44/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-tagged-ec2-subnet-6ceafede",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "No tags are present.",
    "Resources:0/Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
    "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsEc2Subnet",
      "Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
      "Partition": "aws",
      "Region": "eu-central-1",
      "Details": {
        "AwsEc2Subnet": {
          "AssignIpv6AddressOnCreation": false,
          "AvailabilityZone": "eu-central-1b",
          "AvailabilityZoneId": "euc1-az3",
          "AvailableIpAddressCount": 4091,
          "CidrBlock": "10.24.34.0/23",
          "DefaultForAz": true,
          "MapPublicIpOnLaunch": true,
          "OwnerId": "123456789012",
          "State": "available",
          "SubnetArn": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
          "SubnetId": "subnet-1234567890abcdef0",
          "VpcId": "vpc-021345abcdef6789"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.44",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/aws-resource-tagging-standard/v/1.0.0"
      }
    ],
    "SecurityControlParameters": [
      {
        "Name": "requiredTagKeys",
        "Value": [
          "peepoo"
        ]
      }
    ],
            },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW",
      "Original": "LOW"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2024-04-29T13:02:03.259Z"
}
```

## Amostra de descoberta para o padrão AWS Control Tower gerenciado por serviços
<a name="sample-finding-service-managed-aws-control-tower"></a>

A amostra a seguir fornece um exemplo de uma descoberta de um controle que se aplica ao padrão gerenciado por serviço do AWS Control Tower . Neste exemplo, as descobertas de controles consolidadas estão desabilitadas.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2022-11-17T01:25:30.296Z",
  "LastObservedAt": "2022-11-17T01:25:45.805Z",
  "CreatedAt": "2022-11-17T01:25:30.296Z",
  "UpdatedAt": "2022-11-17T01:25:30.296Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CT.CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0",
    "ControlId": "CT.CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWSMacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  }
}
```

## Exemplo de descoberta consolidada para vários padrões
<a name="sample-finding-consolidation"></a>

A amostra a seguir fornece um exemplo de uma descoberta de um controle que se aplica a vários padrões habilitados. Neste exemplo, as descobertas de controles consolidadas estão habilitadas.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "security-control/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-08-09T14:57:04.521Z",
  "LastObservedAt": "2025-05-30T03:30:17.407Z",
  "CreatedAt": "2024-08-09T14:57:04.521Z",
  "UpdatedAt": "2025-05-30T03:30:32.781Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-01a2b345",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
      "Partition": "aws",
      "Region": "us-east-1",
      "Details": {
        "AwsCloudTrailTrail": {
          "HasCustomEventSelectors": false,
          "IncludeGlobalServiceEvents": true,
          "LogFileValidationEnabled": true,
          "HomeRegion": "us-east-1",
          "IsMultiRegionTrail": true,
          "S3BucketName": "cloudtrail-awslogs-do-not-delete",
          "IsOrganizationTrail": false,
          "Name": "TestTrail-DO-NOT-DELETE"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.2.0/2.7",
      "CIS AWS Foundations Benchmark v1.4.0/3.7",
      "CIS AWS Foundations Benchmark v3.0.0/3.5",
      "NIST.800-171.r2/3.3.8",
      "PCI DSS v3.2.1/3.4",
      "PCI DSS v4.0.1/10.3.2"
    ],
    "AssociatedStandards": [
      { "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"},
      { "StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"},
      { "StandardsId": "standards/nist-800-171/v/2.0.0"},
      { "StandardsId": "standards/pci-dss/v/3.2.1"},
      { "StandardsId": "standards/pci-dss/v/4.0.1"}
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T03:31:00.831Z"
}
```

# Noções básicas sobre as integrações no CSPM do Security Hub
<a name="securityhub-findings-providers"></a>

AWS O Security Hub CSPM pode ingerir descobertas de segurança de várias soluções de segurança Serviços da AWS de terceiros AWS Partner Network compatíveis. Essas integrações podem ajudá-lo a obter uma visão abrangente da segurança e da conformidade em todo o seu AWS ambiente. O Security Hub CSPM ingere descobertas de soluções integradas e as converte no AWS Security Finding Format (ASFF).

**Importante**  
Para integrações de produtos compatíveis AWS e de terceiros, o Security Hub CSPM recebe e consolida as descobertas que são geradas somente após você habilitar o CSPM do Security Hub para seu. Contas da AWS O serviço não recebe nem consolida retroativamente descobertas de segurança geradas antes de você habilitar o CSPM do Security Hub.

A página **Integrações** do console CSPM do Security Hub fornece acesso às integrações de produtos disponíveis AWS e de terceiros. A API do CSPM do Security Hub também tem operações para o gerenciamento de integrações.

Uma integração pode não estar disponível em todos Regiões da AWS. Se não houver suporte para uma integração na região na qual você fez login no console do CSPM do Security Hub, ela não será exibida na página **Integrações** do console. Para obter uma lista das integrações que estão disponíveis nas regiões da China AWS GovCloud (US) Regions, consulte[Disponibilidade de integrações por região](securityhub-regions.md#securityhub-regions-integration-support).

Além das integrações AWS service (Serviço da AWS) incorporadas de terceiros, você pode integrar produtos de segurança personalizados com o Security Hub CSPM. É possível enviar as descobertas desses produtos ao CSPM do Security Hub usando a API do CSPM do Security Hub. Também é possível usar a API para atualizar as descobertas existentes que o CSPM do Security Hub recebeu de um produto de segurança personalizado.

**Topics**
+ [Análise de uma lista de integrações do CSPM do Security Hub](securityhub-integrations-view-filter.md)
+ [Habilitação do fluxo de descobertas de uma integração do CSPM do Security Hub.](securityhub-integration-enable.md)
+ [Desabilitação do fluxo de descobertas de uma integração do CSPM do Security Hub.](securityhub-integration-disable.md)
+ [Visualização de descobertas de uma integração do CSPM do Security Hub](securityhub-integration-view-findings.md)
+ [AWS service (Serviço da AWS) integrações com o Security Hub CSPM](securityhub-internal-providers.md)
+ [Integrações de produtos de terceiros com o CSPM do Security Hub](securityhub-partner-providers.md)
+ [Integração do CSPM do Security Hub com produtos personalizados](securityhub-custom-providers.md)

# Análise de uma lista de integrações do CSPM do Security Hub
<a name="securityhub-integrations-view-filter"></a>

Escolha seu método preferido e siga as etapas para analisar uma lista de integrações no CSPM do AWS Security Hub ou detalhes sobre uma integração específica.

------
#### [ Security Hub CSPM console ]

**Para analisar as opções e os detalhes de uma integração (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação do CSPM do Security Hub, escolha **Integrações**.

Na página **Integrações**, as integrações com outros Serviços da AWS são listadas primeiro, seguidas das integrações com produtos de terceiros.

Para cada integração, a página **Integrações** fornece as seguintes informações:
+ O nome da empresa
+ O nome do produto
+ Uma descrição da integração
+ As categorias às quais a integração se aplica
+ Como habilitar a integração
+ O status atual da integração

É possível filtrar a lista inserindo o texto dos seguintes campos:
+ Company name (Nome da empresa)
+ Nome do produto
+ Descrição da integração
+ Categorias

------
#### [ Security Hub CSPM API ]

**Para analisar as opções e os detalhes de uma integração (API)**

Para obter uma lista de integrações, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html). Se você estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html)comando.

Para recuperar os detalhes de uma determinada integração de produto, use o parâmetro `ProductArn` para especificar o nome do recurso da Amazon (ARN) da integração.

Por exemplo, o AWS CLI comando a seguir recupera detalhes sobre a integração do CSPM do Security Hub com 3. CORESec

```
$ aws securityhub describe-products --product-arn "arn:aws:securityhub:us-east-1::product/3coresec/3coresec"
```

------

# Habilitação do fluxo de descobertas de uma integração do CSPM do Security Hub.
<a name="securityhub-integration-enable"></a>

Na página **Integrações** do console CSPM do AWS Security Hub, você pode ver as etapas necessárias para habilitar cada integração.

Para a maioria das integrações com outros Serviços da AWS, a única etapa necessária para habilitar a integração é habilitar o outro serviço. As informações de integração incluem um link para a página inicial do outro serviço. Quando você habilita o outro serviço, uma permissão de recurso que permite que o CSPM do Security Hub receba descobertas do serviço é automaticamente criada e aplicada.

Para integrações de produtos de terceiros, talvez seja necessário comprar a integração no e AWS Marketplace, em seguida, configurar a integração. As informações de integração fornecem links para realizar essas tarefas.

Se mais de uma versão de um produto estiver disponível AWS Marketplace, selecione a versão que você deseja assinar e escolha **Continuar assinando**. Por exemplo, alguns produtos oferecem uma versão padrão e uma AWS GovCloud (US) versão.

Quando você ativa uma integração de produtos, uma política de recursos é anexada automaticamente à assinatura desse produto. Essa política de recursos define as permissões necessárias para que o CSPM do Security Hub receba as descobertas desse produto.

Depois que você conclui todas as etapas preliminares para habilitar uma integração, pode desabilitar e reabilitar o fluxo de descobertas dessa integração. Na página **Integrações**, para integrações que enviam descobertas, a informação de **Status** indica se você está aceitando descobertas no momento.

------
#### [ Security Hub CSPM console ]

**Para habilitar o fluxo de descobertas em uma integração (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação do CSPM do Security Hub, escolha **Integrações**.

1. Para integrações que enviam descobertas, a informação de **Status** indica se o CSPM do Security Hub está aceitando descobertas da integração no momento.

1. Escolha **Aceitar descobertas**.

------
#### [ Security Hub CSPM API ]

Use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html). Se você estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html)comando. Para habilitar que o Security Hub receba descobertas de uma integração, você precisa do ARN do produto. Para obter as ARNs integrações disponíveis, use a [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html)operação. Se você estiver usando o. AWS CLI, execute [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html)o.

Por exemplo, o AWS CLI comando a seguir permite que o Security Hub CSPM receba descobertas da integração com o CrowdStrike Falcon. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub enable-import-findings-for product --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"
```

------

# Desabilitação do fluxo de descobertas de uma integração do CSPM do Security Hub.
<a name="securityhub-integration-disable"></a>

Escolha seu método preferido e siga as etapas para desativar o fluxo de descobertas de uma integração CSPM do AWS Security Hub.

------
#### [ Security Hub CSPM console ]

**Para desabilitar o fluxo de descobertas de uma integração (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação do CSPM do Security Hub, escolha **Integrações**.

1. Para integrações que enviam descobertas, a informação de **Status** indica se o CSPM do Security Hub está aceitando descobertas da integração no momento.

1. Escolha **Parar de aceitar descobertas**.

------
#### [ Security Hub CSPM API ]

Use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html). Se você estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html)comando. Para desabilitar o fluxo de descobertas de uma integração, você precisa do ARN da assinatura da integração habilitada. Para obter o ARN da assinatura, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html). Se você estiver usando o. AWS CLI, execute [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html)o.

Por exemplo, o AWS CLI comando a seguir desativa o fluxo de descobertas para o Security Hub CSPM a partir da integração com o CrowdStrike Falcon. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub disable-import-findings-for-product --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"
```

------

# Visualização de descobertas de uma integração do CSPM do Security Hub
<a name="securityhub-integration-view-findings"></a>

**Quando você começa a aceitar descobertas de uma integração CSPM do AWS Security Hub, a página **Integrações** do console CSPM do Security Hub exibe o **Status** da integração como Aceitando descobertas.** Para analisar uma lista de descobertas da integração, escolha **Ver descobertas**.

A lista de descobertas mostra as descobertas ativas para a integração selecionada que têm um status de fluxo de trabalho de `NEW` ou `NOTIFIED`.

Se você habilitar a agregação entre regiões, na região de agregação, a lista incluirá descobertas da região de agregação e de regiões vinculadas nas quais a integração está habilitada. O Security Hub não habilita automaticamente as integrações com base na configuração de agregação entre regiões.

Em outras regiões, a lista de descobertas de uma integração contém somente descobertas da região atual.

Para obter informações sobre como configurar a agregação entre regiões, consulte. [Noções básicas sobre a agregação entre regiões no CSPM do Security Hub](finding-aggregation.md)

Na lista de descobertas, é possível executar as ações a seguir.
+ [Alterar os filtros e o agrupamento da lista](securityhub-findings-manage.md)
+ [Visualizar detalhes de descobertas individuais](securityhub-findings-viewing.md#finding-view-details-console)
+ [Atualizar o status do fluxo de trabalho das descobertas](findings-workflow-status.md)
+ [Enviar descobertas para ações personalizadas](findings-custom-action.md)

# AWS service (Serviço da AWS) integrações com o Security Hub CSPM
<a name="securityhub-internal-providers"></a>

AWS O Security Hub CSPM suporta integrações com vários outros. Serviços da AWS Essas integrações podem ajudar você a obter uma visão abrangente da segurança e da conformidade em todo o seu ambiente da AWS .

Salvo indicação em contrário abaixo, AWS service (Serviço da AWS) as integrações que enviam descobertas para o CSPM do Security Hub são ativadas automaticamente após você habilitar o CSPM do Security Hub e o outro serviço. As integrações que recebem as descobertas do CSPM do Security Hub podem exigir etapas adicionais para ativação. Analise as informações sobre cada integração para saber mais.

Algumas integrações não estão disponíveis em todas Regiões da AWS. No console do CSPM do Security Hub, uma integração não será exibida na página **Integrações** caso não haja suporte para ela na região atual. Para obter uma lista das integrações que estão disponíveis nas regiões da China AWS GovCloud (US) Regions, consulte[Disponibilidade de integrações por região](securityhub-regions.md#securityhub-regions-integration-support).

## Visão geral das integrações de AWS serviços com o Security Hub CSPM
<a name="internal-integrations-summary"></a>

A tabela a seguir fornece uma visão geral dos AWS serviços que enviam descobertas para o Security Hub CSPM ou recebem descobertas do Security Hub CSPM.


|  AWS Serviço integrado | Direction | 
| --- | --- | 
|  [AWS Config](#integration-config)  |  Envia descobertas  | 
|  [AWS Firewall Manager](#integration-aws-firewall-manager)  |  Envia descobertas  | 
|  [Amazon GuardDuty](#integration-amazon-guardduty)  |  Envia descobertas  | 
|  [AWS Health](#integration-health)  |  Envia descobertas  | 
|  [AWS Identity and Access Management Access Analyzer](#integration-iam-access-analyzer)  |  Envia descobertas  | 
|  [Amazon Inspector](#integration-amazon-inspector)  |  Envia descobertas  | 
|  [AWS IoT Device Defender](#integration-iot-device-defender)  |  Envia descobertas  | 
|  [Amazon Macie](#integration-amazon-macie)  |  Envia descobertas  | 
|  [Amazon Route 53 Resolver Firewall DNS](#integration-amazon-r53rdnsfirewall)  |  Envia descobertas  | 
|  [AWS Systems Manager Patch Manager](#patch-manager)  |  Envia descobertas  | 
|  [AWS Audit Manager](#integration-aws-audit-manager)  |  Recebe descobertas  | 
|  [Amazon Q Developer em aplicações de chat](#integration-chatbot)  |  Recebe descobertas  | 
|  [Amazon Detective](#integration-amazon-detective)  |  Recebe descobertas  | 
|  [Amazon Security Lake](#integration-security-lake)  |  Recebe descobertas  | 
|  [AWS Systems Manager Explorer e OpsCenter](#integration-ssm-explorer-opscenter)  |  Recebe e atualiza as descobertas  | 
|  [AWS Trusted Advisor](#integration-trusted-advisor)  |  Recebe descobertas  | 

## Serviços da AWS que enviam descobertas para o Security Hub CSPM
<a name="integrations-internal-send"></a>

Os itens a seguir Serviços da AWS se integram e podem enviar descobertas para o CSPM do Security Hub. O CSPM do Security Hub converte as descobertas para o [Formato de descoberta de segurança da AWS](securityhub-findings-format.md).

### AWS Config (Envia descobertas)
<a name="integration-config"></a>

AWS Config é um serviço que permite avaliar, auditar e avaliar as configurações de seus AWS recursos. AWS Config monitora e registra continuamente suas configurações de AWS recursos e permite automatizar a avaliação das configurações gravadas em relação às configurações desejadas.

Ao usar a integração com AWS Config, você pode ver os resultados das avaliações de regras AWS Config gerenciadas e personalizadas como descobertas no CSPM do Security Hub. Essas descobertas podem ser visualizadas com outras descobertas do CSPM do Security Hub, fornecendo uma visão geral abrangente de sua postura de segurança.

AWS Config usa EventBridge a Amazon para enviar avaliações de AWS Config regras para o Security Hub CSPM. O CSPM do Security Hub transforma as avaliações de regras em descobertas que seguem o [Formato de descoberta de segurança da AWS](securityhub-findings-format.md). Em seguida, o CSPM do Security Hub enriquece as descobertas o máximo possível, obtendo mais informações sobre os recursos afetados, como o nome do recurso da Amazon (ARN), as tags de recursos e a data de criação.

Para mais informações sobre esta integração, consulte as seções a seguir.

#### Como AWS Config envia descobertas para o Security Hub CSPM
<a name="integration-config-how"></a>

Todas as descobertas no CSPM do Security Hub usam o formato padrão JSON do ASFF. O ASFF inclui detalhes sobre a origem da descoberta, o recurso afetado e o status atual da descoberta. AWS Config envia avaliações de regras gerenciadas e personalizadas para o CSPM do Security Hub por meio de. EventBridge O CSPM do Security Hub transforma as avaliações de regras em descobertas que seguem o ASFF e enriquece as descobertas com base no melhor esforço.

##### Tipos de descobertas AWS Config enviadas ao CSPM do Security Hub
<a name="integration-config-how-types"></a>

Depois que a integração for ativada, AWS Config envia avaliações de todas as regras AWS Config gerenciadas e personalizadas para o Security Hub CSPM. Apenas as avaliações realizadas após a habilitação do CSPM do Security Hub são enviadas. Por exemplo, suponha que uma avaliação de regra do AWS Config revele cinco recursos reprovados. Se você habilitar o CSPM do Security Hub depois dessa avaliação e a regra revelar um sexto recurso com falha, o AWS Config enviará apenas a sexta avaliação do recurso para o CSPM do Security Hub.

As avaliações de [AWS Config regras vinculadas a serviços](securityhub-setup-prereqs.md), como aquelas usadas para executar verificações dos controles CSPM do Security Hub, estão excluídas. A exceção são as descobertas geradas por regras vinculadas a serviços que AWS Control Tower criam e gerenciam em. AWS Config Incluir descobertas nessas regras ajuda a garantir que seus dados de descobertas incluam os resultados das verificações proativas realizadas por AWS Control Tower.

##### Enviando AWS Config descobertas para o Security Hub CSPM
<a name="integration-config-how-types-send-findings"></a>

Quando a integração for ativada, o CSPM do Security Hub atribuirá automaticamente as permissões necessárias para receber as descobertas do AWS Config. O Security Hub CSPM usa permissões de service-to-service nível que fornecem uma maneira segura de ativar essa integração e importar descobertas via AWS Config Amazon. EventBridge

##### Latência para enviar descobertas
<a name="integration-config-how-types-latency"></a>

Quando AWS Config cria uma nova descoberta, geralmente você pode visualizá-la no CSPM do Security Hub em cinco minutos.

##### Nova tentativa quando o CSPM do Security Hub não está disponível
<a name="integration-config-how-types-retrying"></a>

AWS Config envia as descobertas para o Security Hub CSPM com base no melhor esforço, por meio de. EventBridge Quando um evento não é entregue com sucesso ao CSPM do Security Hub, EventBridge repita a entrega por até 24 horas ou 185 vezes, o que ocorrer primeiro.

##### Atualizando as AWS Config descobertas existentes no Security Hub CSPM
<a name="integration-config-how-types-updating"></a>

Depois de AWS Config enviar uma descoberta para o Security Hub CSPM, ele pode enviar atualizações da mesma descoberta para o Security Hub CSPM para refletir observações adicionais da atividade de descoberta. As atualizações são enviadas somente para eventos `ComplianceChangeNotification`. Se nenhuma alteração de conformidade ocorrer, as atualizações não serão enviadas para o CSPM do Security Hub. O CSPM do Security Hub exclui as descobertas 90 dias após a atualização mais recente ou 90 dias após a criação, se nenhuma atualização ocorrer.

O Security Hub CSPM não arquiva as descobertas enviadas, AWS Config mesmo que você exclua o recurso associado.

##### Regiões nas quais existem AWS Config descobertas
<a name="integration-config-how-types-regions"></a>

AWS Config as descobertas ocorrem em uma base regional. AWS Config envia as descobertas para o Security Hub CSPM na mesma região ou regiões em que as descobertas ocorrem.

### Visualizando AWS Config descobertas no Security Hub CSPM
<a name="integration-config-view"></a>

**Para visualizar suas AWS Config descobertas, escolha Findings no painel de navegação CSPM do Security Hub.** Para filtrar as descobertas para exibir somente AWS Config as descobertas, escolha **Nome do produto** no menu suspenso da barra de pesquisa. Insira **Config** e escolha **Aplicar**.

#### Interpretando nomes de AWS Config busca no CSPM do Security Hub
<a name="integration-config-view-interpret-finding-names"></a>

O Security Hub CSPM transforma as avaliações de AWS Config regras em descobertas que seguem o. [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md) AWS Config as avaliações de regras usam um padrão de eventos diferente em comparação com o ASFF. A tabela a seguir mapeia os campos de avaliação da regra AWS Config com o equivalente do ASFF, conforme aparecem no CSPM do Security Hub.


| Tipo de descoberta da avaliação da regra de configuração | Tipo de descoberta do ASFF | Valor codificado | 
| --- | --- | --- | 
| detalhe. awsAccountId | AwsAccountId |   | 
| detalhe. newEvaluationResult. resultRecordedTime | CreatedAt |   | 
| detalhe. newEvaluationResult. resultRecordedTime | UpdatedAt |   | 
|  | ProductArn | <partition><region>“arn:: hub de segurança:::” product/aws/config | 
|  | ProductName | “Config” | 
|  | CompanyName | "AWS" | 
|  | Região | “eu-central-1” | 
| configRuleArn | GeneratorId, ProductFields |  | 
| detalhe. ConfigRuleARN/finding/hash | Id |  | 
| detalhe. configRuleName | Título, ProductFields |  | 
| detalhe. configRuleName | Description | “Essa descoberta foi criada para uma alteração de conformidade de recurso para a regra de configuração: \$1\$1detail.ConfigRuleName\$1” | 
| Item de configuração “ARN” ou ARN computado do CSPM do Security Hub | Resources[i].id |  | 
| detail.resourceType | Resources[i].Type | "AwsS3Bucket" | 
|  | Resources[i].Partition | "aws" | 
|  | Resources[i].Region | “eu-central-1” | 
| Item de configuração “configuração” | Resources[i].Details |  | 
|  | SchemaVersion | "2018-10-08" | 
|  | Severity.Label | Consulte “Interpretar o rótulo de gravidade” abaixo | 
|  | Tipos | [“Verificações de Software e Configuração”] | 
| detalhe. newEvaluationResult. Tipo de conformidade | Compliance.Status | "REPROVADO", "NÃO\$1DISPONÍVEL", "APROVADO", ou "AVISO" | 
|  | Workflow.Status | “RESOLVIDO” se uma AWS Config descoberta for gerada com um status de conformidade de “APROVADO” ou se o status de conformidade mudar de “FALHOU” para “APROVADO”. Caso contrário, o Workflow.Status será “NOVO”. Você pode alterar esse valor com a operação [BatchUpdateFindings](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)da API. | 

#### Interpretar o rótulo de gravidade
<a name="integration-config-view-interpret-severity"></a>

Todas as descobertas das avaliações de AWS Config regras têm um rótulo de severidade padrão de **MEDIUM** no ASFF. É possível atualizar o rótulo de gravidade de uma descoberta com a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) da API.

#### Descoberta típica de AWS Config
<a name="integration-config-view-typical-finding"></a>

O Security Hub CSPM transforma avaliações de AWS Config regras em descobertas que seguem o ASFF. A seguir está um exemplo de uma descoberta típica AWS Config do ASFF.

**nota**  
Se a descrição tiver mais de 1.024 caracteres, ela será truncada para 1.024 caracteres e dirá “(truncada)” no final.

```
{
	"SchemaVersion": "2018-10-08",
	"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
	"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
	"ProductName": "Config",
	"CompanyName": "AWS",
	"Region": "eu-central-1",
	"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
	"AwsAccountId": "123456789012",
	"Types": [
		"Software and Configuration Checks"
	],
	"CreatedAt": "2022-04-15T05:00:37.181Z",
	"UpdatedAt": "2022-04-19T21:20:15.056Z",
	"Severity": {
		"Label": "MEDIUM",
		"Normalized": 40
	},
	"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
	"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
	"ProductFields": {
		"aws/securityhub/ProductName": "Config",
		"aws/securityhub/CompanyName": "AWS",
		"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
		"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
		"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
		"aws/config/ConfigComplianceType": "NON_COMPLIANT"
	},
	"Resources": [{
		"Type": "AwsS3Bucket",
		"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
		"Partition": "aws",
		"Region": "eu-central-1",
		"Details": {
			"AwsS3Bucket": {
				"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
				"CreatedAt": "2022-04-15T04:32:53.000Z"
			}
		}
	}],
	"Compliance": {
		"Status": "FAILED"
	},
	"WorkflowState": "NEW",
	"Workflow": {
		"Status": "NEW"
	},
	"RecordState": "ACTIVE",
	"FindingProviderFields": {
		"Severity": {
			"Label": "MEDIUM"
		},
		"Types": [
			"Software and Configuration Checks"
		]
	}
}
```

### Habilitar e configurar a integração
<a name="integration-config-enable"></a>

Depois de habilitar o CSPM do Security Hub, essa integração é ativada automaticamente. O AWS Config começa imediatamente a enviar descobertas ao CSPM do Security Hub.

### Interrupção da publicação de descobertas no CSPM do Security Hub
<a name="integration-config-stop"></a>

Para interromper o envio de descobertas ao CSPM do Security Hub, é possível usar o console ou a API do CSPM do Security Hub.

Para obter instruções para interromper o fluxo de descobertas, consulte [Habilitação do fluxo de descobertas de uma integração do CSPM do Security Hub.](securityhub-integration-enable.md).

### AWS Firewall Manager (Envia descobertas)
<a name="integration-aws-firewall-manager"></a>

O Firewall Manager envia descobertas para o CSPM do Security Hub quando uma política de firewall de aplicação da Web (WAF) para recursos ou uma regra de lista de controle de acesso da Web (ACL da Web) não está em conformidade. O Firewall Manager também envia descobertas quando não AWS Shield Advanced está protegendo recursos ou quando um ataque é identificado.

Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O Firewall Manager começa imediatamente a enviar descobertas ao CSPM do Security Hub.

Para saber mais sobre a integração, veja a página **Integrações** no console do CSPM do Security Hub.

Para saber mais sobre o Firewall Manager, consulte [https://docs.aws.amazon.com/waf/latest/developerguide/](https://docs.aws.amazon.com/waf/latest/developerguide/).

### Amazon GuardDuty (envia descobertas)
<a name="integration-amazon-guardduty"></a>

GuardDuty envia todos os tipos de descoberta que ele gera para o CSPM do Security Hub. Alguns tipos de descoberta têm pré-requisitos, requisitos de habilitação ou limitações regionais. Para obter mais informações, consulte [GuardDuty encontrar tipos](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) no *Guia do GuardDuty usuário da Amazon*.

As novas descobertas GuardDuty são enviadas ao Security Hub CSPM em cinco minutos. As atualizações das descobertas são enviadas com base na configuração de **descobertas atualizadas** da Amazon EventBridge nas GuardDuty configurações.

Quando você gera GuardDuty amostras de descobertas usando a página GuardDuty **Configurações**, o Security Hub CSPM recebe as descobertas de amostra e omite o prefixo `[Sample]` no tipo de descoberta. Por exemplo, o exemplo de tipo de descoberta em GuardDuty `[SAMPLE] Recon:IAMUser/ResourcePermissions` é exibido como `Recon:IAMUser/ResourcePermissions` no CSPM do Security Hub.

Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O GuardDuty começa imediatamente a enviar descobertas ao CSPM do Security Hub.

Para obter mais informações sobre a GuardDuty integração, consulte [Integração com o AWS Security Hub CSPM](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) no Guia do usuário da *Amazon GuardDuty *.

### AWS Health (Envia descobertas)
<a name="integration-health"></a>

AWS Health fornece visibilidade contínua do desempenho de seus recursos e da disponibilidade de seu Serviços da AWS Contas da AWS e. É possível usar eventos do AWS Health para saber como as mudanças de serviços e recursos podem afetar seus aplicativos executados no AWS.

A integração com AWS Health não usa`BatchImportFindings`. Em vez disso, AWS Health usa mensagens de service-to-service eventos para enviar descobertas ao CSPM do Security Hub.

Para mais informações sobre a integração, consulte as seções a seguir.

#### Como AWS Health envia descobertas para o Security Hub CSPM
<a name="integration-health-how"></a>

No CSPM do Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas vêm de problemas detectados por outros AWS serviços ou por parceiros terceirizados. O CSPM do Security Hub também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.

O CSPM do Security Hub fornece ferramentas para gerenciar descobertas em todas essas origens. É possível exibir e filtrar listas de descobertas e exibir detalhes de uma descoberta. Consulte [Análise de detalhes e históricos de descobertas no CSPM do Security Hub](securityhub-findings-viewing.md). Também é possível rastrear o status de uma investigação em uma descoberta. Consulte [Definição do status do fluxo de trabalho das descobertas no CSPM do Security Hub](findings-workflow-status.md).

Todas as descobertas no CSPM do Security Hub usam um formato JSON padrão chamado [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md). O ASFF inclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta.

AWS Health é um dos AWS serviços que envia descobertas para o Security Hub CSPM.

##### Tipos de descobertas AWS Health enviadas ao CSPM do Security Hub
<a name="integration-health-how-types"></a>

Depois que a integração for habilitada, AWS Health envia as descobertas que atendem a uma ou mais das especificações listadas para o Security Hub CSPM. O CSPM do Security Hub ingere as descobertas no [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).
+ Descobertas que contêm algum dos seguintes valores para AWS service (Serviço da AWS):
  + `RISK`
  + `ABUSE`
  + `ACM`
  + `CLOUDHSM`
  + `CLOUDTRAIL`
  + `CONFIG`
  + `CONTROLTOWER`
  + `DETECTIVE`
  + `EVENTS`
  + `GUARDDUTY`
  + `IAM`
  + `INSPECTOR`
  + `KMS`
  + `MACIE`
  + `SES`
  + `SECURITYHUB`
  + `SHIELD`
  + `SSO`
  + `COGNITO`
  + `IOTDEVICEDEFENDER`
  + `NETWORKFIREWALL`
  + `ROUTE53`
  + `WAF`
  + `FIREWALLMANAGER`
  + `SECRETSMANAGER`
  + `BACKUP`
  + `AUDITMANAGER`
  + `ARTIFACT`
  + `CLOUDENDURE`
  + `CODEGURU`
  + `ORGANIZATIONS`
  + `DIRECTORYSERVICE`
  + `RESOURCEMANAGER`
  + `CLOUDWATCH`
  + `DRS`
  + `INSPECTOR2`
  + `RESILIENCEHUB`
+ Descobertas com as palavras `security``abuse`, ou `certificate` no AWS Health `typeCode` campo
+ Descobertas de onde o AWS Health serviço está `risk` ou `abuse`

##### Enviando AWS Health descobertas para o Security Hub CSPM
<a name="integration-health-how-types-send-findings"></a>

Quando você optar por aceitar as descobertas do AWS Health, o Security Hub CSPM atribuirá automaticamente as permissões necessárias para receber as descobertas. AWS Health O Security Hub CSPM usa permissões de service-to-service nível que fornecem uma maneira segura e fácil de habilitar essa integração e importar descobertas via AWS Health Amazon EventBridge em seu nome. Escolher **Aceitar descobertas** concede ao CSPM do Security Hub permissão para consumir descobertas do AWS Health.

##### Latência para enviar descobertas
<a name="integration-health-how-types-latency"></a>

Quando AWS Health cria uma nova descoberta, ela geralmente é enviada ao CSPM do Security Hub em cinco minutos.

##### Nova tentativa quando o CSPM do Security Hub não está disponível
<a name="integration-health-how-types-retrying"></a>

AWS Health envia as descobertas para o Security Hub CSPM com base no melhor esforço, por meio de. EventBridge Quando um evento não é entregue com sucesso ao CSPM do Security Hub, EventBridge tenta enviar o evento novamente por 24 horas.

##### Atualização das descobertas existentes no CSPM do Security Hub
<a name="integration-health-how-types-updating"></a>

Depois de AWS Health enviar uma descoberta para o CSPM do Security Hub, ele pode enviar atualizações para a mesma descoberta para refletir observações adicionais da atividade de descoberta para o CSPM do Security Hub. 

##### Regiões nas quais existem descobertas
<a name="integration-health-how-types-regions"></a>

Para eventos globais, AWS Health envia as descobertas para o Security Hub CSPM em us-east-1 (partição AWS ), cn-northwest-1 (partição da China) e -1 (partição). gov-us-west GovCloud AWS Health envia eventos específicos da região para o CSPM do Security Hub na mesma região ou regiões em que os eventos ocorrem.

#### Visualizando AWS Health descobertas no Security Hub CSPM
<a name="integration-health-view"></a>

Para ver suas AWS Health descobertas no Security Hub CSPM, escolha **Descobertas** no painel de navegação. Para filtrar as descobertas para exibir somente AWS Health as descobertas, escolha **Health** no campo **Nome do produto**.

##### Interpretando nomes de AWS Health busca no CSPM do Security Hub
<a name="integration-health-view-interpret-finding-names"></a>

AWS Health envia as descobertas para o Security Hub CSPM usando o. [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md) AWS Health a descoberta usa um padrão de evento diferente em comparação com o formato CSPM ASFF do Security Hub. A tabela abaixo detalha todos os campos de AWS Health descoberta com seus equivalentes do ASFF conforme eles aparecem no CSPM do Security Hub.


| Tipo de descoberta de saúde | Tipo de descoberta do ASFF | Valor codificado | 
| --- | --- | --- | 
| account | AwsAccountId |   | 
| detail.startTime | CreatedAt |   | 
| detail.eventDescription.latestDescription | Description |   | 
| detalhe. eventTypeCode | GeneratorId |   | 
| Detail.eventArn (incluindo account) \$1 hash de detail.startTime | Id |   | 
| <region>“arn: aws: hub de segurança:::” product/aws/health | ProductArn |   | 
| account ou resourceID | Resources[i].id |   | 
|   | Resources[i].Type | “Outros” | 
|   | SchemaVersion | "2018-10-08" | 
|   | Severity.Label | Consulte “Interpretar o rótulo de gravidade” abaixo | 
| Detalhe “AWS Health -”. eventTypeCode | Título |   | 
| - | Tipos | [“Verificações de Software e Configuração”] | 
| event.time | UpdatedAt |   | 
| URL do evento no console de Saúde | SourceUrl |   | 

##### Interpretar o rótulo de gravidade
<a name="integration-health-view-interpret-severity"></a>

O rótulo de gravidade na descoberta do ASFF é determinado usando a seguinte lógica:
+ Gravidade **CRÍTICA** se:
  + O campo `service` na descoberta AWS Health tiver o valor de `Risk`
  + O campo `typeCode` na descoberta AWS Health tiver o valor de `AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION`
  + O campo `typeCode` na descoberta AWS Health tiver o valor de `AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK`
  + O campo `typeCode` na descoberta AWS Health tiver o valor de `AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES`

  Gravidade **ALTA** se:
  + O campo `service` na descoberta AWS Health tiver o valor de `Abuse`
  + O campo `typeCode` na descoberta AWS Health contiver o valor de `SECURITY_NOTIFICATION`
  + O campo `typeCode` na descoberta AWS Health contiver o valor de `ABUSE_DETECTION`

  Gravidade **MÉDIA** se:
  + O campo `service` na descoberta for qualquer um dos seguintes: `ACM`, `ARTIFACT`, `AUDITMANAGER`, `BACKUP`,`CLOUDENDURE`, `CLOUDHSM`, `CLOUDTRAIL`, `CLOUDWATCH`, `CODEGURGU`, `COGNITO`, `CONFIG`, `CONTROLTOWER`, `DETECTIVE`, `DIRECTORYSERVICE`, `DRS`, `EVENTS`, `FIREWALLMANAGER`, `GUARDDUTY`, `IAM`, `INSPECTOR`, `INSPECTOR2`, `IOTDEVICEDEFENDER`, `KMS`, `MACIE`, `NETWORKFIREWALL`, `ORGANIZATIONS`, `RESILIENCEHUB`, `RESOURCEMANAGER`, `ROUTE53`, `SECURITYHUB`, `SECRETSMANAGER`, `SES`, `SHIELD`, `SSO`, or `WAF`
  + O campo **typeCode** na descoberta AWS Health contiver o valor de `CERTIFICATE`
  + O campo **typeCode** na descoberta AWS Health contiver o valor de `END_OF_SUPPORT`

##### Descoberta típica de AWS Health
<a name="integration-health-view-typical-finding"></a>

AWS Health envia descobertas para o Security Hub CSPM usando o. [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md) A seguir está um exemplo de uma descoberta típica de AWS Health.

**nota**  
Se a descrição tiver mais de 1024 caracteres, ela será truncada para 1024 caracteres e dirá *(truncada)* ao final.

```
{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}
```

#### Habilitar e configurar a integração
<a name="integration-health-enable"></a>

Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O AWS Health começa imediatamente a enviar descobertas ao CSPM do Security Hub.

#### Interrupção da publicação de descobertas no CSPM do Security Hub
<a name="integration-health-stop"></a>

Para interromper o envio de descobertas ao CSPM do Security Hub, é possível usar o console ou a API do CSPM do Security Hub.

Para obter instruções para interromper o fluxo de descobertas, consulte [Habilitação do fluxo de descobertas de uma integração do CSPM do Security Hub.](securityhub-integration-enable.md).

### AWS Identity and Access Management Access Analyzer (Envia descobertas)
<a name="integration-iam-access-analyzer"></a>

Com o IAM Access Analyzer, todas as descobertas são enviadas ao CSPM do Security Hub.

O IAM Access Analyzer usa raciocínio baseado em lógica para analisar políticas baseadas em recursos aplicadas a recursos compatíveis em sua conta. O IAM Access Analyzer gera uma descoberta quando detecta uma instrução de política que permite que uma entidade principal externa acesse um recurso em sua conta.

No IAM Access Analyzer, apenas a conta do administrador pode ver as descobertas dos analisadores que se aplicam a uma organização. Para analisadores da organização, o campo do ASFF `AwsAccountId` reflete o ID da conta do administrador. Em `ProductFields`, o campo `ResourceOwnerAccount` indica a conta onde a descoberta foi encontrada Se você habilitar analisadores individualmente para cada conta, o CSPM do Security Hub gerará várias descobertas, uma que identifica o ID da conta do administrador e outra que identifica o ID da conta do recurso. 

Para obter mais informações, consulte [Integração com o CSPM do AWS Security Hub](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html) no Guia do *usuário do IAM*.

### Amazon Inspector (envia descobertas)
<a name="integration-amazon-inspector"></a>

O Amazon Inspector é um serviço de gerenciamento de vulnerabilidade que verifica continuamente suas worloads AWS em busca de vulnerabilidades. O Amazon Inspector descobre e escaneia automaticamente instâncias do Amazon EC2 e imagens de contêiner que residem no Amazon Elastic Container Registry. O escaneamento busca vulnerabilidades de software e exposição não intencional da rede.

Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O Amazon Inspector começa imediatamente a enviar todas as descobertas geradas para o CSPM do Security Hub.

Para obter mais informações sobre a integração, consulte [Integração com o CSPM do AWS Security Hub](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html) no *Guia do usuário do Amazon Inspector*.

O CSPM do Security Hub também pode receber descobertas do Amazon Inspector Classic. O Amazon Inspector Classic envia descobertas ao CSPM do Security Hub que são geradas por meio de execuções de avaliações para todos os pacotes de regras com suporte.

Para obter mais informações sobre a integração, consulte [Integração com o AWS Security Hub CSPM](https://docs.aws.amazon.com/inspector/latest/userguide/securityhub-integration.html) no Guia do usuário do *Amazon Inspector Classic*.

As descobertas do Amazon Inspector e do Amazon Inspector Classic usam o mesmo ARN do produto. As descobertas do Amazon Inspector têm a seguinte entrada em `ProductFields`: 

```
"aws/inspector/ProductVersion": "2",
```

**nota**  
 As descobertas de segurança geradas por [Segurança de Código do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html) não estão disponíveis para essa integração. No entanto, você pode acessar essas descobertas específicas no console do Amazon Inspector e por meio da API do [Amazon Inspector](https://docs.aws.amazon.com/inspector/v2/APIReference/Welcome.html). 

### AWS IoT Device Defender (Envia descobertas)
<a name="integration-iot-device-defender"></a>

AWS IoT Device Defender é um serviço de segurança que audita a configuração de seus dispositivos de IoT, monitora dispositivos conectados para detectar comportamentos anormais e ajuda a reduzir os riscos de segurança.

Depois de habilitar ambos AWS IoT Device Defender e o CSPM do Security Hub, visite a [página Integrações do console do Security Hub CSPM](https://console.aws.amazon.com/securityhub/home#/integrations) e escolha **Aceitar descobertas** para Auditoria, Detecção ou ambos. AWS IoT Device Defender O Audit and Detect começa a enviar todas as descobertas para o Security Hub CSPM.

AWS IoT Device Defender A auditoria envia resumos de verificação para o Security Hub CSPM, que contêm informações gerais para um tipo específico de verificação de auditoria e tarefa de auditoria. AWS IoT Device Defender O Detect envia descobertas de violações para comportamentos de aprendizado de máquina (ML), estatísticos e estáticos para o Security Hub CSPM. Auditar também envia atualizações de descoberta para o CSPM do Security Hub.

Para obter mais informações sobre a integração, consulte [Integração com o CSPM do AWS Security Hub](https://docs.aws.amazon.com/iot/latest/developerguide/securityhub-integration.html) no *Guia do desenvolvedor do AWS IoT *.

### Amazon Macie (envia descobertas)
<a name="integration-amazon-macie"></a>

O Amazon Macie é um serviço de segurança de dados que descobre dados sigilosos usando machine learning e correspondência de padrões, fornece visibilidade dos riscos de segurança de dados e permite proteção automatizada contra esses riscos. Uma descoberta do Macie pode indicar que existe uma possível violação de política ou dados sensíveis em seu patrimônio de dados do Amazon S3.

Depois do CSPM do Security Hub ser habilitado, o Macie começará automaticamente a enviar as descobertas da política para o CSPM do Security Hub. A integração pode ser configurada para também enviar descobertas de dados sensíveis ao CSPM do Security Hub.

No CSPM do Security Hub, o tipo de descoberta de uma política ou de dados sensíveis é alterado para um valor compatível com o ASFF. Por exemplo, o tipo de descoberta `Policy:IAMUser/S3BucketPublic` no Macie é exibido como `Effects/Data Exposure/Policy:IAMUser-S3BucketPublic` no CSPM do Security Hub.

O Macie também envia descobertas de amostras geradas pelo CSPM do Security Hub. Para exemplos de descobertas, o nome do recurso afetado é `macie-sample-finding-bucket` e o valor do campo `Sample` é`true`.

Para obter mais informações, consulte [Avaliação das descobertas do Macie com o Security Hub](https://docs.aws.amazon.com/macie/latest/user/securityhub-integration.html) no *Guia do usuário do Amazon Macie*.

### Amazon Route 53 Resolver Firewall DNS (envia descobertas)
<a name="integration-amazon-r53rdnsfirewall"></a>

Com o Amazon Route 53 Resolver DNS Firewall, você pode filtrar e regular o tráfego DNS de saída para sua nuvem privada virtual (VPC). Você faz isso criando coleções reutilizáveis de regras de filtragem em grupos de regras do Firewall de DNS, associando os grupos de regras à sua VPC e, em seguida, monitorando a atividade em logs e métricas do Firewall de DNS. Com base na atividade, é possível ajustar o comportamento do Firewall de DNS. O Firewall de DNS é um atributo do Route 53 Resolver.

O firewall de DNS do Route 53 Resolver pode enviar vários tipos de descobertas para o CSPM do Security Hub:
+ Descobertas relacionadas a consultas bloqueadas ou alertadas para domínios associados às listas de domínios AWS gerenciados, que são listas de domínios gerenciadas. AWS 
+ Descobertas relacionadas a consultas bloqueadas ou com alertas para domínios associados a uma lista de domínios personalizada que você define.
+ Descobertas relacionadas a consultas bloqueadas ou alertadas pelo DNS Firewall Advanced, que é um recurso do Route 53 Resolver que pode detectar consultas associadas a ameaças avançadas de DNS, como algoritmos de geração de domínio () DGAs e tunelamento de DNS.

Depois de habilitar o Security Hub CSPM e o Route 53 Resolver DNS Firewall, o DNS Firewall começa automaticamente a enviar as descobertas de AWS Managed Domain Lists e DNS Firewall Advanced para o Security Hub CSPM. Para também enviar descobertas de uma lista de domínios personalizada ao CSPM do Security Hub, habilite manualmente a integração no CSPM do Security Hub.

No CSPM do Security Hub, todas as descobertas do firewall de DNS do Route 53 Resolver têm o tipo a seguir: `TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation`.

Para obter mais informações, consulte [Envio de descobertas do firewall de DNS do Route 53 Resolver ao Security Hub](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/securityhub-integration.html) no *Guia do desenvolvedor do Amazon Route 53*.

### AWS Systems Manager Gerenciador de patches (envia descobertas)
<a name="patch-manager"></a>

AWS Systems Manager O Patch Manager envia as descobertas ao CSPM do Security Hub quando as instâncias da frota de um cliente não estão em conformidade com o padrão de conformidade de patches.

O Patch Manager automatiza o processo de aplicação de patches em instâncias gerenciadas com atualizações relacionadas à segurança e outros tipos de atualizações.

Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O Gerenciador de Patches do Systems Manager começa imediatamente a enviar descobertas ao CSPM do Security Hub.

Para obter mais informações sobre como usar o Patch Manager, consulte [Patch Manager do AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) no *AWS Systems Manager Guia do usuário*.

## AWS serviços que recebem descobertas do Security Hub CSPM
<a name="integrations-internal-receive"></a>

Os AWS serviços a seguir são integrados ao Security Hub CSPM e recebem descobertas do Security Hub CSPM. Onde observado, o serviço integrado também pode atualizar as descobertas. Nesse caso, as atualizações de descoberta feitas no serviço integrado também serão refletidas no CSPM do Security Hub.

### AWS Audit Manager (Recebe descobertas)
<a name="integration-aws-audit-manager"></a>

AWS Audit Manager recebe descobertas do Security Hub CSPM. Essas descobertas ajudam os usuários do Audit Manager a se preparar para as auditorias.

Para saber mais sobre o Audit Manager, consulte o [https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html). As [AWS Verificações do CSPM do Security Hub com suporte no AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-ash.html) listam os controles para os quais o CSPM do Security Hub envia as descobertas ao Audit Manager.

### Amazon Q Developer em aplicações de chat (recebe descobertas)
<a name="integration-chatbot"></a>

O Amazon Q Developer em aplicações de chat é um agente interativo que ajuda você a monitorar e interagir com seus recursos da AWS nos canais do Slack e nas salas de bate-papo do Amazon Chime.

Amazon Q Developer em aplicações de chat recebe descobertas do CSPM do Security Hub.

Para saber mais sobre a integração do Amazon Q Developer em aplicações de chat com o CSPM do Security Hub, consulte a [visão geral da integração do CSPM do Security Hub](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html#security-hub) no *Guia do administrador do Amazon Q Developer em aplicações de chat*.

### Amazon Detective (recebe descobertas)
<a name="integration-amazon-detective"></a>

Detective coleta automaticamente dados de registro de seus AWS recursos e usa aprendizado de máquina, análise estatística e teoria dos gráficos para ajudá-lo a visualizar e conduzir investigações de segurança mais rápidas e eficientes.

A integração do Security Hub CSPM com o Detective permite que você passe das descobertas da Amazon no GuardDuty Security Hub CSPM para o Detective. É possível então usar as ferramentas e visualizações do Detective para investigá-las. A integração não requer nenhuma configuração adicional no CSPM do Security Hub ou no Detective.

Para descobertas recebidas de outros Serviços da AWS, o painel de detalhes da descoberta no console CSPM do Security Hub inclui uma subseção **Investigue em Detective**. Essa subseção contém um link para o Detective, onde você pode investigar mais detalhadamente o problema de segurança que a descoberta sinalizou. Também é possível criar um gráfico de comportamento no Detective com base nas descobertas do CSPM do Security Hub para conduzir investigações mais eficazes. Para obter mais informações, consulte [descobertas de segurança do AWS](https://docs.aws.amazon.com/detective/latest/adminguide/source-data-types-asff.html) no *Guia de administração do Amazon Detective*.

Se a agregação entre regiões for ativada, quando você sair da região de agregação, o Detective será aberto na região inicial da descoberta.

Se um link não funcionar, para obter orientações de solução de problemas, consulte [Solução de problemas de alternância](https://docs.aws.amazon.com/detective/latest/userguide/profile-pivot-from-service.html#profile-pivot-troubleshooting).

### Amazon Security Lake (recebe descobertas)
<a name="integration-security-lake"></a>

O Security Lake é um serviço de data lake de segurança totalmente gerenciado. O Security Lake pode ser usado para centralizar automaticamente dados de segurança da nuvem, on-premises e fontes personalizadas em um data lake armazenado em sua conta. Os assinantes podem consumir dados do Security Lake para casos de uso investigativos e analíticos.

Para ativar essa integração, você deve habilitar os dois serviços e adicionar o Security Hub CSPM como fonte no console do Security Lake, na API do Security Lake ou. AWS CLI Depois de executar essas etapas, o CSPM do Security Hub começará a enviar todas as descobertas para o Security Lake.

O Security Lake normaliza automaticamente as descobertas do CSPM do Security Hub e as converte em um esquema padronizado de código aberto chamado Open Cybersecurity Schema Framework (OCSF). No Security Lake, é possível adicionar um ou mais assinantes para consumir as descobertas do CSPM do Security Hub.

Para obter mais informações sobre essa integração, incluindo instruções sobre como adicionar o CSPM do Security Hub como fonte e criar assinantes, consulte [Integração com o CSPM do AWS Security Hub no Guia do usuário](https://docs.aws.amazon.com/security-lake/latest/userguide/securityhub-integration.html) do *Amazon Security Lake*.

### AWS Systems Manager Explorer e OpsCenter (recebe e atualiza as descobertas)
<a name="integration-ssm-explorer-opscenter"></a>

AWS Systems Manager Explore e OpsCenter receba descobertas do Security Hub CSPM e atualize essas descobertas no Security Hub CSPM.

O Explorer traz um painel personalizável, fornecendo informações e análises importantes sobre a integridade operacional e a performance do seu ambiente AWS .

OpsCenter fornece um local central para visualizar, investigar e resolver itens de trabalho operacionais.

Para obter mais informações sobre o Explorer e OpsCenter, consulte [Gerenciamento de operações](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-ops-center.html) no *Guia AWS Systems Manager do Usuário*.

### AWS Trusted Advisor (Recebe descobertas)
<a name="integration-trusted-advisor"></a>

Trusted Advisor baseia-se nas melhores práticas aprendidas ao atender centenas de milhares de AWS clientes. Trusted Advisor inspeciona seu AWS ambiente e, em seguida, faz recomendações quando existem oportunidades para economizar dinheiro, melhorar a disponibilidade e o desempenho do sistema ou ajudar a fechar lacunas de segurança.

Quando você ativa o CSPM do Security Hub Trusted Advisor e o Security Hub, a integração é atualizada automaticamente.

O Security Hub CSPM envia os resultados de suas AWS verificações de melhores práticas de segurança básica para. Trusted Advisor

*Para obter mais informações sobre a integração do CSPM do Security Hub com Trusted Advisor, consulte [Visualizando os controles do CSPM do AWS Security Hub no](https://docs.aws.amazon.com/awssupport/latest/user/security-hub-controls-with-trusted-advisor.html) Support AWS User AWS Trusted Advisor Guide.*

# Integrações de produtos de terceiros com o CSPM do Security Hub
<a name="securityhub-partner-providers"></a>

AWS O Security Hub CSPM se integra a vários produtos de parceiros terceirizados. Uma integração pode realizar uma ou mais das ações a seguir:
+ Enviar as descobertas que gera para o CSPM do Security Hub
+ Receber descobertas do CSPM do Security Hub
+ Atualizar descobertas no CSPM do Security Hub

As integrações que enviam descobertas para o CSPM do Security Hub têm um nome do recurso da Amazon (ARN).

Uma integração pode não estar disponível em todos Regiões da AWS. Se não houver suporte para uma integração na região na qual você fez login no console do CSPM do Security Hub, ela não será exibida na página **Integrações** do console. Para obter uma lista das integrações que estão disponíveis nas regiões da China AWS GovCloud (US) Regions, consulte[Disponibilidade de integrações por região](securityhub-regions.md#securityhub-regions-integration-support).

Se você tiver uma solução de segurança e estiver interessado em se tornar um parceiro do CSPM do Security Hub, envie um e-mail para securityhub-partners@amazon.com. Para obter mais informações, consulte o [Guia de integração de parceiros](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-overview.html).

## Visão geral das integrações de terceiros com o CSPM do Security Hub
<a name="integrations-third-party-summary"></a>

A tabela a seguir fornece uma visão geral das integrações de terceiros que podem enviar descobertas ao CSPM do Security Hub ou receber descobertas do CSPM do Security Hub.


| Integração | Direction | ARN (se aplicável) | 
| --- | --- | --- | 
|  [3CORESec – 3CORESec NTA](#integration-3coresec-nta)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/3coresec/3coresec`  | 
|  [Alert Logic – SIEMless Threat Management](#integration-alert-logic-siemless)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement`  | 
|  [Aqua Security – Aqua Cloud Native Security Platform](#integration-aqua-security-cloud-native-security-platform)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity`  | 
|  [Aqua Security – Kube-bench](#integration-aqua-security-kubebench)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/aqua-security/kube-bench`  | 
|  [Armor – Armor Anywhere](#integration-armor-anywhere)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere`  | 
|  [AttackIQ – AttackIQ](#integration-attackiq)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform`  | 
|  [Barracuda Networks – Cloud Security Guardian](#integration-barracuda-cloud-security-guardian)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian`  | 
|  [BigID – BigID Enterprise](#integration-bigid-enterprise)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise`  | 
|  [Blue Hexagon – Blue Hexagon forAWS](#integration-blue-hexagon-for-aws)  |  Envia descobertas  |   `arn:aws:securityhub:<REGION>::product/blue-hexagon/blue-hexagon-for-aws`  | 
|  [Check Point – CloudGuard IaaS](#integration-checkpoint-cloudguard-iaas)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas`  | 
|  [Check Point – CloudGuard Posture Management](#integration-checkpoint-cloudguard-posture-management)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc`  | 
|  [Claroty – xDome](#integration-claroty-xdome)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/claroty/xdome`  | 
|  [Cloud Storage Security: Antivirus for Amazon S3](#integration-checkpoint-cloudguard-posture-management)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/cloud-storage-security/antivirus-for-amazon-s3`  | 
|  [Contrast Security](#integration-contrast-security)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/contrast-security/security-assess`  | 
|  [CrowdStrike – CrowdStrike Falcon](#integration-crowdstrike-falcon)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon`  | 
|  [CyberArk – Privileged Threat Analytics](#integration-cyberark-privileged-threat-analytics)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta`  | 
|  [Data Theorem – Data Theorem](#integration-data-theorem)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/data-theorem/api-cloud-web-secure`  | 
|  [Drata](#integration-drata)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/drata/drata-integration`  | 
|  [Forcepoint – Forcepoint CASB](#integration-forcepoint-casb)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-casb`  | 
|  [Forcepoint – Forcepoint Cloud Security Gateway](#integration-forcepoint-cloud-security-gateway)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-cloud-security-gateway`  | 
|  [Forcepoint – Forcepoint DLP](#integration-forcepoint-dlp)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-dlp`  | 
|  [Forcepoint – Forcepoint NGFW](#integration-forcepoint-ngfw)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-ngfw`  | 
|  [Fugue – Fugue](#integration-fugue)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/fugue/fugue`  | 
|  [Guardicore – Centra 4.0](#integration-guardicore-centra)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/guardicore/guardicore`  | 
|  [HackerOne – Vulnerability Intelligence](#integration-hackerone-vulnerability-intelligence)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/hackerone/vulnerability-intelligence`  | 
|  [JFrog – Xray](#integration-jfrog-xray)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/jfrog/jfrog-xray`  | 
|  [Juniper Networks – vSRX Next Generation Firewall](#integration-junipernetworks-vsrxnextgenerationfirewall)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/juniper-networks/vsrx-next-generation-firewall`  | 
|  [k9 Security – Access Analyzer](#integration-k9-security-access-analyzer)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/k9-security/access-analyzer`  | 
|  [Lacework – Lacework](#integration-lacework)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/lacework/lacework`  | 
|  [McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)](#integration-mcafee-mvision-cnapp)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/mcafee-skyhigh/mcafee-mvision-cloud-aws`  | 
|  [NETSCOUT – NETSCOUT Cyber Investigator](#integration-netscout-cyber-investigator)  |  Envia descobertas  |  `arn:aws:securityhub:us-east-1::product/netscout/netscout-cyber-investigator`  | 
|  [Orca Cloud Security Platform](#integration-orca-cloud-security-platform)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/orca-security/orca-security`  | 
|  [Palo Alto Networks – Prisma Cloud Compute](#integration-palo-alto-prisma-cloud-compute)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise`  | 
|  [Palo Alto Networks – Prisma Cloud Enterprise](#integration-palo-alto-prisma-cloud-enterprise)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock`  | 
|  [Plerion – Cloud Security Platform](#integration-plerion)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/plerion/cloud-security-platform`  | 
|  [Prowler – Prowler](#integration-prowler)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/prowler/prowler`  | 
|  [Qualys – Vulnerability Management](#integration-qualys-vulnerability-management)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm`  | 
|  [Rapid7 – InsightVM](#integration-rapid7-insightvm)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm`  | 
|  [SentinelOne – SentinelOne](#integration-sentinelone)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/sentinelone/endpoint-protection`  | 
|  [Snyk](#integration-snyk)  |  Envia descobertas  |  `arn:aws:securityhub:<region>::product/snyk/snyk`  | 
|  [Sonrai Security – Sonrai Dig](#integration-sonrai-dig)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/sonrai-security/sonrai-dig`  | 
|  [Sophos – Server Protection](#integration-sophos-server-protection)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection`  | 
|  [StackRox – StackRox Kubernetes Security](#integration-stackrox-kubernetes-security)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/stackrox/kubernetes-security`  | 
|  [Sumo Logic – Machine Data Analytics](#integration-sumologic-machine-data-analytics)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda`  | 
|  [Symantec – Cloud Workload Protection](#integration-symantec-cloud-workload-protection)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp`  | 
|  [Tenable – Tenable.io](#integration-tenable-tenableio)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io`  | 
|  [Trend Micro – Cloud One](#integration-trend-micro)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/trend-micro/cloud-one`  | 
|  [Vectra – Cognito Detect](#integration-vectra-ai-cognito-detect)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>:978576646331:product/vectra-ai/cognito-detect`  | 
|  [Wiz](#integration-wiz)  |  Envia descobertas  |  `arn:aws:securityhub:<REGION>::product/wiz-security/wiz-security`  | 
|  [Atlassian - Jira Service Management](#integration-atlassian-jira-service-management)  |  Recebe e atualiza as descobertas  |  Não aplicável  | 
|  [Atlassian - Jira Service Management Cloud](#integration-atlassian-jira-service-management-cloud)  |  Recebe e atualiza as descobertas  |  Não aplicável  | 
|  [Atlassian – Opsgenie](#integration-atlassian-opsgenie)  |  Recebe descobertas  |  Não aplicável  | 
|  [Dynatrace](#integration-dynatrace)  |  Recebe descobertas  |  Não aplicável  | 
|  [Elastic](#integration-elastic)  |  Recebe descobertas  |  Não aplicável  | 
|  [Fortinet – FortiCNP](#integration-fortinet-forticnp)  |  Recebe descobertas  |  Não aplicável  | 
|  [IBM – QRadar](#integration-ibm-qradar)  |  Recebe descobertas  | Não aplicável | 
|  [Logz.io Cloud SIEM](#integration-logzio-cloud-siem)  |  Recebe descobertas  |  Não aplicável  | 
|  [MetricStream](#integration-metricstream)  |  Recebe descobertas  |  Não aplicável  | 
|  [MicroFocus – MicroFocus Arcsight](#integration-microfocus-arcsight)  |  Recebe descobertas  |  Não aplicável  | 
|  [New Relic Vulnerability Management](#integration-new-relic-vulnerability-management)  |  Recebe descobertas  |  Não aplicável  | 
|  [PagerDuty – PagerDuty](#integration-pagerduty)  |  Recebe descobertas  |  Não aplicável  | 
|  [Palo Alto Networks – Cortex XSOAR](#integration-palo-alto-cortex-xsoar)  |  Recebe descobertas  |  Não aplicável  | 
|  [Palo Alto Networks – VM-Series](#integration-palo-alto-vmseries)  |  Recebe descobertas  |  Não aplicável  | 
|  [Rackspace Technology – Cloud Native Security](#integration-rackspace-cloud-native-security)  |  Recebe descobertas  |  Não aplicável  | 
|  [Rapid7 – InsightConnect](#integration-rapid7-insightconnect)  |  Recebe descobertas  |  Não aplicável  | 
|  [RSA – RSA Archer](#integration-rsa-archer)  |  Recebe descobertas  |  Não aplicável  | 
|  [ServiceNow – ITSM](#integration-servicenow-itsm)  |  Recebe e atualiza as descobertas  |  Não aplicável  | 
|  [Slack – Slack](#integration-slack)  |  Recebe descobertas  |  Não aplicável  | 
|  [Splunk – Splunk Enterprise](#integration-splunk-enterprise)  |  Recebe descobertas  | Não aplicável | 
|  [Splunk – Splunk Phantom](#integration-splunk-phantom)  |  Recebe descobertas  |  Não aplicável  | 
|  [ThreatModeler](#integration-threatmodeler)  |  Recebe descobertas  |  Não aplicável  | 
|  [Trellix – Trellix Helix](#integration-fireeye-helix)  |  Recebe descobertas  |  Não aplicável  | 
|  [Caveonix – Caveonix Cloud](#integration-caveonix-cloud)  |  Envia e recebe descobertas  |  `arn:aws:securityhub:<REGION>::product/caveonix/caveonix-cloud`  | 
|  [Cloud Custodian – Cloud Custodian](#integration-cloud-custodian)  |  Envia e recebe descobertas  |  `arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian`  | 
|  [DisruptOps, Inc. – DisruptOPS](#integration-disruptops)  |  Envia e recebe descobertas  |  `arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops`  | 
|  [Kion](#integration-kion)  |  Envia e recebe descobertas  |  `arn:aws:securityhub:<REGION>::product/cloudtamerio/cloudtamerio`  | 
|  [Turbot – Turbot](#integration-turbot)  |  Envia e recebe descobertas  |  `arn:aws:securityhub:<REGION>:453761072151:product/turbot/turbot`  | 

## Integrações de terceiros que enviam descobertas ao CSPM do Security Hub
<a name="integrations-third-party-send"></a>

As integrações de produtos de parceiros terceirizados a seguir enviam descobertas ao CSPM do Security Hub. O CSPM do Security Hub transforma as descobertas para o [Formato de descoberta de segurança da AWS](securityhub-findings-format.md).

### 3CORESec – 3CORESec NTA
<a name="integration-3coresec-nta"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/3coresec/3coresec`

3CORESec fornece serviços gerenciados de detecção tanto para sistemas on-premises quanto para sistemas da AWS . Sua integração com o CSPM do Security Hub permite a visibilidade de ameaças como malware, escalonamento de privilégios, movimentação lateral e segmentação imprópria da rede.

[Link do produto](https://3coresec.com)

[Documentação do parceiro](https://docs.google.com/document/d/1TPUuuyoAVrMKRVnGKouRy384ZJ1-3xZTnruHkIHJqWQ/edit?usp=sharing)

### Alert Logic – SIEMless Threat Management
<a name="integration-alert-logic-siemless"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement`

Obtenha o nível certo de cobertura: visibilidade de vulnerabilidade e ativos, detecção de ameaças e gerenciamento de incidentes e opções atribuídas aos analistas de SOC. AWS WAF

[Link do produto](https://www.alertlogic.com/solutions/platform/aws-security/)

[Documentação do parceiro](https://docs.alertlogic.com/configure/aws-security-hub.htm)

### Aqua Security – Aqua Cloud Native Security Platform
<a name="integration-aqua-security-cloud-native-security-platform"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity`

Aqua Cloud Native Security Platform (CSP)fornece segurança de ciclo de vida completo para aplicativos baseados em contêineres e sem servidor, desde seu CI/CD pipeline até ambientes de produção em tempo de execução.

[Link do produto](https://blog.aquasec.com/aqua-aws-security-hub)

[Documentação do parceiro](https://github.com/aquasecurity/aws-security-hub-plugin)

### Aqua Security – Kube-bench
<a name="integration-aqua-security-kubebench"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/aqua-security/kube-bench`

Kube-bench é uma ferramenta de código aberto que executa a referência de Kubernetes do Center for Internet Security (CIS) em seu ambiente.

[Link do produto](https://github.com/aquasecurity/kube-bench/blob/master/README.md)

[Documentação do parceiro](https://github.com/aquasecurity/kube-bench/blob/master/README.md)

### Armor – Armor Anywhere
<a name="integration-armor-anywhere"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere`

Armor Anywhereoferece segurança e conformidade gerenciadas para AWS.

[Link do produto](https://aws.amazon.com/marketplace/seller-profile?id=797425f4-6823-4cf6-82b5-634f9a9ec347)

[Documentação do parceiro](https://amp.armor.com/account/cloud-connections)

### AttackIQ – AttackIQ
<a name="integration-attackiq"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform`

A AttackIQ Platform emula comportamentos adversários reais alinhados à estrutura MITRE ATT&CK para ajudar a validar e melhorar sua postura de segurança geral.

[Link do produto](https://go.attackiq.com/BD-AWS-Security-Hub_LP.html)

[Documentação do parceiro](https://github.com/AttackIQ/attackiq.github.io)

### Barracuda Networks – Cloud Security Guardian
<a name="integration-barracuda-cloud-security-guardian"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian`

O Barracuda Cloud Security Sentry ajuda as organizações a permanecerem seguras enquanto criam aplicativos e movem as wokloads para a nuvem pública.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/pp/B07KF2X7QJ)

[Link do produto](https://www.barracuda.com/solutions/aws)

### BigID – BigID Enterprise
<a name="integration-bigid-enterprise"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise`

A BigID Enterprise Privacy Management Platform ajuda as empresas a gerenciar e proteger dados sensíveis (PII) em todos os seus sistemas.

[Link do produto](https://github.com/bigexchange/aws-security-hub)

[Documentação do parceiro](https://github.com/bigexchange/aws-security-hub)

### Blue Hexagon— Blue Hexagon para AWS
<a name="integration-blue-hexagon-for-aws"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/blue-hexagon/blue-hexagon-for-aws`

Blue Hexagon é uma plataforma de detecção de ameaças em tempo real. Ela usa princípios de aprendizado profundo para detectar ameaças conhecidas e desconhecidas, incluindo malware e anomalias de rede.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/pp/prodview-fvt5ts3ulhrtk?sr=0-1&ref_=beagle&applicationId=AWSMPContessa)

[Documentação do parceiro](https://bluehexagonai.atlassian.net/wiki/spaces/BHDOC/pages/395935769/Deploying+Blue+Hexagon+with+AWS+Traffic+Mirroring#DeployingBlueHexagonwithAWSTrafficMirroringDeployment-Integrations)

### Check Point – CloudGuard IaaS
<a name="integration-checkpoint-cloudguard-iaas"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas`

Check Point CloudGuardestende facilmente a segurança abrangente de prevenção de ameaças e, ao AWS mesmo tempo, protege os ativos na nuvem.

[Link do produto](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)

[Documentação do parceiro](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk140412)

### Check Point – CloudGuard Posture Management
<a name="integration-checkpoint-cloudguard-posture-management"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc`

Uma plataforma SaaS que oferece segurança de rede em nuvem verificável, proteção avançada do IAM e conformidade e governança abrangentes.

[Link do produto](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)

[Documentação do parceiro](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk144592&partition=General&product=CloudGuard)

### Claroty – xDome
<a name="integration-claroty-xdome"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/claroty/xdome`

Claroty xDomeajuda as organizações a proteger seus sistemas ciberfísicos em toda a Internet das Coisas (XIoT) estendida em ambientes industriais (OT), de saúde (IoT) e corporativos (IoT).

[Link do produto](https://claroty.com/)

[Documentação do parceiro](https://claroty.com/resources/integration-briefs/the-claroty-aws-securityhub-integration-guide)

### Cloud Storage Security: Antivirus for Amazon S3
<a name="integration-cloud-storage-security-antivirus-for-s3"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/cloud-storage-security/antivirus-for-amazon-s3`

A Cloud Storage Security fornece escaneamento antimalware e antivírus nativo de nuvem para objetos do Amazon S3.

O Antivirus for  Amazon S3 oferece varreduras programadas e em tempo real de objetos e arquivos no Amazon S3 em busca de malware e ameaças. Ele fornece visibilidade e correção de problemas e arquivos infectados.

[Link do produto](https://cloudstoragesec.com/)

[Documentação do parceiro](https://help.cloudstoragesec.com/console-overview/console-settings/#send-scan-result-findings-to-aws-security-hub)

### Contrast Security – Contrast Assess
<a name="integration-contrast-security"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/contrast-security/security-assess`

Contrast Security Contrast Assessé uma ferramenta IAST que oferece detecção de vulnerabilidades em tempo real em aplicativos da web e microsserviços. APIs Contrast Assessintegra-se ao Security Hub CSPM para ajudar a fornecer visibilidade e resposta centralizadas para todas as suas cargas de trabalho.

[Link do produto](https://aws.amazon.com/marketplace/pp/prodview-g5df2jw32felw)

[Documentação do parceiro](https://docs.contrastsecurity.com/en/securityhub.html)

### CrowdStrike – CrowdStrike Falcon
<a name="integration-crowdstrike-falcon"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon`

O sensor leve único do CrowdStrike Falcon unifica antivírus de última geração, detecção e resposta de endpoint e busca gerenciada 24 horas por dia, 7 dias por semana por meio da nuvem.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=f4fb055a-5333-4b6e-8d8b-a4143ad7f6c7)

[Documentação do parceiro](https://github.com/CrowdStrike/falcon-integration-gateway)

### CyberArk – Privileged Threat Analytics
<a name="integration-cyberark-privileged-threat-analytics"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta`

O Privileged Threat Analytics coleta, detecta, alerta e responde a atividades de alto risco e ao comportamento de contas privilegiadas para conter ataques em andamento.

[Link do produto](https://www.cyberark.com/solutions/digital-transformation/cloud-virtualization-security/)

[Documentação do parceiro](https://cyberark-customers.force.com/mplace/s/#a352J000000dZATQA2-a392J000001Z3eaQAC)

### Data Theorem – Data Theorem
<a name="integration-data-theorem"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/data-theorem/api-cloud-web-secure`

Data Theoremexamina continuamente aplicativos da web e recursos de nuvem em busca de falhas de segurança e lacunas na privacidade de dados para evitar violações de AppSec dados. APIs

[Link do produto](https://www.datatheorem.com/partners/aws/)

[Documentação do parceiro](https://datatheorem.atlassian.net/wiki/spaces/PKB/pages/1730347009/AWS+Security+Hub+Integration)

### Drata
<a name="integration-drata"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/drata/drata-integration`

Drataé uma plataforma de automação de conformidade que ajuda você a alcançar e manter a conformidade com várias estruturas SOC2, como ISO e GDPR. A integração entre o Drata e o CSPM do Security Hub ajuda você a centralizar suas descobertas de segurança em um único local.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/pp/prodview-3ubrmmqkovucy)

[Documentação do parceiro](https://drata.com/partner/aws)

### Forcepoint – Forcepoint CASB
<a name="integration-forcepoint-casb"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-casb`

O Forcepoint CASB permite que você descubra o uso de aplicativos na nuvem, analise riscos e aplique controles apropriados para SaaS e aplicativos personalizados.

[Link do produto](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Documentação do parceiro](https://frcpnt.com/casb-securityhub)

### Forcepoint – Forcepoint Cloud Security Gateway
<a name="integration-forcepoint-cloud-security-gateway"></a>

**Tipo de integração:** envio

ARN do produto: `arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-cloud-security-gateway`

O Forcepoint Cloud Security Gateway é um serviço de segurança em nuvem convergente que fornece visibilidade, controle e proteção contra ameaças para usuários e dados, onde quer que estejam.

[Link do produto](https://www.forcepoint.com/product/cloud-security-gateway)

[Documentação do parceiro](https://forcepoint.github.io/docs/csg_and_aws_security_hub/#forcepoint-cloud-security-gateway-and-aws-security-hub)

### Forcepoint – Forcepoint DLP
<a name="integration-forcepoint-dlp"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-dlp`

O Forcepoint DLP aborda o risco humano com visibilidade e controle em qualquer lugar onde seus funcionários trabalhem e em qualquer lugar onde seus dados estejam.

[Link do produto](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Documentação do parceiro](https://frcpnt.com/dlp-securityhub)

### Forcepoint – Forcepoint NGFW
<a name="integration-forcepoint-ngfw"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-ngfw`

Forcepoint NGFWpermite que você conecte seu AWS ambiente à sua rede corporativa com a escalabilidade, a proteção e os insights necessários para gerenciar sua rede e responder às ameaças.

[Link do produto](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Documentação do parceiro](https://frcpnt.com/ngfw-securityhub)

### Fugue – Fugue
<a name="integration-fugue"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/fugue/fugue`

Fugueé uma plataforma nativa da nuvem escalável e sem agentes que automatiza a validação contínua infrastructure-as-code e os ambientes de tempo de execução da nuvem usando as mesmas políticas.

[Link do produto](https://www.fugue.co/aws-security-hub-integration)

[Documentação do parceiro](https://docs.fugue.co/integrations-aws-security-hub.html)

### Guardicore – Centra 4.0
<a name="integration-guardicore-centra"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/guardicore/guardicore`

O Guardicore Centra fornece visualização de fluxo, microssegmentação e detecção de violações para workloads em nuvens e datacenters modernos.

[Link do produto](https://aws.amazon.com/marketplace/seller-profile?id=21127457-7622-49be-81a6-4cb5dd77a088)

[Documentação do parceiro](https://customers.guardicore.com/login)

### HackerOne – Vulnerability Intelligence
<a name="integration-hackerone-vulnerability-intelligence"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/hackerone/vulnerability-intelligence`

A plataforma HackerOne faz parceria com a comunidade global de hackers para descobrir os problemas de segurança mais relevantes. A Vulnerability Intelligence permite que sua organização vá além da digitalização automatizada. Ela compartilha vulnerabilidades que hackers éticos HackerOne validaram e forneceram etapas para reproduzir.

[AWS link de mercado](https://aws.amazon.com/marketplace/seller-profile?id=10857e7c-011b-476d-b938-b587deba31cf)

[Documentação do parceiro](https://docs.hackerone.com/en/articles/8562571-aws-security-hub-integration)

### JFrog – Xray
<a name="integration-jfrog-xray"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/jfrog/jfrog-xray`

O JFrog Xray é uma ferramenta universal de Análise de composição de software (SCA) de segurança de aplicativos que verifica continuamente os binários em busca de vulnerabilidades de segurança e conformidade de licenças para que você possa executar uma cadeia de suprimentos de software segura.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=68002c4f-c9d1-4fa7-b827-fd7204523fb7)

[Documentação do parceiro](https://www.jfrog.com/confluence/display/JFROG/Xray+Integration+with+AWS+Security+Hub)

### Juniper Networks – vSRX Next Generation Firewall
<a name="integration-junipernetworks-vsrxnextgenerationfirewall"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/juniper-networks/vsrx-next-generation-firewall`

O vSRX Virtual Next Generation Firewall da Juniper Networks' oferece um firewall virtual completo baseado em nuvem com segurança avançada, SD-WAN segura, rede robusta e automação integrada.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/pp/prodview-z7jcugjx442hw)

[Documentação do parceiro](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html#id-enable-and-configure-security-hub-on-vsrx)

[Link do produto](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html)

### k9 Security – Access Analyzer
<a name="integration-k9-security-access-analyzer"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/k9-security/access-analyzer`

O k9 Security notifica você quando mudanças importantes de acesso ocorrem em sua conta do AWS Identity and Access Management . Com issok9 Security, você pode entender o acesso que os usuários e as funções do IAM têm aos dados essenciais Serviços da AWS e aos seus dados.

O k9 Security foi criado para entrega contínua, permitindo que você operacionalize o IAM com auditorias de acesso acionáveis e automação simples de políticas para AWS CDK e Terraform.

[Link do produto](https://www.k9security.io/lp/operationalize-aws-iam-security-hub)

[Documentação do parceiro](https://www.k9security.io/docs/how-to-configure-k9-access/)

### Lacework – Lacework
<a name="integration-lacework"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/lacework/lacework`

Lacework é a plataforma de segurança baseada em dados para a nuvem. A plataforma de segurança de nuvem da Lacework automatiza a segurança na nuvem em grande escala para que você possa inovar com velocidade e segurança.

[Link do produto](https://www.lacework.com/platform/aws/)

[Documentação do parceiro](https://www.lacework.com/platform/aws/)

### McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)
<a name="integration-mcafee-mvision-cnapp"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/mcafee-skyhigh/mcafee-mvision-cloud-aws`

McAfee MVISION Cloud Native Application Protection Platform (CNAPP)oferece Cloud Security Posture Management (CSPM) e Cloud Workload Protection Platform (CWPP) para seu ambiente. AWS 

[Link do produto](https://aws.amazon.com/marketplace/pp/prodview-ol6txkzkdyacc)

[Documentação do parceiro](https://success.myshn.net/Cloud_Native_Application_Protection_Platform_(IaaS)/Amazon_Web_Services_(AWS)/Integrate_MVISION_Cloud_with_AWS_Security_Hub)

### NETSCOUT – NETSCOUT Cyber Investigator
<a name="integration-netscout-cyber-investigator"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/netscout/netscout-cyber-investigator`

O NETSCOUT Cyber Investigator é uma plataforma corporativa contra ameaças à rede, investigação de riscos e análise forense que ajuda a reduzir o impacto das ameaças cibernéticas nas empresas.

[Link do produto](https://aws.amazon.com/marketplace/pp/prodview-reujxcu2cv3f4?qid=1608874215786&sr=0-1&ref_=srh_res_product_title)

[Documentação do parceiro](https://www.netscout.com/solutions/cyber-investigator-aws)

### Orca Cloud Security Platform
<a name="integration-orca-cloud-security-platform"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/orca-security/orca-security`

A Orca Cloud Security Platform identifica, prioriza e corrige riscos e problemas de conformidade em todo o seu ambiente de nuvem. A plataforma orientada por IA e sem agentes da Orca’s oferece uma cobertura abrangente de detecção de vulnerabilidades, configurações incorretas, movimentos laterais, riscos de API, dados sensíveis, eventos e comportamentos anômalos e identidades excessivamente permissivas.

Orcaintegra-se ao Security Hub CSPM para trazer telemetria profunda de segurança em nuvem para o Security Hub CSPM. Orca, usando sua SideScanning tecnologia, prioriza o risco em toda a infraestrutura de nuvem, cargas de trabalho, aplicativos, dados APIs, identidades e muito mais.

[Link do produto](https://orca.security/partners/technology/amazon-web-services-aws/)

[Documentação do parceiro](https://docs.orcasecurity.io/docs/integrating-amazon-security-hub)

### Palo Alto Networks – Prisma Cloud Compute
<a name="integration-palo-alto-prisma-cloud-compute"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise`

Prisma Cloud Computeé uma plataforma de cibersegurança nativa da nuvem que protege VMs, contêineres e plataformas sem servidor.

[Link do produto](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Documentação do parceiro](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/alerts/aws_security_hub.html)

### Palo Alto Networks – Prisma Cloud Enterprise
<a name="integration-palo-alto-prisma-cloud-enterprise"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock`

Protege sua AWS implantação com análises de segurança na nuvem, detecção avançada de ameaças e monitoramento de conformidade.

[Link do produto](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Documentação do parceiro](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin/configure-external-integrations-on-prisma-cloud/integrate-prisma-cloud-with-aws-security-hub)

### Plerion – Cloud Security Platform
<a name="integration-plerion"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/plerion/cloud-security-platform`

O Plerion é uma plataforma de segurança em nuvem com uma abordagem exclusiva orientada por ameaças e riscos que oferece ações de prevenção, detecção e correção em todas as suas workloads. A integração entre o Plerion e o CSPM do Security Hub permite que os clientes centralizem e ajam de acordo com suas descobertas de segurança em um só lugar.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=464b7833-edb8-43ee-b083-d8a298b7ba08)

[Documentação do parceiro](https://au.app.plerion.com/resource-center/platform-documentation/integrations/outbound/securityHub)

### Prowler – Prowler
<a name="integration-prowler"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/prowler/prowler`

Prowleré uma ferramenta de segurança de código aberto para realizar AWS verificações relacionadas às melhores práticas de segurança, fortalecimento e monitoramento contínuo.

[Link do produto](https://github.com/prowler-cloud/prowler)

[Documentação do parceiro](https://github.com/prowler-cloud/prowler#security-hub-integration)

### Qualys – Vulnerability Management
<a name="integration-qualys-vulnerability-management"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm`

O Qualys Vulnerability Management (VM) verifica e identifica continuamente vulnerabilidades, protegendo seus ativos.

[Link do produto](https://www.qualys.com/public-cloud/#aws)

[Documentação do parceiro](https://qualys-secure.force.com/discussions/s/article/000005831)

### Rapid7 – InsightVM
<a name="integration-rapid7-insightvm"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm`

O Rapid7 InsightVM fornece gerenciamento de vulnerabilidade para ambientes modernos, permitindo que você encontre, priorize e corrija eficientemente as vulnerabilidades.

[Link do produto](https://www.rapid7.com/products/insightvm/)

[Documentação do parceiro](https://docs.rapid7.com/insightvm/aws-security-hub/)

#### SentinelOne – SentinelOne
<a name="integration-sentinelone"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/sentinelone/endpoint-protection`

O SentinelOne é uma plataforma autônoma de detecção e resposta estendida (XDR) que abrange prevenção, detecção, resposta e busca baseadas em IA em endpoints, contêineres, workloads na nuvem e dispositivos de IoT.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/pp/prodview-2qxvr62fng6li?sr=0-2&ref_=beagle&applicationId=AWSMPContessa)

[Link do produto](https://www.sentinelone.com/press/sentinelone-announces-integration-with-aws-security-hub/)

### Snyk
<a name="integration-snyk"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/snyk/snyk`

O Snyk fornece uma plataforma de segurança que escaneia os componentes do aplicativo em busca de riscos de segurança nas workloads em execução na AWS. Esses riscos são enviados ao CSPM do Security Hub como descobertas, ajudando desenvolvedores e equipes de segurança a visualizá-los e priorizá-los junto com o restante das descobertas de segurança da AWS .

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=bb528b8d-079c-455e-95d4-e68438530f85)

[Documentação do parceiro](https://docs.snyk.io/integrations/event-forwarding/aws-security-hub)

### Sonrai Security – Sonrai Dig
<a name="integration-sonrai-dig"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/sonrai-security/sonrai-dig`

O Sonrai Dig monitora e corrige configurações incorretas e violações de políticas na nuvem, para que você possa melhorar sua postura de segurança e conformidade.

[Link do produto](https://sonraisecurity.com/solutions/amazon-web-services-aws-and-sonrai-security/)

[Documentação do parceiro](https://sonraisecurity.com/blog/monitor-privilege-escalation-risk-of-identities-from-aws-security-hub-with-integration-from-sonrai/)

### Sophos – Server Protection
<a name="integration-sophos-server-protection"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection`

Sophos Server Protectiondefende os aplicativos e dados essenciais no centro de sua organização, usando defense-in-depth técnicas abrangentes.

[Link do produto](https://www.sophos.com/en-us/products/cloud-native-security/aws)

### StackRox – StackRox Kubernetes Security
<a name="integration-stackrox-kubernetes-security"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/stackrox/kubernetes-security`

O StackRox ajuda as empresas a proteger as implantações de contêineres e Kubernetes em grande escala, aplicando as políticas de conformidade e segurança em todo o ciclo de vida do contêiner: criação, implantação e execução.

[Link do produto](https://aws.amazon.com/marketplace/pp/B07RP4B4P1)

[Documentação do parceiro](https://help.stackrox.com/docs/integrate-with-other-tools/integrate-with-aws-security-hub/)

### Sumo Logic – Machine Data Analytics
<a name="integration-sumologic-machine-data-analytics"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda`

O Sumo Logic é uma plataforma segura de análise de dados de máquina que permite que as equipes do DevSecOps criem, executem e protejam os aplicativos da AWS .

[Link do produto](https://www.sumologic.com/application/aws-security-hub/)

[Documentação do parceiro](https://help.sumologic.com/07Sumo-Logic-Apps/01Amazon_and_AWS/AWS_Security_Hub)

### Symantec – Cloud Workload Protection
<a name="integration-symantec-cloud-workload-protection"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp`

O Cloud Workload Protection fornece proteção completa para suas instâncias do Amazon EC2 com antimalware, prevenção de intrusões e monitoramento de integridade de arquivos.

[Link do produto](https://www.broadcom.com/products/cyber-security/endpoint/hybrid-cloud/cloud-workload-protection)

[Documentação do parceiro](https://help.symantec.com/cs/scwp/SCWP/v130271667_v111037498/Intergration-with-AWS-Security-Hub/?locale=EN_US&sku=CWP_COMPUTE)

### Tenable – Tenable.io
<a name="integration-tenable-tenableio"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io`

Identifique, investigue e priorize com precisão as vulnerabilidades. Managed in the Cloud.

[Link do produto](https://www.tenable.com/)

[Documentação do parceiro](https://github.com/tenable/Security-Hub)

### Trend Micro – Cloud One
<a name="integration-trend-micro"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/trend-micro/cloud-one`

O Trend Micro Cloud One fornece as informações de segurança certas às equipes na hora e no local certos. Essa integração envia as descobertas de segurança para o CSPM do Security Hub em tempo real, aumentando a visibilidade de seus AWS recursos e detalhes do Trend Micro Cloud One evento no CSPM do Security Hub.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4)

[Documentação do parceiro](https://cloudone.trendmicro.com/docs/integrations/aws-security-hub/)

### Vectra – Cognito Detect
<a name="integration-vectra-ai-cognito-detect"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>:978576646331:product/vectra-ai/cognito-detect`

O Vectra está transformando a segurança cibernética aplicando IA avançada para detectar e responder a ataques cibernéticos ocultos antes que eles possam roubar ou causar danos.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/pp/prodview-x2mabtjqsjb2w)

[Documentação do parceiro](https://cognito-resource-guide.s3.us-west-2.amazonaws.com/Vectra_AWS_SecurityHub_Integration_Guide.pdf)

### Wiz – Wiz Security
<a name="integration-wiz"></a>

**Tipo de integração:** envio

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/wiz-security/wiz-security`

Wizanalisa continuamente configurações, vulnerabilidades, redes, configurações de IAM, segredos e muito mais em seus Contas da AWS usuários e cargas de trabalho para descobrir problemas críticos que representam riscos reais. Integre o Wiz ao CSPM do Security Hub para visualizar e responder aos problemas que o Wiz detecta no console do CSPM do Security Hub.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/pp/prodview-wgtgfzwbk4ahy)

[Documentação do parceiro](https://docs.wiz.io/wiz-docs/docs/security-hub-integration)

## Integrações de terceiros que recebem descobertas do CSPM do Security Hub
<a name="integrations-third-party-receive"></a>

As integrações de produtos de parceiros terceirizados a seguir podem receber descobertas do CSPM do Security Hub. Onde indicado, o produto também pode atualizar descobertas. Nesse caso, as atualizações feitas em descobertas no produto parceiro também serão refletidas no CSPM do Security Hub.

### Atlassian - Jira Service Management
<a name="integration-atlassian-jira-service-management"></a>

**Tipo de integração:** recebimento e atualização

O AWS Service Management Connector for Jira envia as descobertas do CSPM do Security Hub para. Jira Jiraos problemas são criados com base nas descobertas. Quando os problemas do Jira são atualizados, as descobertas correspondentes são atualizadas no CSPM do Security Hub.

A integração só é compatível com o Jira Server e o Jira Data Center.

Para obter uma visão geral da integração e de como ela funciona, assista ao vídeo [CSPM do AWS Security Hub: integração bidirecional com o Atlassian Jira Service Management](https://www.youtube.com/watch?v=uEKwu0M8S3M).

[Link do produto](https://www.atlassian.com/software/jira/service-management)

[Documentação do parceiro](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-jiraservicedesk.html)

### Atlassian - Jira Service Management Cloud
<a name="integration-atlassian-jira-service-management-cloud"></a>

**Tipo de integração:** recebimento e atualização

O Jira Service Management Cloud é o componente de nuvem do Jira Service Management. 

O AWS Service Management Connector for Jira envia as descobertas do CSPM do Security Hub para. Jira As descobertas desencadeiam a criação de problemas no Jira Service Management Cloud. Quando você atualiza esses problemas na Jira Service Management Cloud, as descobertas correspondentes também são atualizadas no CSPM do Security Hub.

[Link do produto](https://marketplace.atlassian.com/apps/1221283/aws-service-management-connector-for-jsm?tab=overview&hosting=cloud)

[Documentação do parceiro](https://docs.aws.amazon.com/smc/latest/ag/integrations-jsmcloud.html)

### Atlassian – Opsgenie
<a name="integration-atlassian-opsgenie"></a>

**Tipo de integração:** recebimento

A Opsgenie é uma solução moderna de gerenciamento de incidentes para operar serviços sempre ativos, capacitando as equipes de desenvolvimento e operações a planejar interrupções de serviço e permanecer no controle durante incidentes.

A integração com o CSPM do Security Hub garante que os incidentes relacionados à segurança de missão crítica sejam direcionados para as equipes apropriadas para resolução imediata.

[Link do produto](https://www.atlassian.com/software/opsgenie)

[Documentação do parceiro](https://docs.opsgenie.com/docs/amazon-security-hub-integration-bidirectional)

### Dynatrace
<a name="integration-dynatrace"></a>

**Tipo de integração:** recebimento

A integração do Dynatrace com o CSPM do Security Hub ajuda a unificar, visualizar e automatizar as descobertas de segurança em todas as ferramentas e ambientes. Adicionar contexto Dynatrace de tempo de execução às descobertas de segurança permite uma priorização mais inteligente, ajuda a reduzir o ruído dos alertas e concentra suas DevSecOps equipes na correção eficiente dos problemas críticos que afetam seus ambientes de produção e aplicativos.

[Link do produto](https://www.dynatrace.com/solutions/application-security/)

[Documentação do parceiro](https://docs.dynatrace.com/docs/secure/threat-observability/security-events-ingest/ingest-aws-security-hub)

### Elastic
<a name="integration-elastic"></a>

**Tipo de integração:** recebimento

O Elastic cria soluções baseadas em pesquisa para segurança, observabilidade e pesquisa. Com a integração com o CSPM do Security Hub, o Elastic ingere descobertas e insights do CSPM do Security Hub de forma programática, normaliza-os para correlação e análise e apresenta painéis e detecções unificados no Elastic Security, permitindo triagem e investigação mais rápidas sem a implantação de agentes.

[Link do produto](https://www.elastic.co/blog/elastic-integrates-leading-cloud-security-vendors)

[Documentação do parceiro](https://www.elastic.co/docs/reference/integrations/aws/securityhub)

### Fortinet – FortiCNP
<a name="integration-fortinet-forticnp"></a>

**Tipo de integração:** recebimento

O FortiCNP é um produto do Cloud Native Protection que agrega descobertas de segurança em insights acionáveis e prioriza insights de segurança com base na pontuação de risco para reduzir a fadiga de alertas e acelerar a correção.

[Link do AWS Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vl24vc3mcb5ak)

[Documentação do parceiro](https://docs.fortinet.com/document/forticnp/22.3.a/online-help/467775/aws-security-hub-configuration)

### IBM – QRadar
<a name="integration-ibm-qradar"></a>

**Tipo de integração:** recebimento

O IBM QRadar SIEM fornece às equipes de segurança a capacidade de detectar, priorizar, investigar e responder com rapidez e precisão às ameaças.

[Link do produto](https://www.ibm.com/docs/en/qradar-common?topic=app-aws-security-hub-integration)

[Documentação do parceiro](https://www.ibm.com/docs/en/qradar-common?topic=configuration-integrating-aws-security-hub)

### Logz.io Cloud SIEM
<a name="integration-logzio-cloud-siem"></a>

**Tipo de integração:** recebimento

O Logz.io é um fornecedor de Cloud SIEM que fornece correlação avançada de dados de log e eventos para ajudar as equipes de segurança a detectar, analisar e responder às ameaças à segurança em tempo real.

[Link do produto](https://logz.io/solutions/cloud-monitoring-aws/)

[Documentação do parceiro](https://docs.logz.io/shipping/security-sources/aws-security-hub.html)

### MetricStream – CyberGRC
<a name="integration-metricstream"></a>

**Tipo de integração:** recebimento

O MetricStream CyberGRC ajuda você a gerenciar, medir e mitigar os riscos de segurança cibernética. Ao receber as descobertas do CSPM do Security Hub, o CyberGRC fornece mais visibilidade sobre esses riscos, para que você possa priorizar os investimentos em segurança cibernética e cumprir as políticas de TI.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)

[Link do produto](https://www.metricstream.com/)

### MicroFocus – MicroFocus Arcsight
<a name="integration-microfocus-arcsight"></a>

**Tipo de integração:** recebimento

O ArcSight acelera a detecção e a resposta eficazes a ameaças em tempo real, integrando correlação de eventos e análises supervisionadas e não supervisionadas com automação e orquestração de respostas.

[Link do produto](https://aws.amazon.com/marketplace/pp/B07RM918H7)

[Documentação do parceiro](https://community.microfocus.com/cyberres/productdocs/w/connector-documentation/2768/smartconnector-for-amazon-web-services-security-hub)

### New Relic Vulnerability Management
<a name="integration-new-relic-vulnerability-management"></a>

**Tipo de integração:** recebimento

O New Relic Vulnerability Management recebe as descobertas de segurança do CSPM do Security Hub, para que você possa ter uma visão centralizada da segurança juntamente com a telemetria de performance no contexto de toda a sua pilha.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/pp/prodview-yg3ykwh5tmolg)

[Documentação do parceiro](https://docs.newrelic.com/docs/vulnerability-management/integrations/aws/)

### PagerDuty – PagerDuty
<a name="integration-pagerduty"></a>

**Tipo de integração:** recebimento

A plataforma de gerenciamento de operações digitais PagerDuty capacita as equipes a mitigar proativamente os problemas que afetam os clientes, transformando automaticamente qualquer sinal em um insight e uma ação corretas.

AWS os usuários podem usar o PagerDuty conjunto de AWS integrações para escalar seus ambientes AWS e ambientes híbridos com confiança.

Quando acoplado aos alertas de segurança agregados e organizados do CSPM do Security Hub, o PagerDuty permite que as equipes automatizem o processo de resposta a ameaças e configurem rapidamente ações personalizadas para evitar possíveis problemas.

Os usuários do PagerDuty que executam um projeto de migração para a nuvem podem se mover rapidamente, enquanto diminuem o impacto de problemas que ocorrem durante todo o ciclo de vida da migração.

[Link do produto](https://aws.amazon.com/marketplace/pp/prodview-5sf6wkximaixc?ref_=srh_res_product_title)

[Documentação do parceiro](https://support.pagerduty.com/docs/aws-security-hub-integration-guide-pagerduty)

### Palo Alto Networks – Cortex XSOAR
<a name="integration-palo-alto-cortex-xsoar"></a>

**Tipo de integração:** recebimento

O Cortex XSOAR é uma plataforma de Orquestração, Automação e Resposta de Segurança (SOAR) que se integra a toda a sua pilha de produtos de segurança para acelerar a resposta a incidentes e as operações de segurança.

[Link do produto](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Documentação do parceiro](https://xsoar.pan.dev/docs/reference/integrations/aws---security-hub)

### Palo Alto Networks – VM-Series
<a name="integration-palo-alto-vmseries"></a>

**Tipo de integração:** recebimento

A integração do Palo Alto VM-Series com o CSPM do Security Hub coleta informações inteligência de ameaças e as envia ao firewall de próxima geração do VM-Series como uma atualização automática da política de segurança que bloqueia atividades maliciosas de endereços IP.

[Link do produto](https://github.com/PaloAltoNetworks/pan_aws_security_hub)

[Documentação do parceiro](https://github.com/PaloAltoNetworks/pan_aws_security_hub)

### Rackspace Technology – Cloud Native Security
<a name="integration-rackspace-cloud-native-security"></a>

**Tipo de integração:** recebimento

A Rackspace Technology  fornece serviços de segurança gerenciados em cima de produtos de segurança nativos da AWS para monitoramento 24x7x365 do Rackspace SOC, análise avançada e correção de ameaças.

[Link do produto](https://www.rackspace.com/managed-aws/capabilities/security)

### Rapid7 – InsightConnect
<a name="integration-rapid7-insightconnect"></a>

**Tipo de integração:** recebimento

O Rapid7 InsightConnect é uma solução de automação e orquestração de segurança que permite à sua equipe otimizar as operações do SOC com poucos códigos ou nenhum.

[Link do produto](https://www.rapid7.com/platform/)

[Documentação do parceiro](https://docs.rapid7.com/insightconnect/aws-security-hub/)

### RSA – RSA Archer
<a name="integration-rsa-archer"></a>

**Tipo de integração:** recebimento

O gerenciamento de riscos de TI e segurança do RSA Archer permite que você determine quais ativos são essenciais para seus negócios, estabeleça e comunique políticas e padrões de segurança, detecte e responda a ataques, identifique e corrija deficiências de segurança e estabeleça as melhores práticas claras de gerenciamento de riscos de TI.

[Link do produto](https://community.rsa.com/docs/DOC-111898)

[Documentação do parceiro](https://community.rsa.com/docs/DOC-111898)

### ServiceNow – ITSM
<a name="integration-servicenow-itsm"></a>

**Tipo de integração:** recebimento e atualização

A integração do ServiceNow com o CSPM do Security Hub permite que você receba descobertas do CSPM do Security Hub para serem visualizadas no ServiceNow ITSM. Também é possível configurar o ServiceNow para criar automaticamente um incidente ou problema ao receber uma descoberta do CSPM do Security Hub.

Quaisquer atualizações desses incidentes e problemas resultarão em atualizações das descobertas no CSPM do Security Hub.

Para obter uma visão geral da integração e de como ela funciona, assista ao vídeo [CSPM do AWS Security Hub: integração bidirecional com o  ServiceNow ITSM](https://www.youtube.com/watch?v=OYTi0sjEggE).

[Link do produto](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-servicenow.html)

[Documentação do parceiro](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/securityhub-config.html)

### Slack – Slack
<a name="integration-slack"></a>

**Tipo de integração:** recebimento

O Slack é uma camada da pilha de tecnologia de negócios que reúne pessoas, dados e aplicativos. Ele é um lugar único em que as pessoas podem efetivamente trabalhar juntas, encontrar informações importantes e acessar centenas de milhares de aplicativos e serviços essenciais para fazer o seu melhor trabalho.

[Link do produto](https://github.com/aws-samples/aws-securityhub-to-slack)

[Documentação do parceiro](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html)

### Splunk – Splunk Enterprise
<a name="integration-splunk-enterprise"></a>

**Tipo de integração:** recebimento

Splunkusa a Amazon CloudWatch Events como consumidora das descobertas do CSPM do Security Hub. Envie seus dados ao Splunk para análise de segurança avançada e SIEM.

[Link do produto](https://splunkbase.splunk.com/app/5767)

[Documentação do parceiro](https://github.com/splunk/splunk-for-securityHub)

### Splunk – Splunk Phantom
<a name="integration-splunk-phantom"></a>

**Tipo de integração:** recebimento

Com o Splunk Phantom aplicativo para o AWS Security Hub CSPM, as descobertas são enviadas Phantom para enriquecimento automatizado do contexto com informações adicionais de inteligência sobre ameaças ou para realizar ações de resposta automatizadas.

[Link do produto](https://splunkbase.splunk.com/app/5767)

[Documentação do parceiro](https://splunkphantom.s3.amazonaws.com/phantom-sechub-setup.html)

### ThreatModeler
<a name="integration-threatmodeler"></a>

**Tipo de integração:** recebimento

O ThreatModeler é uma solução automatizada de modelagem de ameaças que protege e dimensiona o ciclo de vida do desenvolvimento do software corporativo e da nuvem.

[Link do produto](https://aws.amazon.com/marketplace/pp/B07S65ZLPQ)

[Documentação do parceiro](https://threatmodeler-setup-quickstart.s3.amazonaws.com/ThreatModeler+Setup+Guide/ThreatModeler+Setup+%26+Deployment+Guide.pdf)

### Trellix – Trellix Helix
<a name="integration-fireeye-helix"></a>

**Tipo de integração:** recebimento

O Trellix Helix é uma plataforma de operações de segurança hospedada na nuvem que permite às organizações assumir o controle de qualquer incidente, desde o alerta até a correção.

[Link do produto](https://www.trellix.com/en-us/products/helix.html)

[Documentação do parceiro](https://docs.trellix.com/bundle/fe-helix-enterprise-landing/)

## Integrações de terceiros que enviam e recebem descobertas do CSPM do Security Hub
<a name="integrations-third-party-send-receive"></a>

As integrações de produtos de parceiros terceirizados a seguir podem enviar e receber descobertas do CSPM do Security Hub.

### Caveonix – Caveonix Cloud
<a name="integration-caveonix-cloud"></a>

**Tipo de integração:** envio e recebimento

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/caveonix/caveonix-cloud`

A plataforma Caveonix baseada em IA automatiza a visibilidade, a avaliação e a mitigação em nuvens híbridas, abrangendo serviços e contêineres nativos da nuvem. VMs Integrado ao AWS Security Hub CSPM, Caveonix mescla AWS dados e análises avançadas para obter informações sobre alertas de segurança e conformidade.

[AWS Link do Marketplace](https://aws.amazon.com/marketplace/pp/prodview-v6nlnxa5e67es)

[Documentação do parceiro](https://support.caveonix.com/hc/en-us/articles/18171468832529-App-095-How-to-Integration-AWS-Security-Hub-with-Caveonix-Cloud-)

### Cloud Custodian – Cloud Custodian
<a name="integration-cloud-custodian"></a>

**Tipo de integração:** envio e recebimento

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian`

O Cloud Custodian permite que os usuários sejam bem gerenciados na nuvem. O YAML DSL simples permite regras facilmente definidas para habilitar uma infraestrutura de nuvem bem gerenciada que seja segura e otimizada para custos.

[Link do produto](https://cloudcustodian.io/docs/aws/topics/securityhub.html)

[Documentação do parceiro](https://cloudcustodian.io/docs/aws/topics/securityhub.html)

### DisruptOps, Inc. – DisruptOPS
<a name="integration-disruptops"></a>

**Tipo de integração:** envio e recebimento

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops`

A DisruptOps Security Operations Platform (plataforma de operações de segurança) ajuda as organizações a manter as melhores práticas de segurança na nuvem por meio do uso de proteções automatizadas.

[Link do produto](https://disruptops.com/ad/securityhub-isa/)

[Documentação do parceiro](https://disruptops.com/securityhub/)

### Kion
<a name="integration-kion"></a>

**Tipo de integração:** envio e recebimento

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/cloudtamerio/cloudtamerio`

O Kion (anteriormente cloudtamer.io) é uma solução completa de governança em nuvem para a AWS. O Kion dá às partes interessadas visibilidade das operações na nuvem e ajuda os usuários da nuvem a gerenciar contas, controlar o orçamento e os custos, e garantir a conformidade contínua.

[Link do produto](https://kion.io/partners/aws)

[Documentação do parceiro](https://support.kion.io/hc/en-us/articles/360046647551-AWS-Security-Hub)

### Turbot – Turbot
<a name="integration-turbot"></a>

**Tipo de integração:** envio e recebimento

**ARN do produto:** `arn:aws:securityhub:<REGION>::product/turbot/turbot`

O Turbot garante que sua infraestrutura de nuvem seja segura, compatível, dimensionável e otimizada para custos.

[Link do produto](https://turbot.com/features/)

[Documentação do parceiro](https://turbot.com/blog/2018/11/aws-security-hub/)

# Integração do CSPM do Security Hub com produtos personalizados
<a name="securityhub-custom-providers"></a>

Além das descobertas geradas por AWS serviços integrados e produtos de terceiros, o CSPM do AWS Security Hub pode consumir descobertas geradas por outros produtos de segurança personalizados.

É possível enviar essas descobertas ao CSPM do Security Hub usando a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) da API do CSPM do Security Hub. É possível usar a mesma operação para atualizar as descobertas de produtos personalizados que você já enviou para o CSPM do Security Hub.

Ao configurar a integração personalizada, use as [diretrizes e as listas de verificação](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-guidelines-checklists.html) fornecidas no *Guia de integração de parceiros do CSPM do Security Hub*.

## Requisitos e recomendações para integrações de produtos personalizados
<a name="securityhub-custom-providers-bfi-reqs"></a>

Antes de invocar a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) da API, é necessário habilitar o CSPM do Security Hub.

Você também deve fornecer detalhes da descoberta para o produto personalizado usando o [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md). Revise os seguintes requisitos e recomendações para integrações de produtos personalizados:

**Configurar o ARN do produto**  
Quando você habilita o CSPM do Security Hub, um nome do recurso da Amazon (ARN) do produto padrão para o CSPM do Security Hub é gerado em sua conta atual.  
Esse ARN do produto tem o seguinte formato: `arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default`. Por exemplo, .`arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default`  
Use esse ARN do produto como o valor para o atributo [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn) ao chamar a operação da API `BatchImportFindings`.

**Definir os nomes da empresa e do produto**  
É possível usar o `BatchImportFindings` para definir um nome de empresa e um nome de produto preferidos para a integração personalizada que está enviando descobertas para o CSPM do Security Hub.  
Seus nomes especificados substituem o nome da empresa e o nome do produto pré-configurados, chamados de nome pessoal e nome padrão, respectivamente, e aparecem no console do CSPM do Security Hub e no JSON de cada descoberta. Consulte [BatchImportFindings para encontrar fornecedores](finding-update-batchimportfindings.md).

**Definindo a descoberta IDs**  
Você deve fornecer, gerenciar e incrementar sua própria descoberta usando IDs o [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id)atributo.  
Cada nova descoberta deve ter um ID de descoberta exclusivo. Se o produto personalizado enviar várias descobertas com o mesmo ID de descoberta, o CSPM do Security Hub processará somente a primeira descoberta.

**Definir o ID da conta**  
É necessário especificar seu próprio ID de conta, usando o atributo [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId).

**Definir as datas de criação e atualização**  
É necessário fornecer seus próprios carimbos de data/hora para os atributos [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt) e [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt).

## Atualizar descobertas de produtos personalizados
<a name="securityhub-custom-providers-update-findings"></a>

Além de enviar novas descobertas de produtos personalizados, também é possível usar a operação de API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) para atualizar descobertas existentes de produtos personalizados.

Para atualizar descobertas existentes, use o ID da descoberta existente (pelo atributo [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id)). Reenvie a descoberta completa com as informações apropriadas atualizadas na solicitação, incluindo um time stamp [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt) modificado.

## Integrações personalizadas de exemplo
<a name="securityhub-custom-providers-examples"></a>

É possível usar as seguintes integrações de produtos personalizados como um guia para criar sua própria solução personalizada:

**Envio de descobertas de verificações do Chef InSpec ao CSPM do Security Hub**  
Você pode criar um CloudFormation modelo que executa uma verificação de [Chef InSpec](https://www.chef.io/products/chef-inspec/) conformidade e, em seguida, envia as descobertas para o CSPM do Security Hub.  
Para obter mais detalhes, consulte o [Monitoramento contínuo de conformidade com o Chef InSpec e o CSPM do AWS Security Hub](https://aws.amazon.com/blogs/security/continuous-compliance-monitoring-with-chef-inspec-and-aws-security-hub/).

**Envio de vulnerabilidades de contêiner detectadas pelo Trivy ao CSPM do Security Hub**  
Você pode criar um CloudFormation modelo usado [AquaSecurity Trivy](https://github.com/aquasecurity/trivy) para escanear contêineres em busca de vulnerabilidades e, em seguida, enviar essas descobertas de vulnerabilidade para o Security Hub CSPM.  
Para obter mais detalhes, consulte [Como criar um CI/CD pipeline para verificação de vulnerabilidades de contêineres com Trivy o AWS Security Hub CSPM](https://aws.amazon.com/blogs/security/how-to-build-ci-cd-pipeline-container-vulnerability-scanning-trivy-and-aws-security-hub/).

# Criação e atualização de descobertas no CSPM do Security Hub
<a name="securityhub-findings"></a>

No AWS Security Hub CSPM, uma *descoberta* é um registro observável de uma verificação de segurança ou detecção relacionada à segurança. Uma descoberta pode se originar de uma das origens a seguir:
+ Uma verificação de segurança de um controle no CSPM do Security Hub.
+ Uma integração com outra AWS service (Serviço da AWS).
+ Uma integração com um produto de terceiros.
+ Uma integração personalizada.

O Security Hub normaliza as descobertas de todas as origens em uma sintaxe e um formato de um padrão denominado *Formato de descoberta de segurança da AWS (ASFF)*. Para obter informações detalhadas sobre esse formato, incluindo descrições de campos individuais do ASFF, consulte[AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md). Se você habilitar a agregação entre regiões, o CSPM do Security Hub também agregará automaticamente as descobertas novas e atualizadas de todas as regiões vinculadas à uma região de agregação especificada por você. Para obter mais informações, consulte [Noções básicas sobre a agregação entre regiões no CSPM do Security Hub](finding-aggregation.md).

Depois que uma descoberta for criada, ela poderá ser atualizada da maneira a seguir:
+ Um provedor de descobertas pode usar a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) da API do CSPM do Security Hub para atualizar as informações gerais sobre a descoberta. Os provedores de descoberta só podem atualizar as descobertas que eles criaram.
+ Um cliente pode usar o console do CSPM do Security Hub ou a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) da API do CSPM do Security Hub para atualizar o status da investigação sobre a descoberta. A operação `BatchUpdateFindings` também pode ser usada por um SIEM, emissão de tíquetes, gerenciamento de incidentes, SOAR ou outro tipo de ferramenta em nome de um cliente.

Para reduzir o ruído de busca e agilizar o rastreamento e a análise das descobertas individuais, o CSPM do Security Hub excluirá automaticamente as descobertas que não forem atualizadas recentemente. O tempo em que o CSPM do Security Hub faz isso depende se a descoberta está ativa ou arquivada:
+ Uma *descoberta ativa* é uma descoberta cujo estado de registro (`RecordState`) é `ACTIVE`. O CSPM do Security Hub armazena as descobertas ativas por 90 dias. Se uma descoberta ativa não for atualizada por 90 dias, ela expirará e o CSPM do Security Hub a excluirá permanentemente.
+ Uma *descoberta arquivada* é uma descoberta cujo estado de registro (`RecordState`) é `ARCHIVED`. O CSPM do Security Hub armazena as descobertas arquivadas por 30 dias. Se uma descoberta arquivada não for atualizada por 30 dias, ela expirará e o CSPM do Security Hub a excluirá permanentemente.

Para as descobertas de controle, que são descobertas que o CSPM do Security Hub gera a partir de verificações de segurança para controles, o CSPM do Security Hub determina se a descoberta expirou com base no valor do campo `UpdatedAt` da descoberta. Se esse valor for de mais de 90 dias atrás para uma descoberta ativa, o CSPM do Security Hub exclui permanentemente a descoberta. Se esse valor for de mais de 30 dias atrás para uma descoberta arquivada, o CSPM do Security Hub exclui permanentemente a descoberta.

Para todos os outros tipos de descobertas, o CSPM do Security Hub determina se uma descoberta expirou com base nos valores dos campos `ProcessedAt` e `UpdatedAt` da descoberta. O CSPM do Security Hub compara os valores desses campos e determina qual é o mais recente. Se o valor mais recente for de mais de 90 dias atrás para uma descoberta ativa, o CSPM do Security Hub exclui permanentemente a descoberta. Se o valor mais recente for de mais de 30 dias atrás para uma descoberta arquivada, o CSPM do Security Hub exclui permanentemente a descoberta. Os provedores de descobertas podem alterar o valor do campo `UpdatedAt` de uma ou mais descobertas usando a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) da API do CSPM do Security Hub.

Para uma retenção de longo prazo de descobertas, é possível exportar as descobertas para um bucket do S3. Você pode fazer isso usando uma ação personalizada com uma EventBridge regra da Amazon. Para obter mais informações, consulte [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md).

**Topics**
+ [BatchImportFindings para encontrar fornecedores](finding-update-batchimportfindings.md)
+ [BatchUpdateFindings para clientes](finding-update-batchupdatefindings.md)
+ [Análise de detalhes e históricos de descobertas no CSPM do Security Hub](securityhub-findings-viewing.md)
+ [Filtragem de descobertas no CSPM do Security Hub](securityhub-findings-manage.md)
+ [Agrupamento de descobertas no CSPM do Security Hub](finding-list-grouping.md)
+ [Definição do status do fluxo de trabalho das descobertas no CSPM do Security Hub](findings-workflow-status.md)
+ [Envio de descobertas a uma ação personalizada do CSPM do Security Hub](findings-custom-action.md)
+ [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md)

# BatchImportFindings para encontrar fornecedores
<a name="finding-update-batchimportfindings"></a>

Os provedores de descobertas podem usar a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) para criar novas descobertas no CSPM do AWS Security Hub. Eles também podem usar essa operação para atualizar as descobertas que criaram. Os provedores de descoberta não podem atualizar as descobertas que eles não criaram.

Clientes SIEMs, emissão de bilhetes, SOAR e outros tipos de ferramentas devem usar a [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operação para fazer atualizações relacionadas à investigação das descobertas de fornecedores. Para obter mais informações, consulte [BatchUpdateFindings para clientes](finding-update-batchupdatefindings.md).

Quando o Security Hub CSPM recebe uma `BatchImportFindings` solicitação para criar ou atualizar uma descoberta, ele gera automaticamente um **Security Hub Findings - Imported**evento na Amazon. EventBridge É possível realizar ações automatizadas em relação a esse evento. Para obter mais informações, consulte [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md).

## Pré-requisitos para usar o `BatchImportFindings`
<a name="batchimportfindings-accounts-batch-size"></a>

`BatchImportFindings` deve ser um dos seguintes:
+ A conta associada às descobertas. O identificador da conta associada deve corresponder ao valor do atributo `AwsAccountId` da descoberta.
+ Uma conta que está na lista de permissões como uma integração de parceiro oficial do CSPM do Security Hub.

O CSPM do Security Hub só pode aceitar atualizações de descobertas para contas que tenham o CSPM do Security Hub habilitado. O provedor de descoberta também deve estar habilitado. Se o CSPM do Security Hub estiver desabilitado ou se a integração do provedor de descoberta não estiver habilitada, as descobertas serão retornadas na lista `FailedFindings` com um erro `InvalidAccess`.

## Determinar se uma descoberta deve ser criada ou atualizada
<a name="batchimportfindings-create-or-update"></a>

Para determinar se deve criar ou atualizar uma descoberta, o CSPM do Security Hub verifica o campo `ID`. Se o valor de `ID` não corresponder a uma descoberta existente, o CSPM do Security Hub criará uma descoberta.

Se `ID` corresponder a uma descoberta existente, o CSPM do Security Hub verificará o campo `UpdatedAt` da atualização e prossegue da forma a seguir:
+ Se `UpdatedAt` na atualização corresponder ou ocorrer antes de `UpdatedAt` na descoberta existente, o CSPM do Security Hub ignorará a atualização solicitada.
+ Se `UpdatedAt` na atualização ocorrer após `UpdatedAt` na descoberta existente, o CSPM do Security Hub atualizará a descoberta existente.

## Restrições a atualizações de descobertas com `BatchImportFindings`
<a name="batchimportfindings-restricted-fields"></a>

Para uma descoberta existente, os provedores de descobertas não podem usar `BatchImportFindings` para atualizar os seguintes atributos e objetos:
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

O CSPM do Security Hub ignorará qualquer conteúdo fornecido em uma solicitação de `BatchImportFindings` para esses atributos. Clientes ou entidades que atuam em seu nome (como ferramentas de criação de tíquetes) podem usar `BatchUpdateFindings` para atualizar esses atributos.

## Atualizar descobertas com FindingProviderFields
<a name="batchimportfindings-findingproviderfields"></a>

Os provedores de busca também não devem ser usados `BatchImportFindings` para atualizar os seguintes atributos de nível superior no AWS Security Finding Format (ASFF):
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

Em vez disso, os provedores de descobertas devem usar o objeto [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) para fornecer valores para esses atributos.

**Exemplo**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

Para solicitações de `BatchImportFindings`, o CSPM do Security Hub manipula valores nos atributos de nível superior e no [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) da forma a seguir.

**(Preferencial) `BatchImportFindings` fornece um valor para um atributo em [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields), mas não fornece um valor para o atributo de nível superior correspondente.**  
Por exemplo, `BatchImportFindings` fornece `FindingProviderFields.Confidence`, mas não fornece `Confidence`. Essa é a opção preferencial para solicitações de `BatchImportFindings`.  
O CSPM do Security Hub atualiza o valor do atributo em `FindingProviderFields`.  
Ele só replica o valor para o atributo de nível superior se o atributo ainda não foi atualizado por `BatchUpdateFindings`.

**O `BatchImportFindings` fornece um valor para um atributo de nível superior, mas não fornece um valor para o atributo correspondente em `FindingProviderFields`.**  
Por exemplo, `BatchImportFindings` fornece `Confidence`, mas não fornece `FindingProviderFields.Confidence`.  
O CSPM do Security Hub usa o valor para atualizar o atributo em `FindingProviderFields`. Ele sobrescreve qualquer valor existente.  
O CSPM do Security Hub atualiza o atributo de nível superior somente se o atributo ainda não tiver sido atualizado por `BatchUpdateFindings`.

**`BatchImportFindings` fornece um valor para um atributo de nível superior e para o atributo correspondente em `FindingProviderFields`.**  
Por exemplo, `BatchImportFindings` fornece ambos `Confidence` e `FindingProviderFields.Confidence`.  
Para uma nova descoberta, o CSPM do Security Hub usa o valor em `FindingProviderFields` para preencher o atributo de nível superior e o atributo correspondente em `FindingProviderFields`. Ele não usa o valor do atributo de nível superior fornecido.  
Para uma descoberta existente, o CSPM do Security Hub usa ambos os valores. No entanto, ele atualiza o atributo de nível superior somente se o atributo ainda não tiver sido atualizado por `BatchUpdateFindings`.

# BatchUpdateFindings para clientes
<a name="finding-update-batchupdatefindings"></a>

AWS Os clientes do CSPM do Security Hub e as entidades que atuam em seu nome podem usar a [BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operação para atualizar as informações relacionadas ao processamento das descobertas do CSPM do Security Hub na busca de fornecedores. Como cliente, é possível usar essa operação diretamente. As ferramentas de SIEM, emissão de tíquetes, gerenciamento de incidentes e SOAR também podem usar essa operação em nome de um cliente.

Você não pode usar a operação `BatchUpdateFindings` para criar novas descobertas. Contudo, é possível usá-la para atualizar até 100 descobertas existentes por vez. Em uma `BatchUpdateFindings` solicitação, você especifica quais descobertas atualizar, quais campos do Formato de Descoberta de AWS Segurança (ASFF) devem ser atualizados para as descobertas e os novos valores para os campos. Em seguida, o CSPM do Security Hub atualizará as descobertas conforme especificado em sua solicitação. Esse processo pode levar alguns minutos. Se você atualizar as descobertas usando a operação `BatchUpdateFindings`, suas atualizações não afetarão os valores existentes no campo `UpdatedAt` das descobertas.

Quando o Security Hub CSPM recebe uma `BatchUpdateFindings` solicitação para atualizar uma descoberta, ele gera automaticamente um **Security Hub Findings – Imported**evento na Amazon. EventBridge Opcionalmente, é possível usar esse evento para realizar uma ação automática na descoberta especificada. Para obter mais informações, consulte [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md).

## Campos disponíveis para BatchUpdateFindings
<a name="batchupdatefindings-fields"></a>

Se você estiver conectado a uma conta de administrador do CSPM do Security Hub, poderá usar `BatchUpdateFindings` para atualizar as descobertas geradas via conta do administrador ou contas de membro. As contas de membro só podem usar `BatchUpdateFindings` para atualizar descobertas para sua própria conta.

Os clientes podem usar `BatchUpdateFindings` para atualizar os seguintes campos e objetos:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

## Configurar o acesso ao BatchUpdateFindings
<a name="batchupdatefindings-configure-access"></a>

Você pode configurar políticas AWS Identity and Access Management (IAM) para restringir o acesso ao uso `BatchUpdateFindings` para atualizar campos de busca e valores de campo.

Em uma declaração para restringir o acesso ao `BatchUpdateFindings`, use os seguintes valores:
+ `Action` é `securityhub:BatchUpdateFindings`
+ `Effect` é `Deny`
+ Para `Condition`, você pode negar uma solicitação `BatchUpdateFindings` com base no seguinte:
  + A descoberta inclui um campo específico.
  + A descoberta inclui um valor de campo específico.

### Chaves de condição
<a name="batchupdatefindings-configure-access-context-keys"></a>

Essas são as principais condições para restringir o acesso ao `BatchUpdateFindings`.

**Campo do ASFF**  
A principal condição para um campo do ASFF é a seguinte:  

```
securityhub:ASFFSyntaxPath/<fieldName>
```
Substitua `<fieldName>` pelo campo do ASFF. Ao configurar o acesso ao `BatchUpdateFindings`, inclua um ou mais campos do ASFF específicos em sua política do IAM em vez de um campo de nível principal. Por exemplo, para restringir o acesso ao campo `Workflow.Status`, é necessário incluir ` securityhub:ASFFSyntaxPath/Workflow.Status` em sua política em vez do campo de nível principal `Workflow`.

### Proibir atualizações em um campo
<a name="batchupdatefindings-configure-access-block-field"></a>

Para impedir que um usuário faça qualquer atualização em um campo específico, use uma condição como esta:

```
 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}
```

Por exemplo, a instrução a seguir indica que `BatchUpdateFindings` não pode ser usado para atualizar o campo `Workflow.Status` das descobertas.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}
```

### Proibir valores de campo específicos
<a name="batchupdatefindings-configure-access-block-field-values"></a>

Para impedir que um usuário configure um campo para um valor específico, use uma condição como esta:

```
"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}
```

Por exemplo, a declaração a seguir indica que `BatchUpdateFindings` não pode ser usado para configurar `Workflow.Status` para `SUPPRESSED`.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}
```

Também é possível fornecer uma lista de valores que não são permitidos.

```
 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}
```

Por exemplo, a declaração a seguir indica que `BatchUpdateFindings` não pode ser usado para configurar `Workflow.Status` para `RESOLVED` ou `SUPPRESSED`.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}
```

# Análise de detalhes e históricos de descobertas no CSPM do Security Hub
<a name="securityhub-findings-viewing"></a>

No AWS Security Hub CSPM, uma *descoberta* é um registro observável de uma verificação de segurança ou detecção relacionada à segurança. O CSPM do Security Hub gera uma descoberta quando conclui uma verificação de segurança de um controle e quando ingere uma descoberta de um AWS service (Serviço da AWS) ou de um produto de terceiros integrado. Cada descoberta inclui um histórico de alterações e outros detalhes, como uma classificação de gravidade e informações sobre os recursos afetados.

É possível analisar o histórico e outros detalhes das descobertas individuais no console do CSPM do Security Hub, ou programaticamente, com a API do CSPM do Security Hub ou a AWS CLI.

Para ajudar a simplificar sua análise, quando você escolhe uma determinada descoberta, o console do CSPM do Security Hub exibe um painel da descoberta. O painel inclui diversos menus e guias para a análise de diferentes detalhes de uma descoberta.

**Menu Ações**  
Nesse menu, você pode revisar o JSON completo de uma descoberta ou adicionar observações. Uma descoberta pode ter somente uma observação anexada a ela por vez. Esse menu também fornece opções para [definir o status do fluxo de trabalho de uma descoberta](findings-workflow-status.md) ou [enviar uma descoberta para uma ação personalizada](findings-custom-action.md) na Amazon EventBridge.

**Menu Investigar**  
Nesse menu, é possível investigar uma descoberta no Amazon Detective. Detective extrai entidades, como endereços IP e AWS usuários, de uma descoberta e visualiza suas atividades. É possível usar a atividade da entidade como ponto de partida para investigar a causa e o impacto de uma descoberta.

**Guia visão geral**  
Essa guia fornece um resumo de uma descoberta. Por exemplo, é possível determinar quando uma descoberta foi criada e atualizada pela última vez, em qual conta ela existe e a origem da descoberta. Para descobertas de controle, essa guia também mostra o nome da regra do AWS Config associada e um link para a orientação de correção na documentação do CSPM do Security Hub.  
No snapshot **Recursos** na guia **Visão geral**, é possível obter uma breve visão geral dos recursos envolvidos em uma descoberta. Para alguns recursos, isso inclui uma opção de **recurso aberto**, vinculada diretamente a um recurso afetado no AWS service (Serviço da AWS) console relevante. O snapshot **Histórico** mostra até duas alterações feitas na descoberta na data mais recente de acompanhamento do histórico. Por exemplo, se você fez uma alteração ontem e outra hoje, o snapshot mostrará a alteração de hoje. Para analisar as entradas anteriores, alterne para a guia **Histórico**.  
A linha **Conformidade** se expande para mostrar mais detalhes. Por exemplo, se um controle incluir parâmetros, é possível analisar os valores dos parâmetros que o CSPM do Security Hub usa no momento ao realizar verificações de segurança para o controle.

**Guia Recursos**  
Essa guia fornece detalhes sobre os recursos envolvidos em uma descoberta. Se você estiver conectado à conta proprietária de um recurso, poderá revisar o recurso no AWS service (Serviço da AWS) console aplicável. Se você não for o proprietário de um recurso, essa guia exibirá o Conta da AWS ID do proprietário.  
A linha **Detalhes** mostra detalhes específicos do recurso em uma descoberta. Ela mostra a seção [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html) da descoberta no formato JSON.  
A linha **Tags** mostra as chaves e os valores de tag atribuídos aos recursos envolvidos em uma descoberta. Os recursos [compatíveis com a operação GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html) da AWS Resource Groups Tagging API podem ser marcados. O CSPM do Security Hub chama essa operação usando um [perfil vinculado ao serviço](using-service-linked-roles.md) ao processar descobertas novas ou atualizadas, e recupera as tags dos recursos se o campo `Resource.Id` do Formato de descoberta de segurança da AWS (ASFF) estiver preenchido com o ARN de um recurso. O CSPM do Security Hub ignora o recurso inválido. IDs Para obter mais informações sobre a inclusão de tags de recursos nas descobertas, consulte [Tags](asff-resources-attributes.md#asff-resources-tags).

**Guia Histórico**  
Essa guia rastreia o histórico de uma descoberta. O histórico da descoberta está disponível para descobertas ativas e arquivadas. Ele fornece uma trilha das alterações feitas em uma descoberta ao longo do tempo, incluindo qual campo do ASFF foi alterado, quando a alteração ocorreu e qual usuário fez a alteração. Cada página na guia exibe até 20 alterações. As alterações mais recentes são exibidas primeiro.  
Para descobertas ativas, o histórico de descobertas está disponível por até 90 dias. Para descobertas arquivadas, o histórico de descobertas está disponível por até 30 dias. O histórico da descoberta inclui as alterações que foram feitas manual ou automaticamente pelas [regras de automação do CSPM do Security Hub](automation-rules.md). Ele não inclui as alterações feitas nos campos de timestamp de nível superior, como os campos `CreatedAt` e `UpdatedAt`.  
Se você estiver conectado a uma conta de administrador do CSPM do Security Hub, o histórico da descoberta será para a conta do administrador e todas as contas de membro.

**Guia Ameaça**  
Essa guia inclui dados dos objetos [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html), [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html) e [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html) do ASFF, incluindo o tipo de ameaça e se um recurso é o alvo ou o agente. Esses detalhes geralmente se aplicam às descobertas originadas na Amazon GuardDuty.

**Guia Vulnerabilidades**  
Essa guia exibe dados do objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html) do ASFF, incluindo se há explorações ou correções disponíveis associadas a uma descoberta. Esses detalhes normalmente se aplicam às descobertas originadas no Amazon Inspector.

As linhas em cada guia incluem uma opção de cópia ou de filtro. Por exemplo, se você abrir o painel de uma descoberta que tenha um status de fluxo de trabalho de **Notificado**, poderá escolher a opção de filtro ao lado da linha **Status do fluxo de trabalho**. Se você escolher **Exibir todas as descobertas com esse valor**, o CSPM do Security Hub filtra a tabela de descobertas para exibir apenas as descobertas com o mesmo status de fluxo de trabalho.

## Revisar os detalhes e o histórico das descobertas
<a name="finding-view-details-console"></a>

Escolha seu método preferido e siga as etapas para analisar os detalhes das descobertas no CSPM do Security Hub.

Se você habilitar a agregação entre regiões e fizer login na região de agregação, os dados da descoberta incluirão os dados da região de agregação e das regiões vinculadas. Em outras regiões, os dados da descoberta são específicos apenas daquela região. Para obter mais informações sobre agregação entre regiões, consulte [Noções básicas sobre a agregação entre regiões no CSPM do Security Hub](finding-aggregation.md).

------
#### [ Security Hub CSPM console ]

**Revisar os detalhes e o histórico das descobertas**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Para exibir uma lista de descobertas, execute um destes procedimentos:
   + No painel de navegação, selecione **Descobertas**. Adicione filtros de pesquisa conforme necessário para restringir a lista de descobertas.
   + No painel de navegação, escolha **Insights**. Escolha um insight. Em seguida, na lista de resultados, escolha um resultado de insight.
   + No painel de navegação, selecione **Integrações**. Escolha **Ver descobertas** para obter uma integração.
   + No painel de navegação, escolha **Controles**.

1. Escolha uma descoberta. O painel de descobertas exibirá os detalhes da descoberta.

1. Na página de descobertas, siga um destes procedimentos:
   + Para analisar detalhes específicos de uma descoberta, escolha uma guia.
   + Para tomar uma medida em relação à descoberta, escolha uma opção no menu **Ações**.
   + Para investigar a descoberta no Amazon Detective, escolha uma opção **Investigar**.

**nota**  
Se você se integrar AWS Organizations e estiver conectado a uma conta de membro, o painel de localização incluirá o nome da conta. Para contas de membro que são convidadas manualmente, em vez de por meio da integração com o Organizations, o painel da descoberta inclui apenas o ID da conta.

------
#### [ Security Hub CSPM API ]

Use a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)operação da API CSPM do Security Hub ou, se estiver usando a AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html)comando. É possível fornecer um ou mais valores para o parâmetro `Filters` para restringir as descobertas a recuperar.

Se o volume de resultados for muito grande, poderá usar o parâmetro `MaxResults` para limitar as descobertas a um determinado número e o parâmetro `NextToken` para paginar as descobertas. Use o parâmetro `SortCriteria` para classificar as descobertas por um campo específico.

Por exemplo, o AWS CLI comando a seguir recupera as descobertas que correspondem aos critérios de filtro especificados e classifica os resultados em ordem decrescente pelo `LastObservedAt` campo. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
```

Para revisar o histórico da descoberta, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html). Se você estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html)comando. Identifique a descoberta da qual você deseja obter o histórico com os campos `Id` e `ProductArn`. Para obter informações sobre esses campos, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html). Cada solicitação pode recuperar o histórico de apenas uma descoberta.

Por exemplo, o AWS CLI comando a seguir recupera o histórico da descoberta especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
```

------
#### [ PowerShell ]

Use o cmdlet `Get-SHUBFinding`. Opcionalmente, preencha o parâmetro `Filter` para restringir as descobertas a recuperar.

Por exemplo, o cmdlet a seguir recupera as descobertas que correspondam aos filtros fornecidos.

```
Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
```

------

**nota**  
Se você filtrar as descobertas por `CompanyName` ou `ProductName`, o CSPM do Security Hub usará os valores que fazem parte do objeto `ProductFields` do ASFF. O CSPM do Security Hub não usa os campos de nível superior `CompanyName` e `ProductName`.

# Filtragem de descobertas no CSPM do Security Hub
<a name="securityhub-findings-manage"></a>

AWS O Security Hub CSPM gera suas próprias descobertas a partir de verificações de segurança e recebe descobertas de produtos integrados. É possível exibir uma lista de descobertas nas páginas **Descobertas**, **Integrações** e **Insights** do console do CSPM do Security Hub. É possível adicionar filtros para restringir uma lista de descobertas para que a lista seja relevante para sua organização ou caso de uso.

Para obter informações sobre a filtragem de descobertas para um controle de segurança específico, consulte [Filtrar e classificar descobertas de controles](control-finding-list.md). As informações nesta página se aplicam às páginas **Descobertas** **Insights** e **Integrações**.

## Filtros padrão nas listas de descobertas
<a name="finding-list-default-filters"></a>

Por padrão, as listas de descobertas no console do CSPM do Security Hub são filtradas com base nos campos `RecordState` e `Workflow.Status` do Formato de descoberta de segurança da AWS (ASFF). Isso é além dos filtros para um insight ou uma integração específica.

O estado do registro indica se uma descoberta está ativa ou arquivada. Por padrão, uma lista de descobertas mostra apenas descobertas ativas. Um provedor de descobertas pode arquivar uma descoberta se ela não estiver mais ativa ou não for mais importante. O CSPM do Security Hub também arquiva automaticamente as descobertas de controles se o recurso associado for excluído.

O status do fluxo de trabalho indica o status da investigação de uma descoberta. Por padrão, uma lista de descobertas mostra somente as descobertas cujo fluxo de trabalho tem o status `NEW` ou `NOTIFIED`. É possível atualizar o status do fluxo de trabalho de uma descoberta.

## Instruções para a adição de filtros
<a name="finding-list-filters"></a>

É possível filtrar uma lista de descobertas por até dez atributos. Para cada atributo, você pode fornecer até 20 valores de filtro.

Ao filtrar a lista de descobertas, o CSPM do Security Hub aplica a lógica `AND` ao conjunto de filtros. Uma descoberta só será correspondente se corresponder a todos os filtros fornecidos. Por exemplo, se você adicionar GuardDuty como filtro para o **nome do produto** e `AwsS3Bucket` como filtro para o **tipo de recurso**, o Security Hub CSPM exibirá descobertas que correspondem a esses dois critérios.

O CSPM do Security Hub aplica a lógica `OR` a filtros que usam o mesmo atributo, mas valores diferentes. Por exemplo, se você adicionar ambos GuardDuty e o Amazon Inspector como valores de filtro para o **nome do produto**, o Security Hub CSPM exibirá descobertas que foram geradas por um ou pelo Amazon GuardDuty Inspector.

**Para adicionar filtros a uma lista de descobertas (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Para exibir uma lista das descobertas, siga um dos procedimentos a seguir no painel de navegação:
   + Escolha **Descobertas**.
   + Escolha **Insights**. Escolha um insight. Em seguida, na lista de resultados, escolha um resultado de insight.
   + Escolha **Integrations** (Integrações). Escolha **Ver descobertas** para obter uma integração.

1. Na caixa **Adicionar filtros**, selecione um ou mais campos pelos quais filtrar.

   Quando você filtra por **nome da empresa** ou **nome do produto**, o console usa o nível superior `CompanyName` e os `ProductName` campos do Formato de descoberta de AWS segurança (ASFF). A API usa os valores que estão aninhados sob `ProductFields`.

1. Selecione o tipo de correspondência do filtro.

   Para um filtro de strings, é possível escolher as opções a seguir:
   + **é**: encontre um valor que corresponda exatamente ao valor do filtro.
   + **começa com**: encontre um valor que comece com o valor do filtro.
   + **não é**: encontre um valor que não corresponda ao valor do filtro.
   + **não começa com**: encontre um valor que não comece com o valor do filtro.

   Para o campo **Tags de recursos**, é possível filtrar com base em chaves ou valores específicos.

   Para um filtro numérico, é possível escolher se será fornecido um único número (**Simples**) ou um intervalo de números (**Intervalo**).

   Para um filtro de data e hora, é possível escolher se será fornecido um período a partir da data atual (**Janela de rolagem**) ou de um intervalo de datas específico (**Intervalo fixo**).

   Adicionar vários filtros tem as seguintes interações:
   + Filtros **é** e **começa com** unidos por OR. Um valor corresponde se ele contiver algum dos valores do filtro. Por exemplo, se você especificar que o **Rótulo de gravidade é CRÍTICO** e o **Rótulo de gravidade é ALTO**, os resultados incluirão as descobertas de gravidade crítica e alta.
   + Os filtros **não é** e **não começa com** são unidos por E. Um valor corresponde apenas se não contiver algum dos valores do filtro. Por exemplo, se você especificar **Rótulo de gravidade não é BAIXO** e o **Rótulo de gravidade não é MÉDIO**, os resultados não incluirão descobertas de gravidade baixa ou média.

   Se você tiver um filtro **é** em um campo, você não pode ter um filtro **não é** ou **não começa com** no mesmo campo.

1. Especifique o valor do filtro. Em filtros de strings, o valor do filtro diferencia letras maiúsculas de minúsculas.

1. Escolha **Aplicar**.

   Para um filtro existente, é possível alterar o tipo de correspondência ou o valor do filtro. Em uma lista filtrada de descobertas, escolha o filtro. Na caixa **Editar filtro**, escolha o novo tipo de correspondência ou valor e depois escolha **Aplicar**.

   Para remover um filtro, escolha o ícone **x**. A lista é atualizada automaticamente para refletir a alteração.

# Agrupamento de descobertas no CSPM do Security Hub
<a name="finding-list-grouping"></a>

Você pode agrupar as descobertas no CSPM do AWS Security Hub com base nos valores de um atributo selecionado.

Quando você agrupa as descobertas, a lista de descobertas é substituída por uma lista de valores para o atributo selecionado nas descobertas correspondentes. Para cada valor, a lista exibe o número de descobertas correspondentes.

Por exemplo, se você agrupar as descobertas por Conta da AWS ID, verá uma lista de identificadores de conta, com o número de descobertas correspondentes para cada conta.

O CSPM do Security Hub pode exibir até 100 valores para um atributo selecionado. Se houver mais de 100 valores, você verá somente os 100 primeiros.

Quando você escolhe um valor de atributo, o CSPM do Security Hub exibe a lista de descobertas correspondentes para esse valor.

**Para agrupar as descobertas em uma lista de descobertas (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Para exibir uma lista das descobertas, siga um dos procedimentos a seguir no painel de navegação:
   + Escolha **Descobertas**.
   + Escolha **Insights**. Escolha um insight. Em seguida, na lista de resultados, escolha um resultado de insight.
   + Escolha **Integrations** (Integrações). Escolha **Ver descobertas** para obter uma integração.

1. Na lista suspensa **Agrupar por**, escolha o atributo a ser usado para o agrupamento.

   Para remover um atributo do agrupamento, selecione o ícone **x**. Quando você remove o atributo de agrupamento, a lista muda da lista de valores de atributos para uma lista de descobertas.

# Definição do status do fluxo de trabalho das descobertas no CSPM do Security Hub
<a name="findings-workflow-status"></a>

O status do fluxo de trabalho rastreia o andamento da investigação sobre uma descoberta. O status do fluxo de trabalho é específico para uma descoberta individual e não afeta a geração de novas descobertas. Por exemplo, se você alterar o status do fluxo de trabalho de uma descoberta para `SUPPRESSED` ou `RESOLVED`, sua descoberta não impede o CSPM do Security Hub de gerar uma nova descoberta para o mesmo problema.

O status do fluxo de trabalho de uma descoberta pode ser um dos valores a seguir.

**NOVO**  
O estado inicial de uma descoberta, antes de ser revisada.  
As descobertas que são ingeridas de forma integrada Serviços da AWS, como AWS Config, têm `NEW` como status inicial.  
O CSPM do Security Hub também redefine o status do fluxo de trabalho de `NOTIFIED` ou `RESOLVED` para `NEW` nos casos a seguir:  
+ `RecordState` é alterado de `ARCHIVED` para `ACTIVE`.
+ `Compliance.Status` é alterado de `PASSED` para `FAILED`, `WARNING`, ou `NOT_AVAILABLE`.
Essas alterações implicam que uma investigação adicional é necessária.

**NOTIFICADO**  
Indica que você notificou o proprietário do recurso sobre o problema de segurança. É possível usar esse status quando você não é o proprietário do recurso e precisa de intervenção do proprietário do recurso para resolver um problema de segurança.  
Se uma das situações a seguir ocorrer, o status do fluxo de trabalho será alterado automaticamente de `NOTIFIED` para `NEW`:  
+ `RecordState` é alterado de `ARCHIVED` para `ACTIVE`.
+ `Compliance.Status` é alterado de `PASSED` para `FAILED`, `WARNING`, ou `NOT_AVAILABLE`.

**SUPRIMIDO**  
Indica que você revisou a descoberta e não acredita que nenhuma ação seja necessária.  
O status do fluxo de trabalho de uma descoberta `SUPPRESSED` não muda se `RecordState` mudar de `ARCHIVED` para `ACTIVE`.

**RESOLVIDO**  
A descoberta foi revisada e corrigida e agora é considerada resolvida.  
A descoberta permanece `RESOLVED`, a menos que uma das seguintes condições ocorra:  
+ `RecordState` é alterado de `ARCHIVED` para `ACTIVE`.
+ `Compliance.Status` é alterado de `PASSED` para `FAILED`, `WARNING`, ou `NOT_AVAILABLE`.
Nesses casos, o status do fluxo de trabalho é automaticamente redefinido para `NEW`.  
Para descobertas de controles, se `Compliance.Status` for `PASSED`, o CSPM do Security Hub definirá automaticamente o status do fluxo de trabalho como `RESOLVED`.

## Definir o status do fluxo de trabalho das descobertas
<a name="setting-workflow-status"></a>

Para alterar o status do fluxo de trabalho de uma ou mais descobertas, é possível usar o console ou a API do CSPM do Security Hub. Se você alterar o status do fluxo de trabalho de uma descoberta, observe que pode levar alguns minutos para o CSPM do Security Hub processar sua solicitação e atualizar a descoberta.

**dica**  
Também é possível alterar o status do fluxo de trabalho das descobertas automaticamente usando regras de automação. Com as regras de automação, você configura o CSPM do Security Hub para atualizar automaticamente o status do fluxo de trabalho das descobertas com base nos critérios especificados. Para obter mais informações, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).

Para alterar o status do fluxo de trabalho de uma ou mais descobertas, escolha seu método preferido e siga as etapas.

------
#### [ Security Hub CSPM console ]

**Para alterar o status do fluxo de trabalho das descobertas**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, execute um dos procedimentos a seguir para exibir uma tabela de descobertas:
   + Escolha **Descobertas**.
   + Escolha **Insights**. Em seguida, escolha um insight. Nos resultados do insight, escolha um resultado.
   + Escolha **Integrations** (Integrações). Em seguida, na seção da integração, escolha **Ver descobertas**.
   + Escolha **padrões de segurança**. Em seguida, na seção do padrão, escolha **Exibir resultados**. Na tabela de controles, escolha um controle para exibir descobertas para o controle.

1. Na tabela descobertas, marque a caixa de seleção para cada descoberta cujo status de fluxo de trabalho você deseja alterar.

1. Na parte superior da página, escolha **Status do fluxo de trabalho** e, em seguida, escolha o novo status do fluxo de trabalho para as descobertas selecionadas.

1. Na caixa de diálogo **Definir status do fluxo de trabalho**, insir. opcionalmente, uma observação que detalhe o motivo da atualização do status do fluxo de trabalho. Escolha **Definir status**.

------
#### [ Security Hub CSPM API ]

Use a operação [BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Forneça o ID da descoberta e o ARN do produto que gerou a descoberta. Você pode obter esses detalhes usando a [GetFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)operação.

------
#### [ AWS CLI ]

Execute o comando [batch-update-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-findings.html). Forneça o ID da descoberta e o ARN do produto que gerou a descoberta. É possível obter esses detalhes executando o comando [get-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html).

```
batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"
```

**Exemplo**

```
aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"
```

------

# Envio de descobertas a uma ação personalizada do CSPM do Security Hub
<a name="findings-custom-action"></a>

Você pode criar ações personalizadas do AWS Security Hub CSPM para automatizar o CSPM do Security Hub com a Amazon. EventBridge Para ações personalizadas, o tipo de evento é **Security Hub Findings - Custom Action**. Depois de configurar uma ação personalizada, será possível enviar descobertas para ela. Para obter mais informações e etapas detalhadas sobre como criar ações personalizadas, consulte [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md).

**Como enviar descobertas para uma ação personalizada (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Para exibir uma lista de descobertas, execute um destes procedimentos:
   + No painel de navegação do CSPM do Security Hub, selecione **Descobertas**.
   + No painel de navegação do CSPM do Security Hub, selecione **Insights**. Escolha um insight. Em seguida, na lista de resultados, escolha um resultado de insight.
   + No painel de navegação do CSPM do Security Hub, escolha **Integrações**. Escolha **Ver descobertas** para obter uma integração.
   + No painel de navegação do CSPM do Security Hub, selecione **Padrões de segurança**. Escolha **Exibir resultados** para exibir uma lista de controles. Em seguida, escolha o nome do controle.

1. Na lista de descobertas, marque a caixa de seleção para cada descoberta a ser enviada para a ação personalizada.

   É possível enviar até 20 descobertas por vez.

1. Em **Ações**, escolha a ação personalizada.

# AWS Formato de descoberta de segurança (ASFF)
<a name="securityhub-findings-format"></a>

AWS O Security Hub CSPM consome e agrega descobertas de produtos integrados Serviços da AWS e de terceiros. O CSPM do Security Hub processa essas descobertas usando um formato padrão de descobertas chamado *Formato de descoberta de segurança da AWS (ASFF)*, que elimina a necessidade de esforços demorados de conversão de dados.

Esta página fornece um resumo completo do JSON para uma descoberta no AWS Security Finding Format (ASFF). O formato é derivado do [Esquema JSON](https://json-schema.org/). Escolha o nome de um objeto vinculado para analisar um exemplo de descoberta para esse objeto. A comparação das suas descobertas do CSPM do Security Hub com os recursos e exemplos mostrados aqui pode ajudá-lo a interpretar suas descobertas.

Para obter descrições dos atributos individuais do ASFF, consulte [Atributos de nível superior do ASFT obrigatórios](asff-required-attributes.md) e [Atributos de nível superior do ASFF opcionais](asff-top-level-attributes.md).

```
"Findings": [ 
    {
    	"Action": {
    		"ActionType": "string",
    		"AwsApiCallAction": {
    			"AffectedResources": {
    				"string": "string"
    			},
    			"Api": "string",
    			"CallerType": "string",
    			"DomainDetails": {
    				"Domain": "string"
    			},
    			"FirstSeen": "string",
    			"LastSeen": "string",
    			"RemoteIpDetails": {
    				"City": {
    					"CityName": "string"
    				},
    				"Country": {
    					"CountryCode": "string",
    					"CountryName": "string"
    				},
    				"IpAddressV4": "string",
    				"Geolocation": {
    					"Lat": number,
    					"Lon": number
    				},
    				"Organization": {
    					"Asn": number,
    					"AsnOrg": "string",
    					"Isp": "string",
    					"Org": "string"
    				}
    			},
    			"ServiceName": "string"
    		},
    		"DnsRequestAction": {
    			"Blocked": boolean,
    			"Domain": "string",
    			"Protocol": "string"
    		},
    		"NetworkConnectionAction": {
    			"Blocked": boolean,
    			"ConnectionDirection": "string",
    			"LocalPortDetails": {
    				"Port": number,
    				"PortName": "string"
    			},
    			"Protocol": "string",
    			"RemoteIpDetails": {
    				"City": {
    					"CityName": "string"
    				},
    				"Country": {
    					"CountryCode": "string",
    					"CountryName": "string"
    				},
    				"IpAddressV4": "string",
    				"Geolocation": {
    					"Lat": number,
    					"Lon": number
    				},
    				"Organization": {
    					"Asn": number,
    					"AsnOrg": "string",
    					"Isp": "string",
    					"Org": "string"
    				}
    			},
    			"RemotePortDetails": {
    				"Port": number,
    				"PortName": "string"
    			}
    		},
    		"PortProbeAction": {
    			"Blocked": boolean,
    			"PortProbeDetails": [{
    				"LocalIpDetails": {
    					"IpAddressV4": "string"
    				},
    				"LocalPortDetails": {
    					"Port": number,
    					"PortName": "string"
    				},
    				"RemoteIpDetails": {
    					"City": {
    						"CityName": "string"
    					},
    					"Country": {
    						"CountryCode": "string",
    						"CountryName": "string"
    					},
    					"GeoLocation": {
    						"Lat": number,
    						"Lon": number
    					},
    					"IpAddressV4": "string",
    					"Organization": {
    						"Asn": number,
    						"AsnOrg": "string",
    						"Isp": "string",
    						"Org": "string"
    					}
    				}
    			}]
    		}
    	},
    	"AwsAccountId": "string",
    	"AwsAccountName": "string",
    	"CompanyName": "string",
    	"Compliance": {
    		"AssociatedStandards": [{
    			"StandardsId": "string"
    		}],
    		"RelatedRequirements": ["string"],
    		"SecurityControlId": "string",
    		"SecurityControlParameters": [
    			{
    				"Name": "string",
    				"Value": ["string"]
    			}
   		],
    		"Status": "string",
    		"StatusReasons": [
    			{
    				"Description": "string",
    				"ReasonCode": "string"
    			}
    		]
    	},
    	"Confidence": number,
    	"CreatedAt": "string",
    	"Criticality": number,
    	"Description": "string",
    	"Detection": {
    		"Sequence": {
    			"Uid": "string",
    			"Actors": [{
    				"Id": "string",
    				"Session": {
    					"Uid": "string",
    					"MfAStatus": "string",
    					"CreatedTime": "string",
    					"Issuer": "string"
    				},
    				"User": {
    					"CredentialUid": "string",
    					"Name": "string",
    					"Type": "string",
    					"Uid": "string",
    					"Account": {
    						"Uid": "string",
    						"Name": "string"
    					}
    				}
    			}],
    			"Endpoints": [{
    				"Id": "string",
    				"Ip": "string",
    				"Domain": "string",
    				"Port": number,
    				"Location": {
    					"City": "string",
    					"Country": "string",
    					"Lat": number,
    					"Lon": number
    				},
    				"AutonomousSystem": {
    					"Name": "string",
    					"Number": number
    				},
    				"Connection": {
    					"Direction": "string"
    				}
    			}],
    			"Signals": [{
    				"Id": "string",
    				"Title": "string",
    				"ActorIds": ["string"],
    				"Count": number,
    				"FirstSeenAt": number,
    				"SignalIndicators": [
    					{
    						"Key": "string",
    						"Title": "string",
    						"Values": ["string"]
    					},
    					{
    						"Key": "string",
    						"Title": "string",
    						"Values": ["string"]
    					}
    				],
    				"LastSeenAt": number,
    				"Name": "string",
    				"ResourceIds": ["string"],
    				"Type": "string"
    			}],
    			"SequenceIndicators": [
    				{
    					"Key": "string",
    					"Title": "string",
    					"Values": ["string"]
    				},
    				{
    					"Key": "string",
    					"Title": "string",
    					"Values": ["string"]
    				}
    			]
    		}
    	},
    	"FindingProviderFields": {
    		"Confidence": number,
    		"Criticality": number,
    		"RelatedFindings": [{
    			"ProductArn": "string",
    			"Id": "string"
    		}],
    		"Severity": {
    			"Label": "string",
    			"Normalized": number,
    			"Original": "string"
    		},
    		"Types": ["string"]
    	},
    	"FirstObservedAt": "string",
    	"GeneratorId": "string",
    	"Id": "string",
    	"LastObservedAt": "string",
    	"Malware": [{
    		"Name": "string",
    		"Path": "string",
    		"State": "string",
    		"Type": "string"
    	}],
    	"Network": {
    		"DestinationDomain": "string",
    		"DestinationIpV4": "string",
    		"DestinationIpV6": "string",
    		"DestinationPort": number,
    		"Direction": "string",
    		"OpenPortRange": {
    			"Begin": integer,
    			"End": integer
    		},
    		"Protocol": "string",
    		"SourceDomain": "string",
    		"SourceIpV4": "string",
    		"SourceIpV6": "string",
    		"SourceMac": "string",
    		"SourcePort": number
    	},
    	"NetworkPath": [{
    		"ComponentId": "string",
    		"ComponentType": "string",
    		"Egress": {
    			"Destination": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			},
    			"Protocol": "string",
    			"Source": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			}
    		},
    		"Ingress": {
    			"Destination": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			},
    			"Protocol": "string",
    			"Source": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			}
    		}
    	}],
    	"Note": {
    		"Text": "string",
    		"UpdatedAt": "string",
    		"UpdatedBy": "string"
    	},
    	"PatchSummary": {
    		"FailedCount": number,
    		"Id": "string",
    		"InstalledCount": number,
    		"InstalledOtherCount": number,
    		"InstalledPendingReboot": number,
    		"InstalledRejectedCount": number,
    		"MissingCount": number,
    		"Operation": "string",
    		"OperationEndTime": "string",
    		"OperationStartTime": "string",
    		"RebootOption": "string"
    	},
    	"Process": {
    		"LaunchedAt": "string",
    		"Name": "string",
    		"ParentPid": number,
    		"Path": "string",
    		"Pid": number,
    		"TerminatedAt": "string"
    	},
    	"ProductArn": "string",
    	"ProductFields": {
    		"string": "string"
    	},
    	"ProductName": "string",
    	"RecordState": "string",
    	"Region": "string",
    	"RelatedFindings": [{
    		"Id": "string",
    		"ProductArn": "string"
    	}],
    	"Remediation": {
    		"Recommendation": {
    			"Text": "string",
    			"Url": "string"
    		}
    	},
    	"Resources": [{
    		"ApplicationArn": "string",
    		"ApplicationName": "string",
    		"DataClassification": {
    			"DetailedResultsLocation": "string",
    			"Result": {
    				"AdditionalOccurrences": boolean,
    				"CustomDataIdentifiers": {
    					"Detections": [{
    						"Arn": "string",
    						"Count": integer,
    						"Name": "string",
    						"Occurrences": {
    							"Cells": [{
    								"CellReference": "string",
    								"Column": integer,
    								"ColumnName": "string",
    								"Row": integer
    							}],
    							"LineRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"OffsetRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"Pages": [{
    								"LineRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"OffsetRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"PageNumber": integer
    							}],
    							"Records": [{
    								"JsonPath": "string",
    								"RecordIndex": integer
    							}]
    						}
    					}],
    					"TotalCount": integer
    				},
    				"MimeType": "string",
    				"SensitiveData": [{
    					"Category": "string",
    					"Detections": [{
    						"Count": integer,
    						"Occurrences": {
    							"Cells": [{
    								"CellReference": "string",
    								"Column": integer,
    								"ColumnName": "string",
    								"Row": integer
    							}],
    							"LineRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"OffsetRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"Pages": [{
    								"LineRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"OffsetRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"PageNumber": integer
    							}],
    							"Records": [{
    								"JsonPath": "string",
    								"RecordIndex": integer
    							}]
    						},
    						"Type": "string"
    					}],
    					"TotalCount": integer
    				}],
    				"SizeClassified": integer,
    				"Status": {
    					"Code": "string",
    					"Reason": "string"
    				}
    			}
    		},
    		"Details": {
    			"AwsAmazonMQBroker": {
    				"AutoMinorVersionUpgrade": boolean,
    				"BrokerArn": "string",
    				"BrokerId": "string",
    				"BrokerName": "string",
    				"Configuration": {
    					"Id": "string",
    					"Revision": integer
    				},
    				"DeploymentMode": "string",
    				"EncryptionOptions": {
    					"UseAwsOwnedKey": boolean
    				},
    				"EngineType": "string",
    				"EngineVersion": "string",
    				"HostInstanceType": "string",
    				"Logs": {
    					"Audit": boolean,
    					"AuditLogGroup": "string",
    					"General": boolean,
    					"GeneralLogGroup": "string"
    				},
    				"MaintenanceWindowStartTime": {
    					"DayOfWeek": "string",
    					"TimeOfDay": "string",
    					"TimeZone": "string"
    				},
    				"PubliclyAccessible": boolean,
    				"SecurityGroups": [
    					"string"
    				],
    				"StorageType": "string",
    				"SubnetIds": [
    					"string",
    					"string"
    				],
    				"Users": [{
    					"Username": "string"
    				}]
    			},
    			"AwsApiGatewayRestApi": {
    				"ApiKeySource": "string",
    				"BinaryMediaTypes": [" string"],
    				"CreatedDate": "string",
    				"Description": "string",
    				"EndpointConfiguration": {
    					"Types": ["string"]
    				},
    				"Id": "string",
    				"MinimumCompressionSize": number,
    				"Name": "string",
    				"Version": "string"
    			},
    			"AwsApiGatewayStage": {
    				"AccessLogSettings": {
    					"DestinationArn": "string",
    					"Format": "string"
    				},
    				"CacheClusterEnabled": boolean,
    				"CacheClusterSize": "string",
    				"CacheClusterStatus": "string",
    				"CanarySettings": {
    					"DeploymentId": "string",
    					"PercentTraffic": number,
    					"StageVariableOverrides": [{
    						"string": "string"
    					}],
    					"UseStageCache": boolean
    				},
    				"ClientCertificateId": "string",
    				"CreatedDate": "string",
    				"DeploymentId": "string",
    				"Description": "string",
    				"DocumentationVersion": "string",
    				"LastUpdatedDate": "string",
    				"MethodSettings": [{
    					"CacheDataEncrypted": boolean,
    					"CachingEnabled": boolean,
    					"CacheTtlInSeconds": number,
    					"DataTraceEnabled": boolean,
    					"HttpMethod": "string",
    					"LoggingLevel": "string",
    					"MetricsEnabled": boolean,
    					"RequireAuthorizationForCacheControl": boolean,
    					"ResourcePath": "string",
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number,
    					"UnauthorizedCacheControlHeaderStrategy": "string"
    				}],
    				"StageName": "string",
    				"TracingEnabled": boolean,
    				"Variables": {
    					"string": "string"
    				},
    				"WebAclArn": "string"
    			},
    			"AwsApiGatewayV2Api": {
    				"ApiEndpoint": "string",
    				"ApiId": "string",
    				"ApiKeySelectionExpression": "string",
    				"CorsConfiguration": {
    					"AllowCredentials": boolean,
    					"AllowHeaders": ["string"],
    					"AllowMethods": ["string"],
    					"AllowOrigins": ["string"],
    					"ExposeHeaders": ["string"],
    					"MaxAge": number
    				},
    				"CreatedDate": "string",
    				"Description": "string",
    				"Name": "string",
    				"ProtocolType": "string",
    				"RouteSelectionExpression": "string",
    				"Version": "string"
    			},
    			"AwsApiGatewayV2Stage": {
    				"AccessLogSettings": {
    					"DestinationArn": "string",
    					"Format": "string"
    				},
    				"ApiGatewayManaged": boolean,
    				"AutoDeploy": boolean,
    				"ClientCertificateId": "string",
    				"CreatedDate": "string",
    				"DefaultRouteSettings": {
    					"DataTraceEnabled": boolean,
    					"DetailedMetricsEnabled": boolean,
    					"LoggingLevel": "string",
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number
    				},
    				"DeploymentId": "string",
    				"Description": "string",
    				"LastDeploymentStatusMessage": "string",
    				"LastUpdatedDate": "string",
    				"RouteSettings": {
    					"DetailedMetricsEnabled": boolean,
    					"LoggingLevel": "string",
    					"DataTraceEnabled": boolean,
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number
    				},
    				"StageName": "string",
    				"StageVariables": [{
    					"string": "string"
    				}]
    			},
    			"AwsAppSyncGraphQLApi": {
    				"AwsAppSyncGraphQlApi": {
    					"AdditionalAuthenticationProviders": [
    					{
    						"AuthenticationType": "string",
    						"LambdaAuthorizerConfig": {
    							"AuthorizerResultTtlInSeconds": integer,
    							"AuthorizerUri": "string"
    						}
    					},
    					{
    						"AuthenticationType": "string"
    					}
    					],
    					"ApiId": "string",
    					"Arn": "string",
    					"AuthenticationType": "string",
    					"Id": "string",
    					"LogConfig": {
    						"CloudWatchLogsRoleArn": "string",
    						"ExcludeVerboseContent": boolean,
    						"FieldLogLevel": "string"
    					},
    					"Name": "string",
    					"XrayEnabled": boolean
    				}
    			},
    			"AwsAthenaWorkGroup": {
    				"Description": "string",
    				"Name": "string",
    				"WorkgroupConfiguration": {
    					"ResultConfiguration": {
    						"EncryptionConfiguration": {
    							"EncryptionOption": "string",
    							"KmsKey": "string"
    						}
    					}
    				},
    				"State": "string"
    			},
    			"AwsAutoScalingAutoScalingGroup": {
    				"AvailabilityZones": [{
    					"Value": "string"
    				}],
    				"CreatedTime": "string",
    				"HealthCheckGracePeriod": integer,
    				"HealthCheckType": "string",
    				"LaunchConfigurationName": "string",
    				"LoadBalancerNames": ["string"],
    				"LaunchTemplate": {                            
                        "LaunchTemplateId": "string",
                        "LaunchTemplateName": "string",
                        "Version": "string"
                    },
    				"MixedInstancesPolicy": {
    					"InstancesDistribution": {
    						"OnDemandAllocationStrategy": "string",
    						"OnDemandBaseCapacity": number,
    						"OnDemandPercentageAboveBaseCapacity": number,
    						"SpotAllocationStrategy": "string",
    						"SpotInstancePools": number,
    						"SpotMaxPrice": "string"
    					},
    					"LaunchTemplate": {
    						"LaunchTemplateSpecification": {
    							"LaunchTemplateId": "string",
    							"LaunchTemplateName": "string",
    							"Version": "string"
    						},
    						"CapacityRebalance": boolean,
    						"Overrides": [{
    							"InstanceType": "string",
    							"WeightedCapacity": "string"
    						}]
    					}
    				}
    			},
    			"AwsAutoScalingLaunchConfiguration": {
    				"AssociatePublicIpAddress": boolean,
    				"BlockDeviceMappings": [{
    					"DeviceName": "string",
    					"Ebs": {
    						"DeleteOnTermination": boolean,
    						"Encrypted": boolean,
    						"Iops": number,
    						"SnapshotId": "string",
    						"VolumeSize": number,
    						"VolumeType": "string"
    					},
    					"NoDevice": boolean,
    					"VirtualName": "string"
    				}],
    				"ClassicLinkVpcId": "string",
    				"ClassicLinkVpcSecurityGroups": ["string"],
    				"CreatedTime": "string",
    				"EbsOptimized": boolean,
    				"IamInstanceProfile": "string"
    			},
    			"ImageId": "string",
    			"InstanceMonitoring": {
    				"Enabled": boolean
    			},
    			"InstanceType": "string",
    			"KernelId": "string",
    			"KeyName": "string",
    			"LaunchConfigurationName": "string",
    			"MetadataOptions": {
    				"HttpEndPoint": "string",
    				"HttpPutReponseHopLimit": number,
    				"HttpTokens": "string"
    			},
    			"PlacementTenancy": "string",
    			"RamdiskId": "string",
    			"SecurityGroups": ["string"],
    			"SpotPrice": "string",
    			"UserData": "string"
    		},
    		"AwsBackupBackupPlan": {
    			"BackupPlan": {
    				"AdvancedBackupSettings": [{
    					"BackupOptions": {
    						"WindowsVSS":"string"
    					},
    					"ResourceType":"string"
    				}],
    				"BackupPlanName": "string",
    				"BackupPlanRule": [{
    					"CompletionWindowMinutes": integer,
    					"CopyActions": [{
    						"DestinationBackupVaultArn": "string",
    						"Lifecycle": {
    							"DeleteAfterDays": integer,
    							"MoveToColdStorageAfterDays": integer
    						}
    					}],
    					"Lifecycle": {
    						"DeleteAfterDays": integer
    					},
    					"RuleName": "string",
    					"ScheduleExpression": "string",
    					"StartWindowMinutes": integer,
    					"TargetBackupVault": "string"
    				}]
    			},
    			"BackupPlanArn": "string",
    			"BackupPlanId": "string",
    			"VersionId": "string"
    	},
    		"AwsBackupBackupVault": {
    			"AccessPolicy": {
    				"Statement": [{
    					"Action": ["string"],
    					"Effect": "string",
    					"Principal": {
    						"AWS": "string"
    					},
    					"Resource": "string"
    				}],
    				"Version": "string"
    			},
    			"BackupVaultArn": "string",
    			"BackupVaultName": "string",
    			"EncryptionKeyArn": "string",
    			"Notifications": {
    				"BackupVaultEvents": ["string"],
    				"SNSTopicArn": "string"
    			}
    		},
    		"AwsBackupRecoveryPoint": {
    			"BackupSizeInBytes": integer,
    			"BackupVaultName": "string",
    			"BackupVaultArn": "string",
    			"CalculatedLifecycle": {
    				"DeleteAt": "string",
    				"MoveToColdStorageAt": "string"
    			},
    			"CompletionDate": "string",
    			"CreatedBy": {
    				"BackupPlanArn": "string",
    				"BackupPlanId": "string",
    				"BackupPlanVersion": "string",
    				"BackupRuleId": "string"
    			},
    			"CreationDate": "string",
    			"EncryptionKeyArn": "string",
    			"IamRoleArn": "string",
    			"IsEncrypted": boolean,
    			"LastRestoreTime": "string",
    			"Lifecycle": {
    				"DeleteAfterDays": integer,
    				"MoveToColdStorageAfterDays": integer
    			},
    			"RecoveryPointArn": "string",
    			"ResourceArn": "string",
    			"ResourceType": "string",
    			"SourceBackupVaultArn": "string",
    			"Status": "string",
    			"StatusMessage": "string",
    			"StorageClass": "string"
    		},
    		"AwsCertificateManagerCertificate": {
    			"CertificateAuthorityArn": "string",
    			"CreatedAt": "string",
    			"DomainName": "string",
    			"DomainValidationOptions": [{
    				"DomainName": "string",
    				"ResourceRecord": {
    					"Name": "string",
    					"Type": "string",
    					"Value": "string"
    				},
    				"ValidationDomain": "string",
    				"ValidationEmails": ["string"],
    				"ValidationMethod": "string",
    				"ValidationStatus": "string"
    			}],
    			"ExtendedKeyUsages": [{
    				"Name": "string",
    				"OId": "string"
    			}],
    			"FailureReason": "string",
    			"ImportedAt": "string",
    			"InUseBy": ["string"],
    			"IssuedAt": "string",
    			"Issuer": "string",
    			"KeyAlgorithm": "string",
    			"KeyUsages": [{
    				"Name": "string"
    			}],
    			"NotAfter": "string",
    			"NotBefore": "string",
    			"Options": {
    				"CertificateTransparencyLoggingPreference": "string"
    			},
    			"RenewalEligibility": "string",
    			"RenewalSummary": {
    				"DomainValidationOptions": [{
    					"DomainName": "string",
    					"ResourceRecord": {
    						"Name": "string",
    						"Type": "string",
    						"Value": "string"
    					},
    					"ValidationDomain": "string",
    					"ValidationEmails": ["string"],
    					"ValidationMethod": "string",
    					"ValidationStatus": "string"
    				}],
    				"RenewalStatus": "string",
    				"RenewalStatusReason": "string",
    				"UpdatedAt": "string"
    			},
    			"Serial": "string",
    			"SignatureAlgorithm": "string",
    			"Status": "string",
    			"Subject": "string",
    			"SubjectAlternativeNames": ["string"],
    			"Type": "string"
    		},
    		"AwsCloudFormationStack": {
    			"Capabilities": ["string"],
    			"CreationTime": "string",
    			"Description": "string",
    			"DisableRollback": boolean,
    			"DriftInformation": {
    				"StackDriftStatus": "string"
    			},
    			"EnableTerminationProtection": boolean,
    			"LastUpdatedTime": "string",
    			"NotificationArns": ["string"],
    			"Outputs": [{
    				"Description": "string",
    				"OutputKey": "string",
    				"OutputValue": "string"
    			}],
    			"RoleArn": "string",
    			"StackId": "string",
    			"StackName": "string",
    			"StackStatus": "string",
    			"StackStatusReason": "string",
    			"TimeoutInMinutes": number 
    		},
    		"AwsCloudFrontDistribution": {
    			"CacheBehaviors": {
    				"Items": [{
    					"ViewerProtocolPolicy": "string"
    				}]
    			},
    			"DefaultCacheBehavior": {
    				"ViewerProtocolPolicy": "string"
    			},
    			"DefaultRootObject": "string",
    			"DomainName": "string",
    			"Etag": "string",
    			"LastModifiedTime": "string",
    			"Logging": {
    				"Bucket": "string",
    				"Enabled": boolean,
    				"IncludeCookies": boolean,
    				"Prefix": "string"
    			},
    			"OriginGroups": {
    				"Items": [{
    					"FailoverCriteria": {
    						"StatusCodes": {
    							"Items": [number],
    							"Quantity": number
    						}
    					}
    				}]
    			},
    			"Origins": {
    				"Items": [{
    					"CustomOriginConfig": {
    						"HttpPort": number,
    						"HttpsPort": number,
    						"OriginKeepaliveTimeout": number,
    						"OriginProtocolPolicy": "string",
    						"OriginReadTimeout": number,
    						"OriginSslProtocols": {
    							"Items": ["string"],
    							"Quantity": number
    						} 
    					},		
    					"DomainName": "string",
    					"Id": "string",
    					"OriginPath": "string",
    					"S3OriginConfig": {
    						"OriginAccessIdentity": "string"
    					}
    				}]
    			},
    			"Status": "string",
    			"ViewerCertificate": {
    				"AcmCertificateArn": "string",
    				"Certificate": "string",
    				"CertificateSource": "string",
    				"CloudFrontDefaultCertificate": boolean,
    				"IamCertificateId": "string",
    				"MinimumProtocolVersion": "string",
    				"SslSupportMethod": "string"
    			},
    			"WebAclId": "string"
    		},
    		"AwsCloudTrailTrail": {
    			"CloudWatchLogsLogGroupArn": "string",
    			"CloudWatchLogsRoleArn": "string",
    			"HasCustomEventSelectors": boolean,
    			"HomeRegion": "string",
    			"IncludeGlobalServiceEvents": boolean,
    			"IsMultiRegionTrail": boolean,
    			"IsOrganizationTrail": boolean,
    			"KmsKeyId": "string",
    			"LogFileValidationEnabled": boolean,
    			"Name": "string",
    			"S3BucketName": "string",
    			"S3KeyPrefix": "string",
    			"SnsTopicArn": "string",
    			"SnsTopicName": "string",
    			"TrailArn": "string"
    		},
    		"AwsCloudWatchAlarm": {
    			"ActionsEnabled": boolean,
    			"AlarmActions": ["string"],
    			"AlarmArn": "string",
    			"AlarmConfigurationUpdatedTimestamp": "string",
    			"AlarmDescription": "string",
    			"AlarmName": "string",
    			"ComparisonOperator": "string",
    			"DatapointsToAlarm": number,
    			"Dimensions": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"EvaluateLowSampleCountPercentile": "string",
    			"EvaluationPeriods": number,
    			"ExtendedStatistic": "string",
    			"InsufficientDataActions": ["string"],
    			"MetricName": "string",
    			"Namespace": "string",
    			"OkActions": ["string"],
    			"Period": number,
    			"Statistic": "string",
    			"Threshold": number,
    			"ThresholdMetricId": "string",
    			"TreatMissingData": "string",
    			"Unit": "string"
    		},
    		"AwsCodeBuildProject": {
    			"Artifacts": [{
    				"ArtifactIdentifier": "string",
    				"EncryptionDisabled": boolean,
    				"Location": "string",
    				"Name": "string",
    				"NamespaceType": "string",
    				"OverrideArtifactName": boolean,
    				"Packaging": "string",
    				"Path": "string",
    				"Type": "string"
    			}],
    			"SecondaryArtifacts": [{
                    "ArtifactIdentifier": "string",
                    "Type": "string",
                    "Location": "string",
                    "Name": "string",
                    "NamespaceType": "string",
                    "Packaging": "string",
                    "Path": "string",
                    "EncryptionDisabled": boolean,
                    "OverrideArtifactName": boolean
                }],
    			"EncryptionKey": "string",
    			"Certificate": "string",
    			"Environment": {
    				"Certificate": "string",
    				"EnvironmentVariables": [{
    					"Name": "string",
    					"Type": "string",
    					"Value": "string"
    				}],
    				"ImagePullCredentialsType": "string",
    				"PrivilegedMode": boolean,
    				"RegistryCredential": {
    					"Credential": "string",
    					"CredentialProvider": "string"
    				},
    				"Type": "string"
    			},
    			"LogsConfig": {
    				"CloudWatchLogs": {
    					"GroupName": "string",
    					"Status": "string",
    					"StreamName": "string"
    				},
    				"S3Logs": {
    					"EncryptionDisabled": boolean,
    					"Location": "string",
    					"Status": "string"
    				}
    			},
    			"Name": "string",
    			"ServiceRole": "string",
    			"Source": {
    				"Type": "string",
    				"Location": "string",
    				"GitCloneDepth": integer
    			},
    			"VpcConfig": {
    				"VpcId": "string",
    				"Subnets": ["string"],
    				"SecurityGroupIds": ["string"]
    			}
    		},
    		"AwsDmsEndpoint": {
    			"CertificateArn": "string",
    			"DatabaseName": "string",
    			"EndpointArn": "string",
    			"EndpointIdentifier": "string",
    			"EndpointType": "string", 
    			"EngineName": "string",
    			"KmsKeyId": "string",
    			"Port": integer,
    			"ServerName": "string",
    			"SslMode": "string",
    			"Username": "string"
    		},
    		"AwsDmsReplicationInstance": {
    			"AllocatedStorage": integer,
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZone": "string",
    			"EngineVersion": "string",
    			"KmsKeyId": "string",
    			"MultiAZ": boolean,
    			"PreferredMaintenanceWindow": "string",
    			"PubliclyAccessible": boolean,
    			"ReplicationInstanceClass": "string",
    			"ReplicationInstanceIdentifier": "string",
    			"ReplicationSubnetGroup": {
        			"ReplicationSubnetGroupIdentifier": "string"
    			},
    			"VpcSecurityGroups": [
        			{
            			"VpcSecurityGroupId": "string"
        			}
    			]
    		},
    		"AwsDmsReplicationTask": {
    			"CdcStartPosition": "string",
    			"Id": "string",
    			"MigrationType": "string",
    			"ReplicationInstanceArn": "string",
    			"ReplicationTaskIdentifier": "string",
    			"ReplicationTaskSettings": {
    				"string": "string"
    			},
    			"SourceEndpointArn": "string",
    			"TableMappings": {
    				"string": "string"
    			},
    			"TargetEndpointArn": "string"
    		},
    		"AwsDynamoDbTable": {
    			"AttributeDefinitions": [{
    				"AttributeName": "string",
    				"AttributeType": "string"
    			}],
    			"BillingModeSummary": {
    				"BillingMode": "string",
    				"LastUpdateToPayPerRequestDateTime": "string"
    			},
    			"CreationDateTime": "string",
    			"DeletionProtectionEnabled": boolean,
    			"GlobalSecondaryIndexes": [{
    				"Backfilling": boolean,
    				"IndexArn": "string",
    				"IndexName": "string",
    				"IndexSizeBytes": number,
    				"IndexStatus": "string",
    				"ItemCount": number,
    				"KeySchema": [{
    					"AttributeName": "string",
    					"KeyType": "string"
    				}],
    				"Projection": {
    					"NonKeyAttributes": ["string"],
    					"ProjectionType": "string"
    				},
    				"ProvisionedThroughput": {
    					"LastDecreaseDateTime": "string",
    					"LastIncreaseDateTime": "string",
    					"NumberOfDecreasesToday": number,
    					"ReadCapacityUnits": number,
    					"WriteCapacityUnits": number
    				}
    			}],
    			"GlobalTableVersion": "string",
    			"ItemCount": number,
    			"KeySchema": [{
    				"AttributeName": "string",
    				"KeyType": "string"
    			}],
    			"LatestStreamArn": "string",
    			"LatestStreamLabel": "string",
    			"LocalSecondaryIndexes": [{
    				"IndexArn": "string",
    				"IndexName": "string",
    				"KeySchema": [{
    					"AttributeName": "string",
    					"KeyType": "string"
    				}],
    				"Projection": {
    					"NonKeyAttributes": ["string"],
    					"ProjectionType": "string"
    				}
    			}],
    			"ProvisionedThroughput": {
    				"LastDecreaseDateTime": "string",
    				"LastIncreaseDateTime": "string",
    				"NumberOfDecreasesToday": number,
    				"ReadCapacityUnits": number,
    				"WriteCapacityUnits": number
    			},
    			"Replicas": [{
    				"GlobalSecondaryIndexes": [{
    					"IndexName": "string",
    					"ProvisionedThroughputOverride": {
    						"ReadCapacityUnits": number
    					}
    				}],
    				"KmsMasterKeyId": "string",
    				"ProvisionedThroughputOverride": {
    					"ReadCapacityUnits": number
    				},
    				"RegionName": "string",
    				"ReplicaStatus": "string",
    				"ReplicaStatusDescription": "string"
    			}],
    			"RestoreSummary": {
    				"RestoreDateTime": "string",
    				"RestoreInProgress": boolean,
    				"SourceBackupArn": "string",
    				"SourceTableArn": "string"
    			},
    			"SseDescription": {
    				"InaccessibleEncryptionDateTime": "string",
    				"KmsMasterKeyArn": "string",
    				"SseType": "string",
    				"Status": "string"
    			},
    			"StreamSpecification": {
    				"StreamEnabled": boolean,
    				"StreamViewType": "string"
    			},
    			"TableId": "string",
    			"TableName": "string",
    			"TableSizeBytes": number,
    			"TableStatus": "string"
    		},
    		"AwsEc2ClientVpnEndpoint": {
    			"AuthenticationOptions": [
    				{
    					"MutualAuthentication": {
    						"ClientRootCertificateChainArn": "string"
    					},
    					"Type": "string"
    				}
    			],
    			"ClientCidrBlock": "string",
    			"ClientConnectOptions": {
    				"Enabled": boolean
    			},
    			"ClientLoginBannerOptions": {
    				"Enabled": boolean
    			},
    			"ClientVpnEndpointId": "string",
    			"ConnectionLogOptions": {
    				"Enabled": boolean
    			},
    			"Description": "string",
    			"DnsServer": ["string"],
    			"ServerCertificateArn": "string",
    			"SecurityGroupIdSet": [
    				"string"
    			],
    			"SelfServicePortalUrl": "string",
    			"SessionTimeoutHours": "integer",
    			"SplitTunnel": boolean,
    			"TransportProtocol": "string",
    			"VpcId": "string",
    			"VpnPort": integer
    		},
    		"AwsEc2Eip": {
    			"AllocationId": "string",
    			"AssociationId": "string",
    			"Domain": "string",
    			"InstanceId": "string",
    			"NetworkBorderGroup": "string",
    			"NetworkInterfaceId": "string",
    			"NetworkInterfaceOwnerId": "string",
    			"PrivateIpAddress": "string",
    			"PublicIp": "string",
    			"PublicIpv4Pool": "string"
    		},
    		"AwsEc2Instance": {
    			"IamInstanceProfileArn": "string",
    			"ImageId": "string",
    			"IpV4Addresses": ["string"],
    			"IpV6Addresses": ["string"],
    			"KeyName": "string",
    			"LaunchedAt": "string",
    			"MetadataOptions": {
    				"HttpEndpoint": "string",
    				"HttpProtocolIpv6": "string",
    				"HttpPutResponseHopLimit": number,
    				"HttpTokens": "string",
    				"InstanceMetadataTags": "string"
    			},
    			"Monitoring": {
    				"State": "string"
    			},
    			"NetworkInterfaces": [{                
    				"NetworkInterfaceId": "string"
    			}],
    			"SubnetId": "string",
    			"Type": "string",    			
    			"VirtualizationType": "string",
    			"VpcId": "string"
    		},   
    		"AwsEc2LaunchTemplate": {
    			"DefaultVersionNumber": "string",
    			"ElasticGpuSpecifications": ["string"],
    			"ElasticInferenceAccelerators": ["string"],
    			"Id": "string",
    			"ImageId": "string",
    			"LatestVersionNumber": "string",
    			"LaunchTemplateData": {
    				"BlockDeviceMappings": [{
    					"DeviceName": "string",
    					"Ebs": {
    						"DeleteonTermination": boolean,
    						"Encrypted": boolean,
    						"SnapshotId": "string",
    						"VolumeSize": number,
    						"VolumeType": "string"
    					}
    				}],
    				"MetadataOptions": {
    					"HttpTokens": "string",
    					"HttpPutResponseHopLimit" : number
    				},
    				"Monitoring": {
    					"Enabled": boolean
    				},
    				"NetworkInterfaces": [{
    					"AssociatePublicIpAddress" : boolean
    				}]
    			},
    			"LaunchTemplateName": "string",
    			"LicenseSpecifications": ["string"],
    			"SecurityGroupIds": ["string"],
    			"SecurityGroups": ["string"],
    			"TagSpecifications": ["string"]
    		},
    		"AwsEc2NetworkAcl": {
    			"Associations": [{
    				"NetworkAclAssociationId": "string",
    				"NetworkAclId": "string",
    				"SubnetId": "string"
    			}],
    			"Entries": [{
    				"CidrBlock": "string",
    				"Egress": boolean,
    				"IcmpTypeCode": {
    					"Code": number,
    					"Type": number
    				},
    				"Ipv6CidrBlock": "string",
    				"PortRange": {
    					"From": number,
    					"To": number
    				},
    				"Protocol": "string",
    				"RuleAction": "string",
    				"RuleNumber": number
    			}],
    			"IsDefault": boolean,
    			"NetworkAclId": "string",
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2NetworkInterface": {
    			"Attachment": {
    				"AttachmentId": "string",
    				"AttachTime": "string",
    				"DeleteOnTermination": boolean,
    				"DeviceIndex": number,
    				"InstanceId": "string",
    				"InstanceOwnerId": "string",
    				"Status": "string"
    			},
    			"Ipv6Addresses": [{
    				"Ipv6Address": "string"
    			}],
    			"NetworkInterfaceId": "string",
    			"PrivateIpAddresses": [{
    				"PrivateDnsName": "string",
    				"PrivateIpAddress": "string"
    			}],
    			"PublicDnsName": "string",
    			"PublicIp": "string",
    			"SecurityGroups": [{
    				"GroupId": "string",
    				"GroupName": "string"
    			}],
    			"SourceDestCheck": boolean
    		},
    		"AwsEc2RouteTable": {
    			"AssociationSet": [{
    				"AssociationState": {
    					"State": "string"
    				},
    				"Main": boolean,
    				"RouteTableAssociationId": "string",
    				"RouteTableId": "string"
    			}],
    			"PropogatingVgwSet": [],
    			"RouteTableId": "string",
    			"RouteSet": [
    				{
    					"DestinationCidrBlock": "string",
    					"GatewayId": "string",
    					"Origin": "string",
    					"State": "string"
    				},
    				{
    					"DestinationCidrBlock": "string",
    					"GatewayId": "string",
    					"Origin": "string",
    					"State": "string"
    				}
    			],
    			"VpcId": "string"
    		},
    		"AwsEc2SecurityGroup": {
    			"GroupId": "string",
    			"GroupName": "string",
    			"IpPermissions": [{
    				"FromPort": number,
    				"IpProtocol": "string",
    				"IpRanges": [{
    					"CidrIp": "string"
    				}],
    				"Ipv6Ranges": [{
    					"CidrIpv6": "string"
    				}],
    				"PrefixListIds": [{
    					"PrefixListId": "string"
    				}],
    				"ToPort": number,
    				"UserIdGroupPairs": [{
    					"GroupId": "string",
    					"GroupName": "string",
    					"PeeringStatus": "string",
    					"UserId": "string",
    					"VpcId": "string",
    					"VpcPeeringConnectionId": "string"
    				}]
    			}],
    			"IpPermissionsEgress": [{
    				"FromPort": number,
    				"IpProtocol": "string",
    				"IpRanges": [{
    					"CidrIp": "string"
    				}],
    				"Ipv6Ranges": [{
    					"CidrIpv6": "string"
    				}],
    				"PrefixListIds": [{
    					"PrefixListId": "string"
    				}],
    				"ToPort": number,
    				"UserIdGroupPairs": [{
    					"GroupId": "string",
    					"GroupName": "string",
    					"PeeringStatus": "string",
    					"UserId": "string",
    					"VpcId": "string",
    					"VpcPeeringConnectionId": "string"
    				}]
    			}],
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2Subnet": {
    			"AssignIpv6AddressOnCreation": boolean,
    			"AvailabilityZone": "string",
    			"AvailabilityZoneId": "string",
    			"AvailableIpAddressCount": number,
    			"CidrBlock": "string",
    			"DefaultForAz": boolean,
    			"Ipv6CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"Ipv6CidrBlock": "string",
    				"CidrBlockState": "string"
    			}],
    			"MapPublicIpOnLaunch": boolean,
    			"OwnerId": "string",
    			"State": "string",
    			"SubnetArn": "string",
    			"SubnetId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2TransitGateway": {
    			"AmazonSideAsn": number,
    			"AssociationDefaultRouteTableId": "string",
    			"AutoAcceptSharedAttachments": "string",
    			"DefaultRouteTableAssociation": "string",
    			"DefaultRouteTablePropagation": "string",
    			"Description": "string",
    			"DnsSupport": "string",
    			"Id": "string",
    			"MulticastSupport": "string",
    			"PropagationDefaultRouteTableId": "string",
    			"TransitGatewayCidrBlocks": ["string"],
    			"VpnEcmpSupport": "string"
    		},
    		"AwsEc2Volume": {
    			"Attachments": [{
    				"AttachTime": "string",
    				"DeleteOnTermination": boolean,
    				"InstanceId": "string",
    				"Status": "string"
    			}],
    			"CreateTime": "string",
    			"DeviceName": "string",
    			"Encrypted": boolean,
    			"KmsKeyId": "string",
    			"Size": number,
    			"SnapshotId": "string",
    			"Status": "string",
    			"VolumeId": "string",
    			"VolumeScanStatus": "string",
    			"VolumeType": "string"
    		},
    		"AwsEc2Vpc": {
    			"CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"CidrBlock": "string",
    				"CidrBlockState": "string"
    			}],
    			"DhcpOptionsId": "string",
    			"Ipv6CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"CidrBlockState": "string",
    				"Ipv6CidrBlock": "string"
    			}],
    			"State": "string"
    		},
    		"AwsEc2VpcEndpointService": {
    			"AcceptanceRequired": boolean,
    			"AvailabilityZones": ["string"],
    			"BaseEndpointDnsNames": ["string"],
    			"ManagesVpcEndpoints": boolean,
    			"GatewayLoadBalancerArns": ["string"],
    			"NetworkLoadBalancerArns": ["string"],
    			"PrivateDnsName": "string",
    			"ServiceId": "string",
    			"ServiceName": "string",
    			"ServiceState": "string",
    			"ServiceType": [{
    				"ServiceType": "string"
    			}]
    		},
    		"AwsEc2VpcPeeringConnection": {
    			"AccepterVpcInfo": {
    				"CidrBlock": "string",
    				"CidrBlockSet": [{
    					"CidrBlock": "string"
    				}],
    				"Ipv6CidrBlockSet": [{
    					"Ipv6CidrBlock": "string"
    				}],
    				"OwnerId": "string",
    				"PeeringOptions": {
    					"AllowDnsResolutionFromRemoteVpc": boolean,
    					"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
    					"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
    				},
    				"Region": "string",
    				"VpcId": "string"
    			},
    			"ExpirationTime": "string",
    			"RequesterVpcInfo": {
    				"CidrBlock": "string",
    				"CidrBlockSet": [{
    					"CidrBlock": "string"
    				}],
    				"Ipv6CidrBlockSet": [{
    					"Ipv6CidrBlock": "string"
    				}],
    				"OwnerId": "string",
    				"PeeringOptions": {
    					"AllowDnsResolutionFromRemoteVpc": boolean,
    					"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
    					"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
    				},
    				"Region": "string",
    				"VpcId": "string"
    			},
    			"Status": {
    				"Code": "string",
    				"Message": "string"
    			},
    			"VpcPeeringConnectionId": "string"
    		},
    		"AwsEcrContainerImage": {
    			"Architecture": "string",
    			"ImageDigest": "string",
    			"ImagePublishedAt": "string",
    			"ImageTags": ["string"],
    			"RegistryId": "string",
    			"RepositoryName": "string"
    		},
    		"AwsEcrRepository": {
    			"Arn": "string",
    			"ImageScanningConfiguration": {
    				"ScanOnPush": boolean
    			},
    			"ImageTagMutability": "string",
    			"LifecyclePolicy": {
    				"LifecyclePolicyText": "string",
    				"RegistryId": "string"
    			},
    			"RepositoryName": "string",
    			"RepositoryPolicyText": "string"
    		},
    		"AwsEcsCluster": {
    			"ActiveServicesCount": number,
    			"CapacityProviders": ["string"],
    			"ClusterArn": "string",
    			"ClusterName": "string",
    			"ClusterSettings": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"Configuration": {
    				"ExecuteCommandConfiguration": {
    					"KmsKeyId": "string",
    					"LogConfiguration": {
    						"CloudWatchEncryptionEnabled": boolean,
    						"CloudWatchLogGroupName": "string",
    						"S3BucketName": "string",
    						"S3EncryptionEnabled": boolean,
    						"S3KeyPrefix": "string"
    					},
    					"Logging": "string"
    				}
    			},
    			"DefaultCapacityProviderStrategy": [{
    				"Base": number,
    				"CapacityProvider": "string",
    				"Weight": number
    			}],
    			"RegisteredContainerInstancesCount": number,
    			"RunningTasksCount": number,
    			"Status": "string"
    		},
    		"AwsEcsContainer": {
    			"Image": "string",
    			"MountPoints": [{
    				"ContainerPath": "string",
    				"SourceVolume": "string"
    			}],
    			"Name": "string",
    			"Privileged": boolean
    		},
    		"AwsEcsService": {
    			"CapacityProviderStrategy": [{
    				"Base": number,
    				"CapacityProvider": "string",
    				"Weight": number
    			}],
    			"Cluster": "string",
    			"DeploymentConfiguration": {
    				"DeploymentCircuitBreaker": {
    					"Enable": boolean,
    					"Rollback": boolean
    				},
    				"MaximumPercent": number,
    				"MinimumHealthyPercent": number
    			},
    			"DeploymentController": {
    				"Type": "string"
    			},
    			"DesiredCount": number,
    			"EnableEcsManagedTags": boolean,
    			"EnableExecuteCommand": boolean,
    			"HealthCheckGracePeriodSeconds": number,
    			"LaunchType": "string",
    			"LoadBalancers": [{
    				"ContainerName": "string",
    				"ContainerPort": number,
    				"LoadBalancerName": "string",
    				"TargetGroupArn": "string"
    			}],
    			"Name": "string",
    			"NetworkConfiguration": {
    				"AwsVpcConfiguration": {
    					"AssignPublicIp": "string",
    					"SecurityGroups": ["string"],
    					"Subnets": ["string"]
    				}
    			},
    			"PlacementConstraints": [{
    				"Expression": "string",
    				"Type": "string"
    			}],
    			"PlacementStrategies": [{
    				"Field": "string",
    				"Type": "string"
    			}],
    			"PlatformVersion": "string",
    			"PropagateTags": "string",
    			"Role": "string",
    			"SchedulingStrategy": "string",
    			"ServiceArn": "string",
    			"ServiceName": "string",
    			"ServiceRegistries": [{
    				"ContainerName": "string",
    				"ContainerPort": number,
    				"Port": number,
    				"RegistryArn": "string"
    			}],
    			"TaskDefinition": "string"
    		},
    		"AwsEcsTask": {
    			"CreatedAt": "string",
    			"ClusterArn": "string",
    			"Group": "string",
    			"StartedAt": "string",
    			"StartedBy": "string",
    			"TaskDefinitionArn": "string",
    			"Version": number,
    			"Volumes": [{
    				"Name": "string",
    				"Host": {
    					"SourcePath": "string"
    				}
    			}],
    			"Containers": [{
    				"Image": "string",
    				"MountPoints": [{
    					"ContainerPath": "string",
    					"SourceVolume": "string"
    				}],
    				"Name": "string",
    				"Privileged": boolean
    			}]
    		},
    		"AwsEcsTaskDefinition": {
    			"ContainerDefinitions": [{
    				"Command": ["string"],
    				"Cpu": number,
    				"DependsOn": [{
    					"Condition": "string",
    					"ContainerName": "string"
    				}],
    				"DisableNetworking": boolean,
    				"DnsSearchDomains": ["string"],
    				"DnsServers": ["string"],
    				"DockerLabels": {
    					"string": "string"
    				},
    				"DockerSecurityOptions": ["string"],
    				"EntryPoint": ["string"],
    				"Environment": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"EnvironmentFiles": [{
    					"Type": "string",
    					"Value": "string"
    				}],
    				"Essential": boolean,
    				"ExtraHosts": [{
    					"Hostname": "string",
    					"IpAddress": "string"
    				}],
    				"FirelensConfiguration": {
    					"Options": {
    						"string": "string"
    					},
    					"Type": "string"
    				},
    				"HealthCheck": {
    					"Command": ["string"],
    					"Interval": number,
    					"Retries": number,
    					"StartPeriod": number,
    					"Timeout": number
    				},
    				"Hostname": "string",
    				"Image": "string",
    				"Interactive": boolean,
    				"Links": ["string"],
    				"LinuxParameters": {
    					"Capabilities": {
    						"Add": ["string"],
    						"Drop": ["string"]
    					},
    					"Devices": [{
    						"ContainerPath": "string",
    						"HostPath": "string",
    						"Permissions": ["string"]
    					}],
    					"InitProcessEnabled": boolean,
    					"MaxSwap": number,
    					"SharedMemorySize": number,
    					"Swappiness": number,
    					"Tmpfs": [{
    						"ContainerPath": "string",
    						"MountOptions": ["string"],
    						"Size": number
    					}]
    				},
    				"LogConfiguration": {
    					"LogDriver": "string",
    					"Options": {
    						"string": "string"
    					},
    					"SecretOptions": [{
    						"Name": "string",
    						"ValueFrom": "string"
    					}]
    				},
    				"Memory": number,
    				"MemoryReservation": number,
    				"MountPoints": [{
    					"ContainerPath": "string",
    					"ReadOnly": boolean,
    					"SourceVolume": "string"
    				}],
    				"Name": "string",
    				"PortMappings": [{
    					"ContainerPort": number,
    					"HostPort": number,
    					"Protocol": "string"
    				}],
    				"Privileged": boolean,
    				"PseudoTerminal": boolean,
    				"ReadonlyRootFilesystem": boolean,
    				"RepositoryCredentials": {
    					"CredentialsParameter": "string"
    				},
    				"ResourceRequirements": [{
    					"Type": "string",
    					"Value": "string"
    				}],
    				"Secrets": [{
    					"Name": "string",
    					"ValueFrom": "string"
    				}],
    				"StartTimeout": number,
    				"StopTimeout": number,
    				"SystemControls": [{
    					"Namespace": "string",
    					"Value": "string"
    				}],
    				"Ulimits": [{
    					"HardLimit": number,
    					"Name": "string",
    					"SoftLimit": number
    				}],
    				"User": "string",
    				"VolumesFrom": [{
    					"ReadOnly": boolean,
    					"SourceContainer": "string"
    				}],
    				"WorkingDirectory": "string"
    			}],
    			"Cpu": "string",
    			"ExecutionRoleArn": "string",
    			"Family": "string",
    			"InferenceAccelerators": [{
    				"DeviceName": "string",
    				"DeviceType": "string"
    			}],
    			"IpcMode": "string",
    			"Memory": "string",
    			"NetworkMode": "string",
    			"PidMode": "string",
    			"PlacementConstraints": [{
    				"Expression": "string",
    				"Type": "string"
    			}],
    			"ProxyConfiguration": {
    				"ContainerName": "string",
    				"ProxyConfigurationProperties": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"Type": "string"
    			},
    			"RequiresCompatibilities": ["string"],
    			"Status": "string",
    			"TaskRoleArn": "string",
    			"Volumes": [{
    				"DockerVolumeConfiguration": {
    					"Autoprovision": boolean,
    					"Driver": "string",
    					"DriverOpts": {
    						"string": "string"
    					},
    					"Labels": {
    						"string": "string"
    					},
    					"Scope": "string"
    				},
    				"EfsVolumeConfiguration": {
    					"AuthorizationConfig": {
    						"AccessPointId": "string",
    						"Iam": "string"
    					},
    					"FilesystemId": "string",
    					"RootDirectory": "string",
    					"TransitEncryption": "string",
    					"TransitEncryptionPort": number
    				},
    				"Host": {
    					"SourcePath": "string"
    				},
    				"Name": "string"
    			}]
    		},
    		"AwsEfsAccessPoint": {
    			"AccessPointId": "string",
    			"Arn": "string",
    			"ClientToken": "string",
    			"FileSystemId": "string",
    			"PosixUser": {
    				"Gid": "string",
    				"SecondaryGids": ["string"],
    				"Uid": "string"
    			},
    			"RootDirectory": {
    				"CreationInfo": {
    					"OwnerGid": "string",
    					"OwnerUid": "string",
    					"Permissions": "string"
    				},
    				"Path": "string"
    			}
    		},
    		"AwsEksCluster": {
    			"Arn": "string",
    			"CertificateAuthorityData": "string",
    			"ClusterStatus": "string",
    			"Endpoint": "string",
    			"Logging": {
    				"ClusterLogging": [{
    					"Enabled": boolean,
    					"Types": ["string"]
    				}]
    			},
    			"Name": "string",
    			"ResourcesVpcConfig": {
    				"EndpointPublicAccess": boolean,
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			},
    			"RoleArn": "string",
    			"Version": "string"
    		},
    		"AwsElasticBeanstalkEnvironment": {
    			"ApplicationName": "string",
    			"Cname": "string",
    			"DateCreated": "string",
    			"DateUpdated": "string",
    			"Description": "string",
    			"EndpointUrl": "string",
    			"EnvironmentArn": "string",
    			"EnvironmentId": "string",
    			"EnvironmentLinks": [{
    				"EnvironmentName": "string",
    				"LinkName": "string"
    			}],
    			"EnvironmentName": "string",
    			"OptionSettings": [{
    				"Namespace": "string",
    				"OptionName": "string",
    				"ResourceName": "string",
    				"Value": "string"
    			}],
    			"PlatformArn": "string",
    			"SolutionStackName": "string",
    			"Status": "string",
    			"Tier": {
    				"Name": "string",
    				"Type": "string",
    				"Version": "string"
    			},
    			"VersionLabel": "string"
    		},
    		"AwsElasticSearchDomain": {
    			"AccessPolicies": "string",
    			"DomainStatus": {
    				"DomainId": "string",
    				"DomainName": "string",
    				"Endpoint": "string",
    				"Endpoints": {
    					"string": "string"
    				}
    			},
    			"DomainEndpointOptions": {
    				"EnforceHTTPS": boolean,
    				"TLSSecurityPolicy": "string"
    			},
    			"ElasticsearchClusterConfig": {
    				"DedicatedMasterCount": number,
    				"DedicatedMasterEnabled": boolean,
    				"DedicatedMasterType": "string",
    				"InstanceCount": number,
    				"InstanceType": "string",
    				"ZoneAwarenessConfig": {
    					"AvailabilityZoneCount": number
    				},
    				"ZoneAwarenessEnabled": boolean
    			},
    			"ElasticsearchVersion": "string",
    			"EncryptionAtRestOptions": {
    				"Enabled": boolean,
    				"KmsKeyId": "string"
    			},
    			"LogPublishingOptions": {
    				"AuditLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"IndexSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"SearchSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				}
    			},
    			"NodeToNodeEncryptionOptions": {
    				"Enabled": boolean
    			},
    			"ServiceSoftwareOptions": {
    				"AutomatedUpdateDate": "string",
    				"Cancellable": boolean,
    				"CurrentVersion": "string",
    				"Description": "string",
    				"NewVersion": "string",
    				"UpdateAvailable": boolean,
    				"UpdateStatus": "string"
    			},
    			"VPCOptions": {
    				"AvailabilityZones": [
    					"string"
    				],
    				"SecurityGroupIds": [
    					"string"
    				],
    				"SubnetIds": [
    					"string"
    				],
    				"VPCId": "string"
    			}
    		},
    		"AwsElbLoadBalancer": {
    			"AvailabilityZones": ["string"],
    			"BackendServerDescriptions": [{
    				"InstancePort": number,
    				"PolicyNames": ["string"]
    			}],
    			"CanonicalHostedZoneName": "string",
    			"CanonicalHostedZoneNameID": "string",
    			"CreatedTime": "string",
    			"DnsName": "string",
    			"HealthCheck": {
    				"HealthyThreshold": number,
    				"Interval": number,
    				"Target": "string",
    				"Timeout": number,
    				"UnhealthyThreshold": number
    			},
    			"Instances": [{
    				"InstanceId": "string"
    			}],
    			"ListenerDescriptions": [{
    				"Listener": {
    					"InstancePort": number,
    					"InstanceProtocol": "string",
    					"LoadBalancerPort": number,
    					"Protocol": "string",
    					"SslCertificateId": "string"
    				},
    				"PolicyNames": ["string"]
    			}],
    			"LoadBalancerAttributes": {
    				"AccessLog": {
    					"EmitInterval": number,
    					"Enabled": boolean,
    					"S3BucketName": "string",
    					"S3BucketPrefix": "string"
    				},
    				"ConnectionDraining": {
    					"Enabled": boolean,
    					"Timeout": number
    				},
    				"ConnectionSettings": {
    					"IdleTimeout": number
    				},
    				"CrossZoneLoadBalancing": {
    					"Enabled": boolean
    				},
    				"AdditionalAttributes": [{
                        "Key": "string",
                        "Value": "string"
                    }]
    			},
    			"LoadBalancerName": "string",
    			"Policies": {
    				"AppCookieStickinessPolicies": [{
    					"CookieName": "string",
    					"PolicyName": "string"
    				}],
    				"LbCookieStickinessPolicies": [{
    					"CookieExpirationPeriod": number,
    					"PolicyName": "string"
    				}],
    				"OtherPolicies": ["string"]
    			},
    			"Scheme": "string",
    			"SecurityGroups": ["string"],
    			"SourceSecurityGroup": {
    				"GroupName": "string",
    				"OwnerAlias": "string"
    			},
    			"Subnets": ["string"],
    			"VpcId": "string"
    		},
    		"AwsElbv2LoadBalancer": {
    			"AvailabilityZones": {
    				"SubnetId": "string",
    				"ZoneName": "string"
    			},
    			"CanonicalHostedZoneId": "string",
    			"CreatedTime": "string",
    			"DNSName": "string",
    			"IpAddressType": "string",
    			"LoadBalancerAttributes": [{
    				"Key": "string",
    				"Value": "string"
    			}],
    			"Scheme": "string",
    			"SecurityGroups": ["string"],
    			"State": {
    				"Code": "string",
    				"Reason": "string"
    			},
    			"Type": "string",
    			"VpcId": "string"
    		},
    		"AwsEventSchemasRegistry": {
    			"Description": "string",
    			"RegistryArn": "string",
    			"RegistryName": "string"
    		},
    		"AwsEventsEndpoint": {
    			"Arn": "string",
    			"Description": "string",
    			"EndpointId": "string",
    			"EndpointUrl": "string",
    			"EventBuses": [
        			{
            			"EventBusArn": "string"
        			},
        			{
            			"EventBusArn": "string"
        			}
    			],
    			"Name": "string",
    			"ReplicationConfig": {
        			"State": "string"
    			},
    			"RoleArn": "string",
    			"RoutingConfig": {
        			"FailoverConfig": {
            			"Primary": {
                			"HealthCheck": "string"
            			},
            			"Secondary": {
                			"Route": "string"
            			}
        			}
    			},
    			"State": "string"
    		},
    		"AwsEventsEventBus": {
    			"Arn": "string",
    			"Name": "string",
    			"Policy": "string"
    		},
    		"AwsGuardDutyDetector": {
    			"FindingPublishingFrequency": "string",
    			"ServiceRole": "string",
    			"Status": "string",
    			"DataSources": {
    				"CloudTrail": {
    					"Status": "string"
    				},
    				"DnsLogs": {
    					"Status": "string"
    				},
    				"FlowLogs": {
    					"Status": "string"
    				},
    				"S3Logs": {
    					"Status": "string"
    				},
    				"Kubernetes": {
    					"AuditLogs": {
    						"Status": "string"
    					}
    				},
    				"MalwareProtection": {
    					"ScanEc2InstanceWithFindings": {
    						"EbsVolumes": {
    							"Status": "string"
    						}
    					},
    					"ServiceRole": "string"
    				}
    			}
    		},
    		"AwsIamAccessKey": {
    			"AccessKeyId": "string",
    			"AccountId": "string",
    			"CreatedAt": "string",
    			"PrincipalId": "string",
    			"PrincipalName": "string",
    			"PrincipalType": "string",
    			"SessionContext": {
    				"Attributes": {
    					"CreationDate": "string",
    					"MfaAuthenticated": boolean
    				},
    				"SessionIssuer": {
    					"AccountId": "string",
    					"Arn": "string",
    					"PrincipalId": "string",
    					"Type": "string",
    					"UserName": "string"
    				}
    			},
    			"Status": "string"
    		},
    		"AwsIamGroup": {
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"GroupId": "string",
    			"GroupName": "string",
    			"GroupPolicyList": [{
    				"PolicyName": "string"
    			}],
    			"Path": "string"
    		},
    		"AwsIamPolicy": {
    			"AttachmentCount": number,
    			"CreateDate": "string",
    			"DefaultVersionId": "string",
    			"Description": "string",
    			"IsAttachable": boolean,
    			"Path": "string",
    			"PermissionsBoundaryUsageCount": number,
    			"PolicyId": "string",
    			"PolicyName": "string",
    			"PolicyVersionList": [{
    				"CreateDate": "string",
    				"IsDefaultVersion": boolean,
    				"VersionId": "string"
    			}],
    			"UpdateDate": "string"
    		},
    		"AwsIamRole": {
    			"AssumeRolePolicyDocument": "string",
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"InstanceProfileList": [{
    				"Arn": "string",
    				"CreateDate": "string",
    				"InstanceProfileId": "string",
    				"InstanceProfileName": "string",
    				"Path": "string",
    				"Roles": [{
    					"Arn": "string",
    					"AssumeRolePolicyDocument": "string",
    					"CreateDate": "string",
    					"Path": "string",
    					"RoleId": "string",
    					"RoleName": "string"
    				}]
    			}],
    			"MaxSessionDuration": number,
    			"Path": "string",
    			"PermissionsBoundary": {
    				"PermissionsBoundaryArn": "string",
    				"PermissionsBoundaryType": "string"
    			},
    			"RoleId": "string",
    			"RoleName": "string",
    			"RolePolicyList": [{
    				"PolicyName": "string"
    			}]
    		},
    		"AwsIamUser": {
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"GroupList": ["string"],
    			"Path": "string",
    			"PermissionsBoundary": {
    				"PermissionsBoundaryArn": "string",
    				"PermissionsBoundaryType": "string"
    			},
    			"UserId": "string",
    			"UserName": "string",
    			"UserPolicyList": [{
    				"PolicyName": "string"
    			}]
    		},
    		"AwsKinesisStream": {
    			"Arn": "string",
    			"Name": "string",
    			"RetentionPeriodHours": number,
    			"ShardCount": number,
    			"StreamEncryption": {
    				"EncryptionType": "string",
    				"KeyId": "string"
    			}
    		},
    		"AwsKmsKey": {
    			"AWSAccountId": "string",
    			"CreationDate": "string",
    			"Description": "string",
    			"KeyId": "string",
    			"KeyManager": "string",
    			"KeyRotationStatus": boolean,
    			"KeyState": "string",
    			"Origin": "string"
    		},
    		"AwsLambdaFunction": {
    			"Architectures": [
    				"string"
    			],
    			"Code": {
    				"S3Bucket": "string",
    				"S3Key": "string",
    				"S3ObjectVersion": "string",
    				"ZipFile": "string"
    			},
    			"CodeSha256": "string",
    			"DeadLetterConfig": {
    				"TargetArn": "string"
    			},
    			"Environment": {
    				"Variables": {
    					"Stage": "string"
    				},
    				"Error": {
    					"ErrorCode": "string",
    					"Message": "string"
    				}
    			},
    			"FunctionName": "string",
    			"Handler": "string",
    			"KmsKeyArn": "string",
    			"LastModified": "string",
    			"Layers": {
    				"Arn": "string",
    				"CodeSize": number
    			},
    			"PackageType": "string",
    			"RevisionId": "string",
    			"Role": "string",
    			"Runtime": "string",
    			"Timeout": integer,
    			"TracingConfig": {
    				"Mode": "string"
    			},
    			"Version": "string",
    			"VpcConfig": {
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			},
    			"MasterArn": "string",
    			"MemorySize": number
    		},
    		"AwsLambdaLayerVersion": {
    			"CompatibleRuntimes": [
    				"string"
    			],
    			"CreatedDate": "string",
    			"Version": number
    		},
    		"AwsMskCluster": {
    			"ClusterInfo": {
    				"ClientAuthentication": {
    					"Sasl": {
    						"Scram": {
    							"Enabled": boolean
    						},
    						"Iam": {
    							"Enabled": boolean
    						}
    					},
    					"Tls": {
    						"CertificateAuthorityArnList": [],
    						"Enabled": boolean
    					},
    					"Unauthenticated": {
    						"Enabled": boolean
    					}
    				},
    				"ClusterName": "string",
    				"CurrentVersion": "string",
    				"EncryptionInfo": {
    					"EncryptionAtRest": {
    						"DataVolumeKMSKeyId": "string"
    					},
    					"EncryptionInTransit": {
    						"ClientBroker": "string",
    						"InCluster": boolean
    					}
    				},
    				"EnhancedMonitoring": "string",
    				"NumberOfBrokerNodes": integer
    			}
    		},
    		"AwsNetworkFirewallFirewall": {
    			"DeleteProtection": boolean,
    			"Description": "string",
    			"FirewallArn": "string",
    			"FirewallId": "string",
    			"FirewallName": "string",
    			"FirewallPolicyArn": "string",
    			"FirewallPolicyChangeProtection": boolean,
    			"SubnetChangeProtection": boolean,
    			"SubnetMappings": [{
    				"SubnetId": "string"
    			}],
    			"VpcId": "string"
    		},
    		"AwsNetworkFirewallFirewallPolicy": {
    			"Description": "string",
    			"FirewallPolicy": {
    				"StatefulRuleGroupReferences": [{
    					"ResourceArn": "string"
    				}],
    				"StatelessCustomActions": [{
    					"ActionDefinition": {
    						"PublishMetricAction": {
    							"Dimensions": [{
    								"Value": "string"
    							}]
    						}
    					},
    					"ActionName": "string"
    				}],
    				"StatelessDefaultActions": ["string"],
    				"StatelessFragmentDefaultActions": ["string"],
    				"StatelessRuleGroupReferences": [{
    					"Priority": number,
    					"ResourceArn": "string"
    				}]
    			},
    			"FirewallPolicyArn": "string",
    			"FirewallPolicyId": "string",
    			"FirewallPolicyName": "string"
    		},
    		"AwsNetworkFirewallRuleGroup": {
    			"Capacity": number,
    			"Description": "string",
    			"RuleGroup": {
    				"RulesSource": {
    					"RulesSourceList": {
    						"GeneratedRulesType": "string",
    						"Targets": ["string"],
    						"TargetTypes": ["string"]
    					},
    					"RulesString": "string",
    					"StatefulRules": [{
    						"Action": "string",
    						"Header": {
    							"Destination": "string",
    							"DestinationPort": "string",
    							"Direction": "string",
    							"Protocol": "string",
    							"Source": "string",
    							"SourcePort": "string"
    						},
    						"RuleOptions": [{
    							"Keyword": "string",
    							"Settings": ["string"]
    						}]
    					}],
    					"StatelessRulesAndCustomActions": {
    						"CustomActions": [{
    							"ActionDefinition": {
    								"PublishMetricAction": {
    									"Dimensions": [{
    										"Value": "string"
    									}]
    								}
    							},
    							"ActionName": "string"
    						}],
    						"StatelessRules": [{
    							"Priority": number,
    							"RuleDefinition": {
    								"Actions": ["string"],
    								"MatchAttributes": {
    									"DestinationPorts": [{
    										"FromPort": number,
    										"ToPort": number
    									}],
    									"Destinations": [{
    										"AddressDefinition": "string"
    									}],
    									"Protocols": [number],
    									"SourcePorts": [{
    										"FromPort": number,
    										"ToPort": number
    									}],
    									"Sources": [{
    										"AddressDefinition": "string"
    									}],
    									"TcpFlags": [{
    										"Flags": ["string"],
    										"Masks": ["string"]
    									}]
    								}
    							}
    						}]
    					}
    				},
    				"RuleVariables": {
    					"IpSets": {
    						"Definition": ["string"]
    					},
    					"PortSets": {
    						"Definition": ["string"]
    					}
    				}
    			},
    			"RuleGroupArn": "string",
    			"RuleGroupId": "string",
    			"RuleGroupName": "string",
    			"Type": "string"
    		},
    		"AwsOpenSearchServiceDomain": {
    			"AccessPolicies": "string",
    			"AdvancedSecurityOptions": {
    				"Enabled": boolean,
    				"InternalUserDatabaseEnabled": boolean,
    				"MasterUserOptions": {
    					"MasterUserArn": "string",
    					"MasterUserName": "string",
    					"MasterUserPassword": "string"
    				}
    			},
    			"Arn": "string",
    			"ClusterConfig": {
    				"DedicatedMasterCount": number,
    				"DedicatedMasterEnabled": boolean,
    				"DedicatedMasterType": "string",
    				"InstanceCount": number,
    				"InstanceType": "string",
    				"WarmCount": number,
    				"WarmEnabled": boolean,
    				"WarmType": "string",
    				"ZoneAwarenessConfig": {
    					"AvailabilityZoneCount": number
    				},
    				"ZoneAwarenessEnabled": boolean
    			},
    			"DomainEndpoint": "string",
    			"DomainEndpointOptions": {
    				"CustomEndpoint": "string",
    				"CustomEndpointCertificateArn": "string",
    				"CustomEndpointEnabled": boolean,
    				"EnforceHTTPS": boolean,
    				"TLSSecurityPolicy": "string"
    			},
    			"DomainEndpoints": {
    				"string": "string"
    			},
    			"DomainName": "string",
    			"EncryptionAtRestOptions": {
    				"Enabled": boolean,
    				"KmsKeyId": "string"
    			},
    			"EngineVersion": "string",
    			"Id": "string",
    			"LogPublishingOptions": {
    				"AuditLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"IndexSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"SearchSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				}
    			},
    			"NodeToNodeEncryptionOptions": {
    				"Enabled": boolean
    			},
    			"ServiceSoftwareOptions": {
    				"AutomatedUpdateDate": "string",
    				"Cancellable": boolean,
    				"CurrentVersion": "string",
    				"Description": "string",
    				"NewVersion": "string",
    				"OptionalDeployment": boolean,
    				"UpdateAvailable": boolean,
    				"UpdateStatus": "string"
    			},
    			"VpcOptions": {
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			}
    		},
    		"AwsRdsDbCluster": {
    			"ActivityStreamStatus": "string",
    			"AllocatedStorage": number,
    			"AssociatedRoles": [{
    				"RoleArn": "string",
    				"Status": "string"
    			}],
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZones": ["string"],
    			"BackupRetentionPeriod": integer,
    			"ClusterCreateTime": "string",
    			"CopyTagsToSnapshot": boolean,
    			"CrossAccountClone": boolean,
    			"CustomEndpoints": ["string"],
    			"DatabaseName": "string",
    			"DbClusterIdentifier": "string",
    			"DbClusterMembers": [{
    				"DbClusterParameterGroupStatus": "string",
    				"DbInstanceIdentifier": "string",
    				"IsClusterWriter": boolean,
    				"PromotionTier": integer
    			}],
    			"DbClusterOptionGroupMemberships": [{
    				"DbClusterOptionGroupName": "string",
    				"Status": "string"
    			}],
    			"DbClusterParameterGroup": "string",
    			"DbClusterResourceId": "string",
    			"DbSubnetGroup": "string",
    			"DeletionProtection": boolean,
    			"DomainMemberships": [{
    				"Domain": "string",
    				"Fqdn": "string",
    				"IamRoleName": "string",
    				"Status": "string"
    			}],
    			"EnabledCloudwatchLogsExports": ["string"],
    			"Endpoint": "string",
    			"Engine": "string",
    			"EngineMode": "string",
    			"EngineVersion": "string",
    			"HostedZoneId": "string",
    			"HttpEndpointEnabled": boolean,
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"KmsKeyId": "string",
    			"MasterUsername": "string",
    			"MultiAz": boolean,
    			"Port": integer,
    			"PreferredBackupWindow": "string",
    			"PreferredMaintenanceWindow": "string",
    			"ReaderEndpoint": "string",
    			"ReadReplicaIdentifiers": ["string"],
    			"Status": "string",
    			"StorageEncrypted": boolean,
    			"VpcSecurityGroups": [{
    				"Status": "string",
    				"VpcSecurityGroupId": "string"
    			}]
    		},
    		"AwsRdsDbClusterSnapshot": {
    			"AllocatedStorage": integer,
    			"AvailabilityZones": ["string"],
    			"ClusterCreateTime": "string",
    			"DbClusterIdentifier": "string",
    			"DbClusterSnapshotAttributes": [{
    				"AttributeName": "string",
    				"AttributeValues": ["string"]
    			}],
    			"DbClusterSnapshotIdentifier": "string",
    			"Engine": "string",
    			"EngineVersion": "string",
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"KmsKeyId": "string",
    			"LicenseModel": "string",
    			"MasterUsername": "string",
    			"PercentProgress": integer,
    			"Port": integer,
    			"SnapshotCreateTime": "string",
    			"SnapshotType": "string",
    			"Status": "string",
    			"StorageEncrypted": boolean,
    			"VpcId": "string"
    		},
    		"AwsRdsDbInstance": {
    			"AllocatedStorage": number,
    			"AssociatedRoles": [{
    				"RoleArn": "string",
    				"FeatureName": "string",
    				"Status": "string"
    			}],
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZone": "string",
    			"BackupRetentionPeriod": number,
    			"CACertificateIdentifier": "string",
    			"CharacterSetName": "string",
    			"CopyTagsToSnapshot": boolean,
    			"DBClusterIdentifier": "string",
    			"DBInstanceClass": "string",
    			"DBInstanceIdentifier": "string",
    			"DbInstancePort": number,
    			"DbInstanceStatus": "string",
    			"DbiResourceId": "string",
    			"DBName": "string",
    			"DbParameterGroups": [{
    				"DbParameterGroupName": "string",
    				"ParameterApplyStatus": "string"
    			}],
    			"DbSecurityGroups": ["string"],
    			"DbSubnetGroup": {
    				"DbSubnetGroupArn": "string",
    				"DbSubnetGroupDescription": "string",
    				"DbSubnetGroupName": "string",
    				"SubnetGroupStatus": "string",
    				"Subnets": [{
    					"SubnetAvailabilityZone": {
    						"Name": "string"
    					},
    					"SubnetIdentifier": "string",
    					"SubnetStatus": "string"
    				}],
    				"VpcId": "string"
    			},
    			"DeletionProtection": boolean,
    			"Endpoint": {
    				"Address": "string",
    				"Port": number,
    				"HostedZoneId": "string"
    			},
    			"DomainMemberships": [{
    				"Domain": "string",
    				"Fqdn": "string",
    				"IamRoleName": "string",
    				"Status": "string"
    			}],
    			"EnabledCloudwatchLogsExports": ["string"],
    			"Engine": "string",
    			"EngineVersion": "string",
    			"EnhancedMonitoringResourceArn": "string",
    			"IAMDatabaseAuthenticationEnabled": boolean,
    			"InstanceCreateTime": "string",
    			"Iops": number,
    			"KmsKeyId": "string",
    			"LatestRestorableTime": "string",
    			"LicenseModel": "string",
    			"ListenerEndpoint": {
    				"Address": "string",
    				"HostedZoneId": "string",
    				"Port": number
    			},
    			"MasterUsername": "admin",
    			"MaxAllocatedStorage": number,
    			"MonitoringInterval": number,
    			"MonitoringRoleArn": "string",
    			"MultiAz": boolean,
    			"OptionGroupMemberships": [{
    				"OptionGroupName": "string",
    				"Status": "string"
    			}],
    			"PendingModifiedValues": {
    				"AllocatedStorage": number,
    				"BackupRetentionPeriod": number,
    				"CaCertificateIdentifier": "string",
    				"DbInstanceClass": "string",
    				"DbInstanceIdentifier": "string",
    				"DbSubnetGroupName": "string",
    				"EngineVersion": "string",
    				"Iops": number,
    				"LicenseModel": "string",
    				"MasterUserPassword": "string",
    				"MultiAZ": boolean,
    				"PendingCloudWatchLogsExports": {
    					"LogTypesToDisable": ["string"],
    					"LogTypesToEnable": ["string"]
    				},
    				"Port": number,
    				"ProcessorFeatures": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"StorageType": "string"
    			},
    			"PerformanceInsightsEnabled": boolean,
    			"PerformanceInsightsKmsKeyId": "string",
    			"PerformanceInsightsRetentionPeriod": number,
    			"PreferredBackupWindow": "string",
    			"PreferredMaintenanceWindow": "string",
    			"ProcessorFeatures": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"PromotionTier": number,
    			"PubliclyAccessible": boolean,
    			"ReadReplicaDBClusterIdentifiers": ["string"],
    			"ReadReplicaDBInstanceIdentifiers": ["string"],
    			"ReadReplicaSourceDBInstanceIdentifier": "string",
    			"SecondaryAvailabilityZone": "string",
    			"StatusInfos": [{
    				"Message": "string",
    				"Normal": boolean,
    				"Status": "string",
    				"StatusType": "string"
    			}],
    			"StorageEncrypted": boolean,
    			"TdeCredentialArn": "string",
    			"Timezone": "string",
    			"VpcSecurityGroups": [{
    				"VpcSecurityGroupId": "string",
    				"Status": "string"
    			}]
    		},
    		"AwsRdsDbSecurityGroup": {
    			"DbSecurityGroupArn": "string",
    			"DbSecurityGroupDescription": "string",
    			"DbSecurityGroupName": "string",
    			"Ec2SecurityGroups": [{
    				"Ec2SecurityGroupuId": "string",
    				"Ec2SecurityGroupName": "string",
    				"Ec2SecurityGroupOwnerId": "string",
    				"Status": "string"
    			}],
    			"IpRanges": [{
    				"CidrIp": "string",
    				"Status": "string"
    			}],
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsRdsDbSnapshot": {
    			"AllocatedStorage": integer,
    			"AvailabilityZone": "string",
    			"DbInstanceIdentifier": "string",
    			"DbiResourceId": "string",
    			"DbSnapshotIdentifier": "string",
    			"Encrypted": boolean,
    			"Engine": "string",
    			"EngineVersion": "string",
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"InstanceCreateTime": "string",
    			"Iops": number,
    			"KmsKeyId": "string",
    			"LicenseModel": "string",
    			"MasterUsername": "string",
    			"OptionGroupName": "string",
    			"PercentProgress": integer,
    			"Port": integer,
    			"ProcessorFeatures": [],
    			"SnapshotCreateTime": "string",
    			"SnapshotType": "string",
    			"SourceDbSnapshotIdentifier": "string",
    			"SourceRegion": "string",
    			"Status": "string",
    			"StorageType": "string",
    			"TdeCredentialArn": "string",
    			"Timezone": "string",
    			"VpcId": "string"
    		},
    		"AwsRdsEventSubscription": {
    			"CustomerAwsId": "string",
    			"CustSubscriptionId": "string",
    			"Enabled": boolean,
    			"EventCategoriesList": ["string"],
    			"EventSubscriptionArn": "string",
    			"SnsTopicArn": "string",
    			"SourceIdsList": ["string"],
    			"SourceType": "string",
    			"Status": "string",
    			"SubscriptionCreationTime": "string"
    		},
    		"AwsRedshiftCluster": {
    			"AllowVersionUpgrade": boolean,
    			"AutomatedSnapshotRetentionPeriod": number,
    			"AvailabilityZone": "string",
    			"ClusterAvailabilityStatus": "string",
    			"ClusterCreateTime": "string",
    			"ClusterIdentifier": "string",
    			"ClusterNodes": [{
    				"NodeRole": "string",
    				"PrivateIPAddress": "string",
    				"PublicIPAddress": "string"
    			}],
    			"ClusterParameterGroups": [{
    				"ClusterParameterStatusList": [{
    					"ParameterApplyErrorDescription": "string",
    					"ParameterApplyStatus": "string",
    					"ParameterName": "string"
    				}],
    				"ParameterApplyStatus": "string",
    				"ParameterGroupName": "string"
    			}],
    			"ClusterPublicKey": "string",
    			"ClusterRevisionNumber": "string",
    			"ClusterSecurityGroups": [{
    				"ClusterSecurityGroupName": "string",
    				"Status": "string"
    			}],
    			"ClusterSnapshotCopyStatus": {
    				"DestinationRegion": "string",
    				"ManualSnapshotRetentionPeriod": number,
    				"RetentionPeriod": number,
    				"SnapshotCopyGrantName": "string"
    			},
    			"ClusterStatus": "string",
    			"ClusterSubnetGroupName": "string",
    			"ClusterVersion": "string",
    			"DBName": "string",
    			"DeferredMaintenanceWindows": [{
    				"DeferMaintenanceEndTime": "string",
    				"DeferMaintenanceIdentifier": "string",
    				"DeferMaintenanceStartTime": "string"
    			}],
    			"ElasticIpStatus": {
    				"ElasticIp": "string",
    				"Status": "string"
    			},
    			"ElasticResizeNumberOfNodeOptions": "string",
    			"Encrypted": boolean,
    			"Endpoint": {
    				"Address": "string",
    				"Port": number
    			},
    			"EnhancedVpcRouting": boolean,
    			"ExpectedNextSnapshotScheduleTime": "string",
    			"ExpectedNextSnapshotScheduleTimeStatus": "string",
    			"HsmStatus": {
    				"HsmClientCertificateIdentifier": "string",
    				"HsmConfigurationIdentifier": "string",
    				"Status": "string"
    			},
    			"IamRoles": [{
    				"ApplyStatus": "string",
    				"IamRoleArn": "string"
    			}],
    			"KmsKeyId": "string",
    			"LoggingStatus":{
                    "BucketName": "string",
                    "LastFailureMessage": "string",
                    "LastFailureTime": "string",
                    "LastSuccessfulDeliveryTime": "string",
                    "LoggingEnabled": boolean,
                    "S3KeyPrefix": "string"
                },
    			"MaintenanceTrackName": "string",
    			"ManualSnapshotRetentionPeriod": number,
    			"MasterUsername": "string",
    			"NextMaintenanceWindowStartTime": "string",
    			"NodeType": "string",
    			"NumberOfNodes": number,
    			"PendingActions": ["string"],
    			"PendingModifiedValues": {
    				"AutomatedSnapshotRetentionPeriod": number,
    				"ClusterIdentifier": "string",
    				"ClusterType": "string",
    				"ClusterVersion": "string",
    				"EncryptionType": "string",
    				"EnhancedVpcRouting": boolean,
    				"MaintenanceTrackName": "string",
    				"MasterUserPassword": "string",
    				"NodeType": "string",
    				"NumberOfNodes": number,
    				"PubliclyAccessible": "string"
    			},
    			"PreferredMaintenanceWindow": "string",
    			"PubliclyAccessible": boolean,
    			"ResizeInfo": {
    				"AllowCancelResize": boolean,
    				"ResizeType": "string"
    			},
    			"RestoreStatus": {
    				"CurrentRestoreRateInMegaBytesPerSecond": number,
    				"ElapsedTimeInSeconds": number,
    				"EstimatedTimeToCompletionInSeconds": number,
    				"ProgressInMegaBytes": number,
    				"SnapshotSizeInMegaBytes": number,
    				"Status": "string"
    			},
    			"SnapshotScheduleIdentifier": "string",
    			"SnapshotScheduleState": "string",
    			"VpcId": "string",
    			"VpcSecurityGroups": [{
    				"Status": "string",
    				"VpcSecurityGroupId": "string"
    			}]
    		},
    		"AwsRoute53HostedZone": {
    			"HostedZone": {
    				"Id": "string",
    				"Name": "string",
    				"Config": {
    					"Comment": "string"
    				}
    			},
    			"NameServers": ["string"],
    			"QueryLoggingConfig": {
    				"CloudWatchLogsLogGroupArn": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Id": "string",
    					"HostedZoneId": "string"
    				}
    			},
    			"Vpcs": [
    				{
    					"Id": "string",
    					"Region": "string"
    				}
    			]
    		},
    		"AwsS3AccessPoint": {
    			"AccessPointArn": "string",
    			"Alias": "string",
    			"Bucket": "string",
    			"BucketAccountId": "string",
    			"Name": "string",
    			"NetworkOrigin": "string",
    			"PublicAccessBlockConfiguration": {
    				"BlockPublicAcls": boolean,
    				"BlockPublicPolicy": boolean,
    				"IgnorePublicAcls": boolean,
    				"RestrictPublicBuckets": boolean
    			},
    			"VpcConfiguration": {
    				"VpcId": "string"
    			}
    		},
    		"AwsS3AccountPublicAccessBlock": {
    			"BlockPublicAcls": boolean,
    			"BlockPublicPolicy": boolean,
    			"IgnorePublicAcls": boolean,
    			"RestrictPublicBuckets": boolean
    		},
    		"AwsS3Bucket": {
    			"AccessControlList": "string",
    			"BucketLifecycleConfiguration": {
    				"Rules": [{
    					"AbortIncompleteMultipartUpload": {
    						"DaysAfterInitiation": number
    					},
    					"ExpirationDate": "string",
    					"ExpirationInDays": number,
    					"ExpiredObjectDeleteMarker": boolean,
    					"Filter": {
    						"Predicate": {
    							"Operands": [{
    									"Prefix": "string",
    									"Type": "string"
    								},
    								{
    									"Tag": {
    										"Key": "string",
    										"Value": "string"
    									},
    									"Type": "string"
    								}
    							],
    							"Type": "string"
    						}
    					},
    					"Id": "string",
    					"NoncurrentVersionExpirationInDays": number,
    					"NoncurrentVersionTransitions": [{
    						"Days": number,
    						"StorageClass": "string"
    					}],
    					"Prefix": "string",
    					"Status": "string",
    					"Transitions": [{
    						"Date": "string",
    						"Days": number,
    						"StorageClass": "string"
    					}]
    				}]
    			},
    			"BucketLoggingConfiguration": {
    				"DestinationBucketName": "string",
    				"LogFilePrefix": "string"
    			},
    			"BucketName": "string",
    			"BucketNotificationConfiguration": {
    				"Configurations": [{
    					"Destination": "string",
    					"Events": ["string"],
    					"Filter": {
    						"S3KeyFilter": {
    							"FilterRules": [{
    								"Name": "string",
    								"Value": "string"
    							}]
    						}
    					},
    					"Type": "string"
    				}]
    			},
    			"BucketVersioningConfiguration": {
    				"IsMfaDeleteEnabled": boolean,
    				"Status": "string"
    			},
    			"BucketWebsiteConfiguration": {
    				"ErrorDocument": "string",
    				"IndexDocumentSuffix": "string",
    				"RedirectAllRequestsTo": {
    					"HostName": "string",
    					"Protocol": "string"
    				},
    				"RoutingRules": [{
    					"Condition": {
    						"HttpErrorCodeReturnedEquals": "string",
    						"KeyPrefixEquals": "string"
    					},
    					"Redirect": {
    						"HostName": "string",
    						"HttpRedirectCode": "string",
    						"Protocol": "string",
    						"ReplaceKeyPrefixWith": "string",
    						"ReplaceKeyWith": "string"
    					}
    				}]
    			},
    			"CreatedAt": "string",
    			"ObjectLockConfiguration": {
    				"ObjectLockEnabled": "string",
    				"Rule": {
    					"DefaultRetention": {
    						"Days": integer,
    						"Mode": "string",
    						"Years": integer
    					}
    				}
    			},
    			"OwnerAccountId": "string",
    			"OwnerId": "string",
    			"OwnerName": "string",
    			"PublicAccessBlockConfiguration": {
    				"BlockPublicAcls": boolean,
    				"BlockPublicPolicy": boolean,
    				"IgnorePublicAcls": boolean,
    				"RestrictPublicBuckets": boolean
    			},
    			"ServerSideEncryptionConfiguration": {
    				"Rules": [{
    					"ApplyServerSideEncryptionByDefault": {
    						"KMSMasterKeyID": "string",
    						"SSEAlgorithm": "string"
    					}
    				}]
    			}
    		},
    		"AwsS3Object": {
    			"ContentType": "string",
    			"ETag": "string",
    			"LastModified": "string",
    			"ServerSideEncryption": "string",
    			"SSEKMSKeyId": "string",
    			"VersionId": "string"
    		},
    		"AwsSagemakerNotebookInstance": {
    			"DirectInternetAccess": "string",
    			"InstanceMetadataServiceConfiguration": {
    				"MinimumInstanceMetadataServiceVersion": "string"
    			},
    			"InstanceType": "string",
    			"LastModifiedTime": "string",
    			"NetworkInterfaceId": "string",
    			"NotebookInstanceArn": "string",
    			"NotebookInstanceName": "string",
    			"NotebookInstanceStatus": "string",
    			"PlatformIdentifier": "string",
    			"RoleArn": "string",
    			"RootAccess": "string",
    			"SecurityGroups": ["string"],
    			"SubnetId": "string",
    			"Url": "string",
    			"VolumeSizeInGB": number
    		},
    		"AwsSecretsManagerSecret": {
    			"Deleted": boolean,
    			"Description": "string",
    			"KmsKeyId": "string",
    			"Name": "string",
    			"RotationEnabled": boolean,
    			"RotationLambdaArn": "string",
    			"RotationOccurredWithinFrequency": boolean,
    			"RotationRules": {
    				"AutomaticallyAfterDays": integer
    			}
    		},
    		"AwsSnsTopic": {
    			"ApplicationSuccessFeedbackRoleArn": "string",		
    			"FirehoseFailureFeedbackRoleArn": "string",
    			"FirehoseSuccessFeedbackRoleArn": "string",
    			"HttpFailureFeedbackRoleArn": "string",
    			"HttpSuccessFeedbackRoleArn": "string",
    			"KmsMasterKeyId": "string",                 
    			"Owner": "string",
    			"SqsFailureFeedbackRoleArn": "string",
    			"SqsSuccessFeedbackRoleArn": "string",	
    			"Subscription": {
    				"Endpoint": "string",
    				"Protocol": "string"
    			},
    			"TopicName": "string"   			              
    		},
    		"AwsSqsQueue": {
    			"DeadLetterTargetArn": "string",
    			"KmsDataKeyReusePeriodSeconds": number,
    			"KmsMasterKeyId": "string",
    			"QueueName": "string"
    		},
    		"AwsSsmPatchCompliance": {
    			"Patch": {
    				"ComplianceSummary": {
    					"ComplianceType": "string",
    					"CompliantCriticalCount": integer,
    					"CompliantHighCount": integer,
    					"CompliantInformationalCount": integer,
    					"CompliantLowCount": integer,
    					"CompliantMediumCount": integer,
    					"CompliantUnspecifiedCount": integer,
    					"ExecutionType": "string",
    					"NonCompliantCriticalCount": integer,
    					"NonCompliantHighCount": integer,
    					"NonCompliantInformationalCount": integer,
    					"NonCompliantLowCount": integer,
    					"NonCompliantMediumCount": integer,
    					"NonCompliantUnspecifiedCount": integer,
    					"OverallSeverity": "string",
    					"PatchBaselineId": "string",
    					"PatchGroup": "string",
    					"Status": "string"
    				}
    			}
    		},
    		"AwsStepFunctionStateMachine": {
    			"StateMachineArn": "string",
    			"Name": "string",
    			"Status": "string",
    			"RoleArn": "string",
    			"Type": "string",
    			"LoggingConfiguration": {
    				"Level": "string",
    				"IncludeExecutionData": boolean
    			},
    			"TracingConfiguration": {
    				"Enabled": boolean
    			}
    		},
    		"AwsWafRateBasedRule": {
    			"MatchPredicates": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"MetricName": "string",
    			"Name": "string",
    			"RateKey": "string",
    			"RateLimit": number,
    			"RuleId": "string"
    		},
    		"AwsWafRegionalRateBasedRule": {
    			"MatchPredicates": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"MetricName": "string",
    			"Name": "string",
    			"RateKey": "string",
    			"RateLimit": number,
    			"RuleId": "string"
    		},
    		"AwsWafRegionalRule": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleId": "string",
    			"PredicateList": [{
        			"DataId": "string",
        			"Negated": boolean,
        			"Type": "string"
    			}]
    		},
    		"AwsWafRegionalRuleGroup": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleGroupId": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}]
    		},
    		"AwsWafRegionalWebAcl": {
    			"DefaultAction": "string",
    			"MetricName" : "string",
    			"Name": "string",
    			"RulesList" : [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string",
    				"ExcludedRules": [{
    					"ExclusionType": "string",
    					"RuleId": "string"
    				}],
    				"OverrideAction": {
    					"Type": "string"
    				}
    			}],
    			"WebAclId": "string"
    		},
    		"AwsWafRule": {
    			"MetricName": "string",
    			"Name": "string",
    			"PredicateList": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"RuleId": "string"
    		},
    		"AwsWafRuleGroup": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleGroupId": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}]
    		},
    		"AwsWafv2RuleGroup": {
    			"Arn": "string",
    			"Capacity": number,
    			"Description": "string",
    			"Id": "string",
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    				"Allow": {
    					"CustomRequestHandling": {
    						"InsertHeaders": [
    							{
    							"Name": "string",
    							"Value": "string"
    							},
    							{
    							"Name": "string",
    							"Value": "string"
    							}
    						]
    					}
    				}
    				},
    				"Name": "string",
    				"Priority": number,
    				"VisibilityConfig": {
    					"CloudWatchMetricsEnabled": boolean,
    					"MetricName": "string",
    					"SampledRequestsEnabled": boolean
    				}
    			}],
    			"VisibilityConfig": {
    				"CloudWatchMetricsEnabled": boolean,
    				"MetricName": "string",
    				"SampledRequestsEnabled": boolean
    			}
    		},
    		"AwsWafWebAcl": {
    			"DefaultAction": "string",
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"ExcludedRules": [{
    					"RuleId": "string"
    				}],
    				"OverrideAction": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}],
    			"WebAclId": "string"
    		},
    		"AwsWafv2WebAcl": {
    			"Arn": "string",
    			"Capacity": number,
    			"CaptchaConfig": {
    				"ImmunityTimeProperty": {
    					"ImmunityTime": number
    				}
    			},
    			"DefaultAction": {
    				"Block": {}
    			},
    			"Description": "string",
    			"ManagedbyFirewallManager": boolean,
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    					"RuleAction": {
    						"Block": {}
    					}
    				},
    				"Name": "string",
    				"Priority": number,
    				"VisibilityConfig": {
    					"SampledRequestsEnabled": boolean,
    					"CloudWatchMetricsEnabled": boolean,
    					"MetricName": "string"
    				}
    			}],
    			"VisibilityConfig": {
    				"SampledRequestsEnabled": boolean,
    				"CloudWatchMetricsEnabled": boolean,
    				"MetricName": "string"
    			}
    		},
    		"AwsXrayEncryptionConfig": {
    			"KeyId": "string",
    			"Status": "string",
    			"Type": "string"
    		},
    		"CodeRepository": {
    			"CodeSecurityIntegrationArn": "string",
    			"ProjectName": "string",
    			"ProviderType": "string"
    		},
    		"Container": {
    			"ContainerRuntime": "string",
    			"ImageId": "string",
    			"ImageName": "string",
    			"LaunchedAt": "string",
    			"Name": "string",
    			"Privileged": boolean,
    			"VolumeMounts": [{
    				"Name": "string",
    				"MountPath": "string"
    			}]
    		}, 
    		"Other": {
    			"string": "string"
    		},
    		"Id": "string",
    		"Partition": "string",
    		"Region": "string",
    		"ResourceRole": "string",
    		"Tags": {
    			"string": "string"
    		},
    		"Type": "string"
    	}],
    	"SchemaVersion": "string",
    	"Severity": {
    		"Label": "string",
    		"Normalized": number,
    		"Original": "string"
    	},
    	"Sample": boolean,
    	"SourceUrl": "string",
    	"Threats": [{
    		"FilePaths": [{
    			"FileName": "string",
    			"FilePath": "string",
    			"Hash": "string",
    			"ResourceId": "string"
    		}],
    		"ItemCount": number,
    		"Name": "string",
    		"Severity": "string"
    	}],
    	"ThreatIntelIndicators": [{
    		"Category": "string",
    		"LastObservedAt": "string",
    		"Source": "string",
    		"SourceUrl": "string",
    		"Type": "string",
    		"Value": "string"
    	}],
    	"Title": "string",
    	"Types": ["string"],
    	"UpdatedAt": "string",
    	"UserDefinedFields": {
    		"string": "string"
    	},
    	"VerificationState": "string",
    	"Vulnerabilities": [{
    		"CodeVulnerabilities": [{
    			"Cwes": [
    				"string",
    				"string"
    			],
    			"FilePath": {
    				"EndLine": integer,
    				"FileName": "string",
    				"FilePath": "string",
    				"StartLine": integer
    			},
    			"SourceArn":"string"
    		}],
    		"Cvss": [{
    			"Adjustments": [{
    				"Metric": "string",
    				"Reason": "string"
    			}],
    			"BaseScore": number,
    			"BaseVector": "string",
    			"Source": "string",
    			"Version": "string"
    		}],
    		"EpssScore": number,
    		"ExploitAvailable": "string",
    		"FixAvailable": "string",
    		"Id": "string",
    		"LastKnownExploitAt": "string",
    		"ReferenceUrls": ["string"],
    		"RelatedVulnerabilities": ["string"],
    		"Vendor": {
    			"Name": "string",
    			"Url": "string",
    			"VendorCreatedAt": "string",
    			"VendorSeverity": "string",
    			"VendorUpdatedAt": "string"
    		},
    		"VulnerablePackages": [{
    			"Architecture": "string",
    			"Epoch": "string",
    			"FilePath": "string",
    			"FixedInVersion": "string",
    			"Name": "string",
    			"PackageManager": "string",
    			"Release": "string",
    			"Remediation": "string",
    			"SourceLayerArn": "string",
    			"SourceLayerHash": "string",
    			"Version": "string"
    		}]
    	}],
    	"Workflow": {
    		"Status": "string"
    	},
    	"WorkflowState": "string"
    }
]
```

# Impacto da consolidação nos campos e valores do ASFF
<a name="asff-changes-consolidation"></a>

AWS O Security Hub CSPM oferece dois tipos de consolidação para controles:
+ **Visualização de controles consolidados**: com esse tipo de consolidação, cada controle tem um único identificador em todos os padrões. Além disso, no console do CSPM do Security Hub, a página **Controles** exibe todos os controles em todos os padrões. 
+ **Descobertas de controle consolidadas**: com esse tipo de consolidação, o CSPM do Security Hub produz uma única descoberta para um controle, mesmo que o controle se aplique a vários padrões habilitados. Isso pode reduzir o ruído de descobertas. 

Você não pode habilitar ou desabilitar a visualização de controles consolidados. Por padrão, as descobertas de controles consolidadas estarão ativadas se você tiver habilitado o CSPM do Security Hub a partir de 23 de fevereiro de 2023, inclusive. Caso contrário, elas estarão desativadas por padrão. No entanto, para as organizações, as descobertas de controle consolidadas serão habilitadas para contas de membro do CSPM do Security Hub somente se estiverem habilitadas para a conta do administrador. Para saber mais sobre descobertas de controle consolidadas, consulte [Gerando e atualizando descobertas de controle](controls-findings-create-update.md).

Ambos os tipos de consolidação afetam campos e valores das descobertas de controle no [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

**Topics**
+ [Visualização de controles consolidados - Alterações no ASFF](#securityhub-findings-format-consolidated-controls-view)
+ [Descobertas de controle consolidadas - Alterações no ASFF](#securityhub-findings-format-consolidated-control-findings)
+ [Gerador IDs antes e depois, permitindo descobertas de controle consolidadas](#securityhub-findings-format-changes-generator-ids)
+ [Como a consolidação afeta o controle IDs e os títulos](#securityhub-findings-format-changes-ids-titles)
+ [Atualização de fluxos de trabalho para consolidação](#securityhub-findings-format-changes-prepare)

## Visualização de controles consolidados - Alterações no ASFF
<a name="securityhub-findings-format-consolidated-controls-view"></a>

O atributo de visualização de controles consolidados introduziu as alterações a seguir nos campos e valores de descobertas de controles no ASFF. Se ps seus fluxos de trabalho não dependem dos valores desses campos de ASFF, nenhuma ação é necessária. Se você tiver fluxos de trabalho que dependam de valores específicos desses campos, atualize os fluxos de trabalho para usar os valores atuais.


| Campo do ASFF  | Valor de exemplo antes da visualização dos controles consolidados  | Valor de exemplo após a visualização dos controles consolidados e uma descrição da alteração  | 
| --- | --- | --- | 
|  Conformidade. SecurityControlId  |  Não aplicável (campo novo)  |  EC2.2 Apresenta um único ID de controle em todos os padrões. `ProductFields.RuleId` ainda fornece o ID de controle baseado em padrão para controles CIS v1.2.0. `ProductFields.ControlId` ainda fornece o ID de controle baseado em padrões para controles em outros padrões.  | 
|  Conformidade. AssociatedStandards  |  Não aplicável (campo novo)  |  [\$1” StandardsId “:" standards/aws-foundational-security-best-practices/v /1.0.0 “\$1] Mostra em quais padrões um controle está habilitado.  | 
|  ProductFields. ArchivalReasons:0/Descrição  |  Não aplicável (campo novo)  |  “A descoberta está em um estado ARCHIVED porque as descobertas de controle consolidadas foram ativadas ou desativadas. Isso faz com que as descobertas no estado anterior sejam arquivadas quando novas descobertas estão sendo geradas.” Descreve por que o CSPM do Security Hub arquivou descobertas existentes.  | 
|  ProductFields. ArchivalReasons:0/ ReasonCode  |  Não aplicável (campo novo)  |  "CONSOLIDATED\$1CONTROL\$1FINDINGS\$1UPDATE" Fornece o motivo pelo qual o CSPM do Security Hub arquivou descobertas existentes.  | 
|  ProductFields.RecommendationUrl  |  https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Esse campo não faz mais referência a um padrão.  | 
|  Remediation.Recommendation.Text  |  “Para obter instruções sobre como corrigir esse problema, consulte a documentação do CSPM PCI DSS do AWS Security Hub.”  |  “Para obter instruções sobre como corrigir esse problema, consulte a documentação de controles CSPM do AWS Security Hub.” Esse campo não faz mais referência a um padrão.  | 
|  Remediation.Recommendation.Url  |  https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Esse campo não faz mais referência a um padrão.  | 

## Descobertas de controle consolidadas - Alterações no ASFF
<a name="securityhub-findings-format-consolidated-control-findings"></a>

Se você habilitar as descobertas de controle consolidadas, poderá ser afetado pelas alterações a seguir nos campos e valores de descobertas de controle no ASFF. Essas alterações são adicionais às alterações introduzidas pelo atributo de visualização de controles consolidadas. Se ps seus fluxos de trabalho não dependem dos valores desses campos de ASFF, nenhuma ação é necessária. Se você tiver fluxos de trabalho que dependam de valores específicos desses campos, atualize os fluxos de trabalho para usar os valores atuais.

**dica**  
Se você usa a solução [Automated Security Response na AWS v2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), observe que ela oferece suporte a descobertas de controle consolidadas. Isso significa que é possível manter seus fluxos de trabalho atuais se você habilitar descobertas de controle consolidadas. 


| Campo do ASFF  | Valor de exemplo antes de habilitar as descobertas de controle consolidadas  | Valor de exemplo após habilitar as descobertas de controle consolidadas e uma descrição da alteração  | 
| --- | --- | --- | 
| GeneratorId |  aws-foundational-security-best- 1practices/v/1.0.0/Config.  |  security-control/Config.1 Esse campo não faz mais referência a um padrão.  | 
|  Título  |  O PCI.config.1 deve estar ativado AWS Config  |  AWS Config deve ser habilitado Esse campo não referencia mais informações específicas do padrão.  | 
|  Id  |  arn: aws: hub de segurança: eu-central- 1:123456789012:6d6a26-a156-48f0-9403-115983e5a956 subscription/pci-dss/v/3.2.1/PCI.IAM.5/finding/ab  |  arn:aws:securityhub:eu-central- 1:123456789012: security- 6d6a26-a156-48f0-9403-115983e5a956 control/iam.9/finding/ab Esse campo não faz mais referência a um padrão.  | 
|  ProductFields.ControlId  |  PCI.EC2.2  |  Removido. Consulte `Compliance.SecurityControlId` em vez disso. Esse campo foi removido em favor de um único ID de controle independente do padrão.  | 
|  ProductFields.RuleId  |  1.3  |  Removido. Consulte `Compliance.SecurityControlId` em vez disso. Esse campo foi removido em favor de um único ID de controle independente do padrão.  | 
|  Description  |  Esse controle PCI DSS verifica se AWS Config está habilitado na conta atual e na região.  |  Esse AWS controle verifica se AWS Config está ativado na conta atual e na região.Esse campo não faz mais referência a um padrão.  | 
|  Gravidade  |  "Gravidade": \$1 "Product": 90, "Etiqueta": "CRÍTICO", "Normalizado": 90, "Original": "CRÍTICO" \$1  |  "Gravidade": \$1 "Etiqueta": "CRÍTICO", "Normalizado": 90, "Original": "CRÍTICO" \$1 O CSPM do Security Hub não usa mais o campo Produto para descrever a gravidade de uma descoberta.  | 
|  Tipos  |  ["Software e configuração Checks/Industry e padrões regulatórios/PCI-DSS"]  |  ["Software e configuração Checks/Industry e padrões regulatórios"] Esse campo não faz mais referência a um padrão.  | 
|  Conformidade. RelatedRequirements  |  ["PCI DSS 10.5.2", "PCI DSS 11.5", “ AWS Fundamentos da CEI 2.5"]  |  ["PCI DSS v3.2.1/10.5.2", "PCI DSS v3.2.1/11.5", “Referência do CIS AWS Foundations v1.2.0/2.5"] Esse campo mostrará os requisitos relacionados em todos os padrões habilitados.  | 
|  CreatedAt  |  2022-05-05T08:18:13.138Z  |  2022-09-25T08:18:13.138Z O formato permanece igual, mas o valor é redefinido quando você habilita as descobertas de controles consolidadas.  | 
|  FirstObservedAt  |  2022-05-07T08:18:13.138Z  | 2022-09-28T08:18:13.138Z O formato permanece igual, mas o valor é redefinido quando você habilita as descobertas de controles consolidadas.  | 
|  ProductFields.RecommendationUrl  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation  |  Removido. Consulte `Remediation.Recommendation.Url` em vez disso. | 
|  ProductFields.StandardsArn  |  arn: aws:securityhub::: /1.0.0 standards/aws-foundational-security-best-practices/v  |  Removido. Consulte `Compliance.AssociatedStandards` em vez disso.  | 
|  ProductFields.StandardsControlArn  |  arn: aws: securityhub: us-east- 1:123456789012:1 control/aws-foundational-security-best-practices/v/1.0.0/Config  |  Removido. O CSPM do Security Hub gera uma única descoberta para uma verificação de segurança em todos os padrões.  | 
|  ProductFields.StandardsGuideArn  |  arn: aws:securityhub::: /1.2.0 ruleset/cis-aws-foundations-benchmark/v  |  Removido. Consulte `Compliance.AssociatedStandards` em vez disso.  | 
|  ProductFields.StandardsGuideSubscriptionArn  |  arn: aws: hub de segurança: us-east- 2:123456789012: /1.2.0 subscription/cis-aws-foundations-benchmark/v  |  Removido. O CSPM do Security Hub gera uma única descoberta para uma verificação de segurança em todos os padrões.  | 
|  ProductFields.StandardsSubscriptionArn  |  arn: aws: hub de segurança: us-east- 1:123456789012: /1.0.0 subscription/aws-foundational-security-best-practices/v  |  Removido. O CSPM do Security Hub gera uma única descoberta para uma verificação de segurança em todos os padrões.  | 
|  ProductFields.aws/securityhub/FindingId  |  arn: aws: hub de segurança: us-east-1:: /751c2173-7372-4e12-8656-a5210dfb1d67 product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/Config.1/finding  |  arn: aws: hub de segurança: us-east-1:: /751c2173-7372-4e12-8656-a5210dfb1d67 product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/Config.1/finding  Esse campo não faz mais referência a um padrão.  | 

### Os valores de campos do ASFF fornecidos pelo cliente após ativar as descobertas de controles consolidadas
<a name="consolidated-controls-view-customer-provided-values"></a>

Se você habilitar as descobertas de controle consolidadas, o CSPM do Security Hub gerará uma descoberta em todos os padrões e arquivará as descobertas originais (descobertas separadas para cada padrão).

As atualizações feitas nas descobertas originais usando o console do CSPM do Security Hub ou a operação [https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html) não serão preservadas nas novas descobertas. Se necessário, é possível recuperar esses dados consultando as descobertas arquivadas. Para analisar as descobertas arquivadas, é possível usar a página **Descobertas** no console do CSPM do Security Hub e definir o filtro de **Estado do registro** como **ARQUIVADO**. Como alternativa, é possível usar a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) da API do CSPM do Security Hub.


| Campo do ASFF fornecido pelo cliente  | Descrição da alteração após habilitar as descobertas de controle consolidadas  | 
| --- | --- | 
|  Confiança  |  Redefine para o estado vazio.  | 
|  Criticidade  |  Redefine para o estado vazio.  | 
|  Observação  |  Redefine para o estado vazio.  | 
|  RelatedFindings  |  Redefine para o estado vazio.  | 
|  Gravidade  |  Gravidade padrão da descoberta (corresponde à gravidade do controle).  | 
|  Tipos  |  Redefine para o valor independente do padrão.  | 
|  UserDefinedFields  |  Redefine para o estado vazio.  | 
|  VerificationState  |  Redefine para o estado vazio.  | 
|  Fluxo de trabalho  |  Novas descobertas com falhas têm um valor padrão de NEW. Novas descobertas passadas têm um valor padrão de RESOLVED.  | 

## Gerador IDs antes e depois, permitindo descobertas de controle consolidadas
<a name="securityhub-findings-format-changes-generator-ids"></a>

A tabela a seguir lista as alterações nos valores de ID de geradores para controles quando você habilita descobertas de controles consolidadas. Essas alterações se aplicam aos controles com suporte no CSPM do Security Hub a partir de 15 de fevereiro de 2023.


| GeneratorID antes da habilitação das descobertas de controle consolidadas | GeneratorID depois da habilitação das descobertas de controle consolidadas | 
| --- | --- | 
|  arn: aws:securityhub::: /1.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 1CloudWatch.  | 
|  arn: aws:securityhub::: /1.10 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.16  | 
|  arn: aws:securityhub::: /1.11 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.17  | 
|  arn: aws:securityhub::: /1.12 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.4  | 
|  arn: aws:securityhub::: /1.13 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.9  | 
|  arn: aws:securityhub::: /1.14 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.6  | 
|  arn: aws:securityhub::: /1.16 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.2  | 
|  arn: aws:securityhub::: /1.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.5  | 
|  arn: aws:securityhub::: /1.20 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.18  | 
|  arn: aws:securityhub::: /1.22 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.1  | 
|  arn: aws:securityhub::: /1.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.8  | 
|  arn: aws:securityhub::: /1.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.3  | 
|  arn: aws:securityhub::: /1.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.11  | 
|  arn: aws:securityhub::: /1.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.12  | 
|  arn: aws:securityhub::: /1.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.13  | 
|  arn: aws:securityhub::: /1.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.14  | 
|  arn: aws:securityhub::: /1.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/IAM.15  | 
|  arn: aws:securityhub::: /2.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 1CloudTrail.  | 
|  arn: aws:securityhub::: /2.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 4CloudTrail.  | 
|  arn: aws:securityhub::: /2.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 6CloudTrail.  | 
|  arn: aws:securityhub::: /2.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 5CloudTrail.  | 
|  arn: aws:securityhub::: /2.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/Config.1  | 
|  arn: aws:securityhub::: /2.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 7CloudTrail.  | 
|  arn: aws:securityhub::: /2.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 2CloudTrail.  | 
|  arn: aws:securityhub::: /2.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/KMS.4  | 
|  arn: aws:securityhub::: /2.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/EC2.6  | 
|  arn: aws:securityhub::: /3.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 2CloudWatch.  | 
|  arn: aws:securityhub::: /3.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 3CloudWatch.  | 
|  arn: aws:securityhub::: /3.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 1CloudWatch.  | 
|  arn: aws:securityhub::: /3.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 4CloudWatch.  | 
|  arn: aws:securityhub::: /3.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 5CloudWatch.  | 
|  arn: aws:securityhub::: /3.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 6CloudWatch.  | 
|  arn: aws:securityhub::: /3.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 7CloudWatch.  | 
|  arn: aws:securityhub::: /3.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 8CloudWatch.  | 
|  arn: aws:securityhub::: /3.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 9CloudWatch.  | 
|  arn: aws:securityhub::: /3.10 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 1.0 CloudWatch  | 
|  arn: aws:securityhub::: /3.11 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 1.1 CloudWatch  | 
|  arn: aws:securityhub::: /3.12 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 1.2 CloudWatch  | 
|  arn: aws:securityhub::: /3.13 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 1.3 CloudWatch  | 
|  arn: aws:securityhub::: /3.14 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  controle de segurança/ 1.4 CloudWatch  | 
|  arn: aws:securityhub::: /4.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/EC2.13  | 
|  arn: aws:securityhub::: /4.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/EC2.14  | 
|  arn: aws:securityhub::: /4.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  security-control/EC2.2  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1,10  |  security-control/IAM.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1,14  |  security-control/IAM.3  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1,16  |  security-control/IAM.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1,17  |  security-control/IAM.18  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.4  |  security-control/IAM.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1,5  |  security-control/IAM.9  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.6  |  security-control/IAM.6  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1,7  |  controle de segurança/ 1CloudWatch.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1,8  |  security-control/IAM.15  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1,9  |  security-control/IAM.16  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.2  |  security-control/S3.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.5.1  |  security-control/S3.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.5.2  |  security-control/S3.8  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.2.1  |  security-control/EC2.7  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.3.1  |  security-control/RDS.3  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.1  |  controle de segurança/ 1CloudTrail.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.2  |  controle de segurança/ 4CloudTrail.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.4  |  controle de segurança/ 5CloudTrail.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3,5  |  security-control/Config.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.6  |  security-control/S3.9  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.7  |  controle de segurança/ 2CloudTrail.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.8  |  security-control/KMS.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.9  |  security-control/EC2.6  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.3  |  controle de segurança/ 1CloudWatch.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4,4  |  controle de segurança/ 4CloudWatch.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.5  |  controle de segurança/ 5CloudWatch.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.6  |  controle de segurança/ 6CloudWatch.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.7  |  controle de segurança/ 7CloudWatch.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.8  |  controle de segurança/ 8CloudWatch.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.9  |  controle de segurança/ 9CloudWatch.  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4,10  |  controle de segurança/ 1.0 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4,11  |  controle de segurança/ 1.1 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4,12  |  controle de segurança/ 1.2 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4,13  |  controle de segurança/ 1.3 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4,14  |  controle de segurança/ 1.4 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/5.1  |  security-control/EC2.21  | 
|  cis-aws-foundations-benchmark/v/1.4.0/5.3  |  security-control/EC2.2  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/Account.  |  security-control/Account.1  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/ACM.  |  security-control/ACM.1  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/APIGateway.  |  controle de segurança/ 1APIGateway.  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/APIGateway.  |  controle de segurança/ 2APIGateway.  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/APIGateway.  |  controle de segurança/ 3APIGateway.  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/APIGateway.  |  controle de segurança/ 4APIGateway.  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/APIGateway.  |  controle de segurança/ 5APIGateway.  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/APIGateway.  |  controle de segurança/ 8APIGateway.  | 
|  aws-foundational-security-best- 9practices/v/1.0.0/APIGateway.  |  controle de segurança/ 9APIGateway.  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/AutoScaling.  |  controle de segurança/ 1AutoScaling.  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/AutoScaling.  |  controle de segurança/ 2AutoScaling.  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/AutoScaling.  |  controle de segurança/ 3AutoScaling.  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/Autoscaling.  |  security-control/Autoscaling.5  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/AutoScaling.  |  controle de segurança/ 6AutoScaling.  | 
|  aws-foundational-security-best- 9practices/v/1.0.0/AutoScaling.  |  controle de segurança/ 9AutoScaling.  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/CloudFront.  |  controle de segurança/ 1CloudFront.  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/CloudFront.  |  controle de segurança/ 3CloudFront.  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/CloudFront.  |  controle de segurança/ 4CloudFront.  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/CloudFront.  |  controle de segurança/ 5CloudFront.  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/CloudFront.  |  controle de segurança/ 6CloudFront.  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/CloudFront.  |  controle de segurança/ 7CloudFront.  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/CloudFront.  |  controle de segurança/ 8CloudFront.  | 
|  aws-foundational-security-best- 9practices/v/1.0.0/CloudFront.  |  controle de segurança/ 9CloudFront.  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront 1,0  |  controle de segurança/ 1.0 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront 1,2  |  controle de segurança/ 1.2 CloudFront  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/CloudTrail.  |  controle de segurança/ 1CloudTrail.  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/CloudTrail.  |  controle de segurança/ 2CloudTrail.  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/CloudTrail.  |  controle de segurança/ 4CloudTrail.  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/CloudTrail.  |  controle de segurança/ 5CloudTrail.  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/CodeBuild.  |  controle de segurança/ 1CodeBuild.  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/CodeBuild.  |  controle de segurança/ 2CodeBuild.  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/CodeBuild.  |  controle de segurança/ 3CodeBuild.  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/CodeBuild.  |  controle de segurança/ 4CodeBuild.  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/Config.  |  security-control/Config.1  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/DMS.  |  security-control/DMS.1  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/DynamoDB.  |  security-control/DynamoDB.1  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/DynamoDB.  |  security-control/DynamoDB.2  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/DynamoDB.  |  security-control/DynamoDB.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,1  |  security-control/EC2.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,3  |  security-control/EC2.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,4  |  security-control/EC2.4  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,6  |  security-control/EC2.6  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,7  |  security-control/EC2.7  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,8  |  security-control/EC2.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,9  |  security-control/EC2.9  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,10  |  security-control/EC2.10  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,15  |  security-control/EC2.15  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,16  |  security-control/EC2.16  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,17  |  security-control/EC2.17  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,18  |  security-control/EC2.18  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,19  |  security-control/EC2.19  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,2  |  security-control/EC2.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,20  |  security-control/EC2.20  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,21  |  security-control/EC2.21  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,23  |  security-control/EC2.23  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,24  |  security-control/EC2.24  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,25  |  security-control/EC2.25  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/ECR.  |  security-control/ECR.1  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/ECR.  |  security-control/ECR.2  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/ECR.  |  security-control/ECR.3  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/ECS.  |  security-control/ECS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECS 1,0  |  security-control/ECS.10  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECS 1,2  |  security-control/ECS.12  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/ECS.  |  security-control/ECS.2  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/ECS.  |  security-control/ECS.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/ECS.  |  security-control/ECS.4  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/ECS.  |  security-control/ECS.5  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/ECS.  |  security-control/ECS.8  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/EFS.  |  security-control/EFS.1  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/EFS.  |  security-control/EFS.2  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/EFS.  |  security-control/EFS.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/EFS.  |  security-control/EFS.4  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/EKS.  |  security-control/EKS.2  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/ElasticBeanstalk.  |  controle de segurança/ 1ElasticBeanstalk.  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/ElasticBeanstalk.  |  controle de segurança/ 2ElasticBeanstalk.  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELBv 2,1  |  security-control/ELB.1  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/ELB.  |  security-control/ELB.2  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/ELB.  |  security-control/ELB./\$1  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/ELB.  |  security-control/ELB.4  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/ELB.  |  security-control/ELB.5  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/ELB.  |  security-control/ELB.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/ELB.  |  security-control/ELB.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/ELB.  |  security-control/ELB.8  | 
|  aws-foundational-security-best- 9practices/v/1.0.0/ELB.  |  security-control/ELB.9  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB 1,0  |  security-control/ELB.10  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB 1,1  |  security-control/ELB.11  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB 1,2  |  security-control/ELB.12  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB 1,3  |  security-control/ELB.13  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB 1,4  |  security-control/ELB.14  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/EMR.  |  security-control/EMR.1  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/ES.  |  security-control/ES.1  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/ES.  |  security-control/ES.2  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/ES.  |  security-control/ES.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/ES.  |  security-control/ES.4  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/ES.  |  security-control/ES.5  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/ES.  |  security-control/ES.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/ES.  |  security-control/ES.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/ES.  |  security-control/ES.8  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/GuardDuty.  |  controle de segurança/ 1GuardDuty.  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/IAM.  |  security-control/IAM.1  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/IAM.  |  security-control/IAM.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM 2,1  |  security-control/IAM.21  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/IAM.  |  security-control/IAM.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/IAM.  |  security-control/IAM.4  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/IAM.  |  security-control/IAM.5  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/IAM.  |  security-control/IAM.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/IAM.  |  security-control/IAM.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/IAM.  |  security-control/IAM.8  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/Kinesis.  |  security-control/Kinesis.1  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/KMS.  |  security-control/KMS.1  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/KMS.  |  security-control/KMS.2  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/KMS.  |  security-control/KMS.3  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/Lambda.  |  security-control/Lambda.1  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/Lambda.  |  security-control/Lambda.2  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/Lambda.  |  security-control/Lambda.5  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/NetworkFirewall.  |  controle de segurança/ 3NetworkFirewall.  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/NetworkFirewall.  |  controle de segurança/ 4NetworkFirewall.  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/NetworkFirewall.  |  controle de segurança/ 5NetworkFirewall.  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/NetworkFirewall.  |  controle de segurança/ 6NetworkFirewall.  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.1  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.2  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.4  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.5  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/Opensearch.  |  security-control/Opensearch.8  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/RDS.  |  security-control/RDS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 1,0  |  security-control/RDS.10  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 1,1  |  security-control/RDS.11  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 1,2  |  security-control/RDS.12  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 1,3  |  security-control/RDS.13  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 1,4  |  security-control/RDS.14  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 1,5  |  security-control/RDS.15  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 1,6  |  security-control/RDS.16  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 1,7  |  security-control/RDS.17  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 1,9  |  security-control/RDS.19  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/RDS.  |  security-control/RDS.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 2,0  |  security-control/RDS.20  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 2,1  |  security-control/RDS.21  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 2,2  |  security-control/RDS.22  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 2,3  |  security-control/RDS.23  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 2,4  |  security-control/RDS.24  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS 2,5  |  security-control/RDS.25  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/RDS.  |  security-control/RDS.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/RDS.  |  security-control/RDS.4  | 
|  aws-foundational-security-best- 5practices/v/1.0.0/RDS.  |  security-control/RDS.5  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/RDS.  |  security-control/RDS.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/RDS.  |  security-control/RDS.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/RDS.  |  security-control/RDS.8  | 
|  aws-foundational-security-best- 9practices/v/1.0.0/RDS.  |  security-control/RDS.9  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/Redshift.  |  security-control/Redshift.1  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/Redshift.  |  security-control/Redshift.2  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/Redshift.  |  security-control/Redshift.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/Redshift.  |  security-control/Redshift.4  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/Redshift.  |  security-control/Redshift.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/Redshift.  |  security-control/Redshift.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/Redshift.  |  security-control/Redshift.8  | 
|  aws-foundational-security-best- 9practices/v/1.0.0/Redshift.  |  security-control/Redshift.9  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,1  |  security-control/S3.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,12  |  security-control/S3.12  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,13  |  security-control/S3.13  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,2  |  security-control/S3.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,3  |  security-control/S3.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,5  |  security-control/S3.5  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,6  |  security-control/S3.6  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,8  |  security-control/S3.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,9  |  security-control/S3.9  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/SageMaker.  |  controle de segurança/ 1SageMaker.  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/SageMaker.  |  controle de segurança/ 2SageMaker.  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/SageMaker.  |  controle de segurança/ 3SageMaker.  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/SecretsManager.  |  controle de segurança/ 1SecretsManager.  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/SecretsManager.  |  controle de segurança/ 2SecretsManager.  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/SecretsManager.  |  controle de segurança/ 3SecretsManager.  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/SecretsManager.  |  controle de segurança/ 4SecretsManager.  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/SQS.  |  security-control/SQS.1  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/SSM.  |  security-control/SSM.1  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/SSM.  |  security-control/SSM.2  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/SSM.  |  security-control/SSM.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/SSM.  |  security-control/SSM.4  | 
|  aws-foundational-security-best- 1practices/v/1.0.0/WAF.  |  security-control/WAF.1  | 
|  aws-foundational-security-best- 2practices/v/1.0.0/WAF.  |  security-control/WAF.2  | 
|  aws-foundational-security-best- 3practices/v/1.0.0/WAF.  |  security-control/WAF.3  | 
|  aws-foundational-security-best- 4practices/v/1.0.0/WAF.  |  security-control/WAF.4  | 
|  aws-foundational-security-best- 6practices/v/1.0.0/WAF.  |  security-control/WAF.6  | 
|  aws-foundational-security-best- 7practices/v/1.0.0/WAF.  |  security-control/WAF.7  | 
|  aws-foundational-security-best- 8practices/v/1.0.0/WAF.  |  security-control/WAF.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/WAF 1,0  |  security-control/WAF.10  | 
|  foto-. dss/v/3.2.1/PCI AutoScaling.1  |  controle de segurança/ 1AutoScaling.  | 
|  foto-. dss/v/3.2.1/PCI CloudTrail.1  |  controle de segurança/ 2CloudTrail.  | 
|  foto-. dss/v/3.2.1/PCI CloudTrail.2  |  controle de segurança/ 3CloudTrail.  | 
|  foto-. dss/v/3.2.1/PCI CloudTrail.3  |  controle de segurança/ 4CloudTrail.  | 
|  foto-. dss/v/3.2.1/PCI CloudTrail.4  |  controle de segurança/ 5CloudTrail.  | 
|  foto-. dss/v/3.2.1/PCI CodeBuild.1  |  controle de segurança/ 1CodeBuild.  | 
|  foto-. dss/v/3.2.1/PCI CodeBuild.2  |  controle de segurança/ 2CodeBuild.  | 
|  pci- .Config.1 dss/v/3.2.1/PCI  |  security-control/Config.1  | 
|  foto - dss/v/3.2.1/PCI C.W.1  |  controle de segurança/ 1CloudWatch.  | 
|  foto - dss/v/3.2.1/PCI D.MS.1  |  security-control/DMS.1  | 
|  pic-E.C2.1 dss/v/3.2.1/PCI  |  security-control/EC2.1  | 
|  pic-E.C2.2 dss/v/3.2.1/PCI  |  security-control/EC2.2  | 
|  pic-E.C2.4 dss/v/3.2.1/PCI  |  security-control/EC2.12  | 
|  pic-E.C2.5 dss/v/3.2.1/PCI  |  security-control/EC2.13  | 
|  pic-E.C2.6 dss/v/3.2.1/PCI  |  security-control/EC2.6  | 
|  foto-. dss/v/3.2.1/PCI ELBv2.1  |  security-control/ELB.1  | 
|  foto- .ES.1 dss/v/3.2.1/PCI  |  security-control/ES.2  | 
|  foto- .ES.2 dss/v/3.2.1/PCI  |  security-control/ES.1  | 
|  foto-. dss/v/3.2.1/PCI GuardDuty.1  |  controle de segurança/ 1GuardDuty.  | 
|  foto - IAM.1 dss/v/3.2.1/PCI  |  security-control/IAM.4  | 
|  foto - IAM.2 dss/v/3.2.1/PCI  |  security-control/IAM.2  | 
|  foto - IAM.3 dss/v/3.2.1/PCI  |  security-control/IAM.1  | 
|  foto - IAM.4 dss/v/3.2.1/PCI  |  security-control/IAM.6  | 
|  foto - IAM.5 dss/v/3.2.1/PCI  |  security-control/IAM.9  | 
|  foto - I.AM.6 dss/v/3.2.1/PCI  |  security-control/IAM.19  | 
|  foto - I.AM.7 dss/v/3.2.1/PCI  |  security-control/IAM.8  | 
|  foto - I.AM.8 dss/v/3.2.1/PCI  |  security-control/IAM.10  | 
|  foto - dss/v/3.2.1/PCI KMS.1  |  security-control/KMS.4  | 
|  foto- Lambda.1 dss/v/3.2.1/PCI  |  security-control/Lambda.1  | 
|  foto- Lambda.2 dss/v/3.2.1/PCI  |  security-control/Lambda.3  | 
|  pci- .Abrir pesquisa.1 dss/v/3.2.1/PCI  |  security-control/Opensearch.2  | 
|  pci- .Opensearch.2 dss/v/3.2.1/PCI  |  security-control/Opensearch.1  | 
|  foto - RDS.1 dss/v/3.2.1/PCI  |  security-control/RDS.1  | 
|  foto- RDS.2 dss/v/3.2.1/PCI  |  security-control/RDS.2  | 
|  foto- dss/v/3.2.1/PCI .Redshift.1  |  security-control/Redshift.1  | 
|  pic-S.3.1 dss/v/3.2.1/PCI  |  security-control/S3.3  | 
|  pic-S 3.2 dss/v/3.2.1/PCI  |  security-control/S3.2  | 
|  pic-S.3.3 dss/v/3.2.1/PCI  |  security-control/S3.7  | 
|  foto- S.3.5 dss/v/3.2.1/PCI  |  security-control/S3.5  | 
|  foto S.3.6 dss/v/3.2.1/PCI  |  security-control/S3.1  | 
|  foto-. dss/v/3.2.1/PCI SageMaker.1  |  controle de segurança/ 1SageMaker.  | 
|  foto - dss/v/3.2.1/PCI S.SM.1  |  security-control/SSM.2  | 
|  pic-.SSM.2 dss/v/3.2.1/PCI  |  security-control/SSM.3  | 
|  pic-.SSM.3 dss/v/3.2.1/PCI  |  security-control/SSM.1  | 
|  service-managed-aws-control- 1tower/v/1.0.0/ACM.  |  security-control/ACM.1  | 
|  service-managed-aws-control- 1tower/v/1.0.0/APIGateway.  |  controle de segurança/ 1APIGateway.  | 
|  service-managed-aws-control- 2tower/v/1.0.0/APIGateway.  |  controle de segurança/ 2APIGateway.  | 
|  service-managed-aws-control- 3tower/v/1.0.0/APIGateway.  |  controle de segurança/ 3APIGateway.  | 
|  service-managed-aws-control- 4tower/v/1.0.0/APIGateway.  |  controle de segurança/ 4APIGateway.  | 
|  service-managed-aws-control- 5tower/v/1.0.0/APIGateway.  |  controle de segurança/ 5APIGateway.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/AutoScaling.  |  controle de segurança/ 1AutoScaling.  | 
|  service-managed-aws-control- 2tower/v/1.0.0/AutoScaling.  |  controle de segurança/ 2AutoScaling.  | 
|  service-managed-aws-control- 3tower/v/1.0.0/AutoScaling.  |  controle de segurança/ 3AutoScaling.  | 
|  service-managed-aws-control- 4tower/v/1.0.0/AutoScaling.  |  controle de segurança/ 4AutoScaling.  | 
|  service-managed-aws-control- 5tower/v/1.0.0/Autoscaling.  |  security-control/Autoscaling.5  | 
|  service-managed-aws-control- 6tower/v/1.0.0/AutoScaling.  |  controle de segurança/ 6AutoScaling.  | 
|  service-managed-aws-control- 9tower/v/1.0.0/AutoScaling.  |  controle de segurança/ 9AutoScaling.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/CloudTrail.  |  controle de segurança/ 1CloudTrail.  | 
|  service-managed-aws-control- 2tower/v/1.0.0/CloudTrail.  |  controle de segurança/ 2CloudTrail.  | 
|  service-managed-aws-control- 4tower/v/1.0.0/CloudTrail.  |  controle de segurança/ 4CloudTrail.  | 
|  service-managed-aws-control- 5tower/v/1.0.0/CloudTrail.  |  controle de segurança/ 5CloudTrail.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/CodeBuild.  |  controle de segurança/ 1CodeBuild.  | 
|  service-managed-aws-control- 2tower/v/1.0.0/CodeBuild.  |  controle de segurança/ 2CodeBuild.  | 
|  service-managed-aws-control- 4tower/v/1.0.0/CodeBuild.  |  controle de segurança/ 4CodeBuild.  | 
|  service-managed-aws-control- 5tower/v/1.0.0/CodeBuild.  |  controle de segurança/ 5CodeBuild.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/DMS.  |  security-control/DMS.1  | 
|  service-managed-aws-control- 1tower/v/1.0.0/DynamoDB.  |  security-control/DynamoDB.1  | 
|  service-managed-aws-control- 2tower/v/1.0.0/DynamoDB.  |  security-control/DynamoDB.2  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,1  |  security-control/EC2.1  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,2  |  security-control/EC2.2  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,3  |  security-control/EC2.3  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,4  |  security-control/EC2.4  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,6  |  security-control/EC2.6  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,7  |  security-control/EC2.7  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,8  |  security-control/EC2.8  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,9  |  security-control/EC2.9  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,10  |  security-control/EC2.10  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,15  |  security-control/EC2.15  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,16  |  security-control/EC2.16  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,17  |  security-control/EC2.17  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,18  |  security-control/EC2.18  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,19  |  security-control/EC2.19  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,20  |  security-control/EC2.20  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,21  |  security-control/EC2.21  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,22  |  security-control/EC2.22  | 
|  service-managed-aws-control- 1tower/v/1.0.0/ECR.  |  security-control/ECR.1  | 
|  service-managed-aws-control- 2tower/v/1.0.0/ECR.  |  security-control/ECR.2  | 
|  service-managed-aws-control- 3tower/v/1.0.0/ECR.  |  security-control/ECR.3  | 
|  service-managed-aws-control- 1tower/v/1.0.0/ECS.  |  security-control/ECS.1  | 
|  service-managed-aws-control- 2tower/v/1.0.0/ECS.  |  security-control/ECS.2  | 
|  service-managed-aws-control- 3tower/v/1.0.0/ECS.  |  security-control/ECS.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/ECS.  |  security-control/ECS.4  | 
|  service-managed-aws-control- 5tower/v/1.0.0/ECS.  |  security-control/ECS.5  | 
|  service-managed-aws-control- 8tower/v/1.0.0/ECS.  |  security-control/ECS.8  | 
|  service-managed-aws-control- tower/v/1.0.0/ECS 1,0  |  security-control/ECS.10  | 
|  service-managed-aws-control- tower/v/1.0.0/ECS 1,2  |  security-control/ECS.12  | 
|  service-managed-aws-control- 1tower/v/1.0.0/EFS.  |  security-control/EFS.1  | 
|  service-managed-aws-control- 2tower/v/1.0.0/EFS.  |  security-control/EFS.2  | 
|  service-managed-aws-control- 3tower/v/1.0.0/EFS.  |  security-control/EFS.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/EFS.  |  security-control/EFS.4  | 
|  service-managed-aws-control- 2tower/v/1.0.0/EKS.  |  security-control/EKS.2  | 
|  service-managed-aws-control- 2tower/v/1.0.0/ELB.  |  security-control/ELB.2  | 
|  service-managed-aws-control- 3tower/v/1.0.0/ELB.  |  security-control/ELB./\$1  | 
|  service-managed-aws-control- 4tower/v/1.0.0/ELB.  |  security-control/ELB.4  | 
|  service-managed-aws-control- 5tower/v/1.0.0/ELB.  |  security-control/ELB.5  | 
|  service-managed-aws-control- 6tower/v/1.0.0/ELB.  |  security-control/ELB.6  | 
|  service-managed-aws-control- 7tower/v/1.0.0/ELB.  |  security-control/ELB.7  | 
|  service-managed-aws-control- 8tower/v/1.0.0/ELB.  |  security-control/ELB.8  | 
|  service-managed-aws-control- 9tower/v/1.0.0/ELB.  |  security-control/ELB.9  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB 1,0  |  security-control/ELB.10  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB 1,2  |  security-control/ELB.12  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB 1,3  |  security-control/ELB.13  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB 1,4  |  security-control/ELB.14  | 
|  service-managed-aws-control- tower/v/1.0.0/ELBv 2,1  |  controle de segurança/ 1ELBv2.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/EMR.  |  security-control/EMR.1  | 
|  service-managed-aws-control- 1tower/v/1.0.0/ES.  |  security-control/ES.1  | 
|  service-managed-aws-control- 2tower/v/1.0.0/ES.  |  security-control/ES.2  | 
|  service-managed-aws-control- 3tower/v/1.0.0/ES.  |  security-control/ES.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/ES.  |  security-control/ES.4  | 
|  service-managed-aws-control- 5tower/v/1.0.0/ES.  |  security-control/ES.5  | 
|  service-managed-aws-control- 6tower/v/1.0.0/ES.  |  security-control/ES.6  | 
|  service-managed-aws-control- 7tower/v/1.0.0/ES.  |  security-control/ES.7  | 
|  service-managed-aws-control- 8tower/v/1.0.0/ES.  |  security-control/ES.8  | 
|  service-managed-aws-control- 1tower/v/1.0.0/ElasticBeanstalk.  |  controle de segurança/ 1ElasticBeanstalk.  | 
|  service-managed-aws-control- 2tower/v/1.0.0/ElasticBeanstalk.  |  controle de segurança/ 2ElasticBeanstalk.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/GuardDuty.  |  controle de segurança/ 1GuardDuty.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/IAM.  |  security-control/IAM.1  | 
|  service-managed-aws-control- 2tower/v/1.0.0/IAM.  |  security-control/IAM.2  | 
|  service-managed-aws-control- 3tower/v/1.0.0/IAM.  |  security-control/IAM.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/IAM.  |  security-control/IAM.4  | 
|  service-managed-aws-control- 5tower/v/1.0.0/IAM.  |  security-control/IAM.5  | 
|  service-managed-aws-control- 6tower/v/1.0.0/IAM.  |  security-control/IAM.6  | 
|  service-managed-aws-control- 7tower/v/1.0.0/IAM.  |  security-control/IAM.7  | 
|  service-managed-aws-control- 8tower/v/1.0.0/IAM.  |  security-control/IAM.8  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM 2,1  |  security-control/IAM.21  | 
|  service-managed-aws-control- 1tower/v/1.0.0/Kinesis.  |  security-control/Kinesis.1  | 
|  service-managed-aws-control- 1tower/v/1.0.0/KMS.  |  security-control/KMS.1  | 
|  service-managed-aws-control- 2tower/v/1.0.0/KMS.  |  security-control/KMS.2  | 
|  service-managed-aws-control- 3tower/v/1.0.0/KMS.  |  security-control/KMS.3  | 
|  service-managed-aws-control- 1tower/v/1.0.0/Lambda.  |  security-control/Lambda.1  | 
|  service-managed-aws-control- 2tower/v/1.0.0/Lambda.  |  security-control/Lambda.2  | 
|  service-managed-aws-control- 5tower/v/1.0.0/Lambda.  |  security-control/Lambda.5  | 
|  service-managed-aws-control- 3tower/v/1.0.0/NetworkFirewall.  |  controle de segurança/ 3NetworkFirewall.  | 
|  service-managed-aws-control- 4tower/v/1.0.0/NetworkFirewall.  |  controle de segurança/ 4NetworkFirewall.  | 
|  service-managed-aws-control- 5tower/v/1.0.0/NetworkFirewall.  |  controle de segurança/ 5NetworkFirewall.  | 
|  service-managed-aws-control- 6tower/v/1.0.0/NetworkFirewall.  |  controle de segurança/ 6NetworkFirewall.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.1  | 
|  service-managed-aws-control- 2tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.2  | 
|  service-managed-aws-control- 3tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.4  | 
|  service-managed-aws-control- 5tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.5  | 
|  service-managed-aws-control- 6tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.6  | 
|  service-managed-aws-control- 7tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.7  | 
|  service-managed-aws-control- 8tower/v/1.0.0/Opensearch.  |  security-control/Opensearch.8  | 
|  service-managed-aws-control- 1tower/v/1.0.0/RDS.  |  security-control/RDS.1  | 
|  service-managed-aws-control- 2tower/v/1.0.0/RDS.  |  security-control/RDS.2  | 
|  service-managed-aws-control- 3tower/v/1.0.0/RDS.  |  security-control/RDS.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/RDS.  |  security-control/RDS.4  | 
|  service-managed-aws-control- 5tower/v/1.0.0/RDS.  |  security-control/RDS.5  | 
|  service-managed-aws-control- 6tower/v/1.0.0/RDS.  |  security-control/RDS.6  | 
|  service-managed-aws-control- 8tower/v/1.0.0/RDS.  |  security-control/RDS.8  | 
|  service-managed-aws-control- 9tower/v/1.0.0/RDS.  |  security-control/RDS.9  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS 1,0  |  security-control/RDS.10  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS 1,1  |  security-control/RDS.11  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS 1,3  |  security-control/RDS.13  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS 1,7  |  security-control/RDS.17  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS 1,8  |  security-control/RDS.18  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS 1,9  |  security-control/RDS.19  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS 2,0  |  security-control/RDS.20  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS 2,1  |  security-control/RDS.21  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS 2,2  |  security-control/RDS.22  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS 2,3  |  security-control/RDS.23  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS 2,5  |  security-control/RDS.25  | 
|  service-managed-aws-control- 1tower/v/1.0.0/Redshift.  |  security-control/Redshift.1  | 
|  service-managed-aws-control- 2tower/v/1.0.0/Redshift.  |  security-control/Redshift.2  | 
|  service-managed-aws-control- 4tower/v/1.0.0/Redshift.  |  security-control/Redshift.4  | 
|  service-managed-aws-control- 6tower/v/1.0.0/Redshift.  |  security-control/Redshift.6  | 
|  service-managed-aws-control- 7tower/v/1.0.0/Redshift.  |  security-control/Redshift.7  | 
|  service-managed-aws-control- 8tower/v/1.0.0/Redshift.  |  security-control/Redshift.8  | 
|  service-managed-aws-control- 9tower/v/1.0.0/Redshift.  |  security-control/Redshift.9  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,1  |  security-control/S3.1  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,2  |  security-control/S3.2  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,3  |  security-control/S3.3  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,5  |  security-control/S3.5  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,6  |  security-control/S3.6  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,8  |  security-control/S3.8  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,9  |  security-control/S3.9  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,12  |  security-control/S3.12  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,13  |  security-control/S3.13  | 
|  service-managed-aws-control- 1tower/v/1.0.0/SageMaker.  |  controle de segurança/ 1SageMaker.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/SecretsManager.  |  controle de segurança/ 1SecretsManager.  | 
|  service-managed-aws-control- 2tower/v/1.0.0/SecretsManager.  |  controle de segurança/ 2SecretsManager.  | 
|  service-managed-aws-control- 3tower/v/1.0.0/SecretsManager.  |  controle de segurança/ 3SecretsManager.  | 
|  service-managed-aws-control- 4tower/v/1.0.0/SecretsManager.  |  controle de segurança/ 4SecretsManager.  | 
|  service-managed-aws-control- 1tower/v/1.0.0/SQS.  |  security-control/SQS.1  | 
|  service-managed-aws-control- 1tower/v/1.0.0/SSM.  |  security-control/SSM.1  | 
|  service-managed-aws-control- 2tower/v/1.0.0/SSM.  |  security-control/SSM.2  | 
|  service-managed-aws-control- 3tower/v/1.0.0/SSM.  |  security-control/SSM.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/SSM.  |  security-control/SSM.4  | 
|  service-managed-aws-control- 2tower/v/1.0.0/WAF.  |  security-control/WAF.2  | 
|  service-managed-aws-control- 3tower/v/1.0.0/WAF.  |  security-control/WAF.3  | 
|  service-managed-aws-control- 4tower/v/1.0.0/WAF.  |  security-control/WAF.4  | 

## Como a consolidação afeta o controle IDs e os títulos
<a name="securityhub-findings-format-changes-ids-titles"></a>

A visualização de controles consolidados e as descobertas de controle consolidado padronizam o controle IDs e os títulos em todos os padrões. Os termos *ID de controle de segurança* e *título de controle de segurança* se referem a esses valores independentes de padrão.

O console CSPM do Security Hub exibe títulos de controle de segurança IDs e controle de segurança independentes de padrões, independentemente de as descobertas de controle consolidadas estarem ativadas ou desativadas para sua conta. Porém, as descobertas do CSPM do Security Hub conterão títulos de controles específicos de padrões para o PCI DSS e o CIS v1.2.0 se as descobertas de controles consolidadas estiverem desabilitadas para sua conta. Além disso, as descobertas do CSPM do Security Hub conterão o ID e o título dos controles específicos do padrão. Para obter exemplos de como a consolidação afeta as descobertas de controle, consulte [Exemplos de descobertas de controles](sample-control-findings.md).

Para controles que fazem parte do [padrão gerenciado por serviço AWS Control Tower](service-managed-standard-aws-control-tower.md), o prefixo `CT.` é removido do ID de controle e do título nas descobertas quando as descobertas de controle consolidadas são habilitadas.

Para desabilitar um controle de segurança no CSPM do Security Hub, é necessário desabilitar todos os controles de padrões que correspondam ao controle de segurança. A tabela a seguir mostra o mapeamento do controle IDs e dos títulos de segurança para controles IDs e títulos específicos do padrão. IDs e os títulos dos controles que pertencem ao padrão AWS Foundational Security Best Practices (FSBP) já são independentes do padrão. Para um mapeamento dos controles de acordo com os requisitos do Center for Internet Security (CIS) v3.0.0, consulte [Mapeamento de controles para os requisitos do CIS em cada versão](cis-aws-foundations-benchmark.md#cis-version-comparison). Para executar seus próprios scripts nessa tabela, [baixe-a como um arquivo .csv](samples/Consolidation_ID_Title_Changes.csv.zip).


| Standard | Título e ID do controle de padrão | Título e ID do controle de segurança | 
| --- | --- | --- | 
|  CIS v1.2.0  |  1.1 Evitar o uso do "usuário raiz"  |  [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.2.0  |  1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas  |  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)  | 
|  CIS v1.2.0  |  1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos  |  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17)  | 
|  CIS v1.2.0  |  1.12 Certifique-se que não existam chaves de acesso do usuário raiz  |  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)  | 
|  CIS v1.2.0  |  1.13 Certifique-se que MFA esteja habilitada para a usuário raiz  |  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)  | 
|  CIS v1.2.0  |  1.14 Certifique-se que a MFA de hardware esteja habilitada para o usuário raiz  |  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)  | 
|  CIS v1.2.0  |  1.16 Certifique-se que as políticas do IAM sejam anexadas somente a grupos ou funções  |  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)  | 
|  CIS v1.2.0  |  1.2 Certifique-se de que a autenticação multifator (MFA) esteja ativada para todos os usuários do IAM que têm uma senha do console  |  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)  | 
|  CIS v1.2.0  |  1.20 Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com Suporte  |  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)  | 
|  CIS v1.2.0  |  1.22 Certifique-se que as políticas do IAM que permitem privilégios administrativos "\$1:\$1" completos não sejam criadas  |  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1)  | 
|  CIS v1.2.0  |  1.3 Certifique-se de que as credenciais não usadas por 90 dias ou mais sejam desativadas  |  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)  | 
|  CIS v1.2.0  |  1.4 Certifique-se de que as chaves de acesso sejam mudadas a cada 90 dias ou menos  |  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)  | 
|  CIS v1.2.0  |  1.5 Certifique-se que política de senha do IAM exija pelo menos uma letra maiúscula  |  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11)  | 
|  CIS v1.2.0  |  1.6 Certifique-se que a política de senha do IAM exija pelo menos uma letra minúscula  |  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12)  | 
|  CIS v1.2.0  |  1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo  |  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13)  | 
|  CIS v1.2.0  |  Certifique-se que a política de senha do IAM exija pelo menos um número  |  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14)  | 
|  CIS v1.2.0  |  1.9 Certifique-se que a política de senha do IAM exija um comprimento mínimo de 14 ou mais  |  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)  | 
|  CIS v1.2.0  |  2.1 Certifique-se de que CloudTrail está ativado em todas as regiões  |  [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)  | 
|  CIS v1.2.0  |  2.2 Certifique-se de que a validação do arquivo de CloudTrail log esteja ativada  |  [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)  | 
|  CIS v1.2.0  |  2.3 Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público  |  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6)  | 
|  CIS v1.2.0  |  2.4 Garanta que as CloudTrail trilhas estejam integradas aos CloudWatch registros  |  [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)  | 
|  CIS v1.2.0  |  2.5 Certifique-se de que AWS Config está ativado  |  [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)  | 
|  CIS v1.2.0  |  2.6 Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3  |  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)  | 
|  CIS v1.2.0  |  2.7 Certifique-se de que CloudTrail os registros sejam criptografados em repouso usando o KMS CMKs  |  [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)  | 
|  CIS v1.2.0  |  2.8 Certifique-se de que a rotação para clientes criados CMKs esteja ativada  |  [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)  | 
|  CIS v1.2.0  |  2.9 Certifique-se de que o registro de fluxo de VPC esteja ativado em todos VPCs  |  [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)  | 
|  CIS v1.2.0  |  3.1 Certifique-se de que um filtro e um alarme de métrica de logs existam para chamadas de API não autorizadas  |  [[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas](cloudwatch-controls.md#cloudwatch-2)  | 
|  CIS v1.2.0  |  3.10 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de grupo de segurança  |  [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10)  | 
|  CIS v1.2.0  |  3.11 Garanta que um filtro e um alarme de métrica de logs existem para alterações em listas de controle de acesso à rede (NACL)  |  [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11)  | 
|  CIS v1.2.0  |  3.12 Garanta que um filtro e um alarme de métrica de logs existem para alterações em gateways de rede  |  [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12)  | 
|  CIS v1.2.0  |  3.13 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de tabela de rotas  |  [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13)  | 
|  CIS v1.2.0  |  3.14 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de VPC  |  [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14)  | 
|  CIS v1.2.0  |  3.2 Certifique-se que um filtro e um alarme de métrica de logs existam para login do Management Console sem a MFA  |  [[CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA](cloudwatch-controls.md#cloudwatch-3)  | 
|  CIS v1.2.0  |  3.3 Certifique-se que um filtro e um alarme de métrica de logs existam para uso do usuário raiz  |  [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.2.0  |  3.4 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política do IAM  |  [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4)  | 
|  CIS v1.2.0  |  3.5 Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração  |  [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5)  | 
|  CIS v1.2.0  |  3.6 Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação  |  [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6)  | 
|  CIS v1.2.0  |  3.7 Certifique-se de que exista um filtro métrico de registro e um alarme para desativação ou exclusão programada do cliente criado CMKs  |  [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7)  | 
|  CIS v1.2.0  |  3.8 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política de bucket do S3  |  [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8)  | 
|  CIS v1.2.0  |  3.9 Certifique-se de que exista um filtro métrico de log e um alarme para alterações AWS Config de configuração  |  [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9)  | 
|  CIS v1.2.0  |  4.1 Certifique-se de nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 22  |  [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13)  | 
|  CIS v1.2.0  |  4.2 Certifique-se de nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 3389  |  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14)  | 
|  CIS v1.2.0  |  4.3 Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego  |  [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)  | 
|  CIS v1.4.0  |  1.10 Certifique-se de que a autenticação multifator (MFA) esteja ativada para todos os usuários do IAM que têm uma senha do console  |  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)  | 
|  CIS v1.4.0  |  1.14 Certifique-se de que as chaves de acesso sejam mudadas a cada 90 dias ou menos  |  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)  | 
|  CIS v1.4.0  |  1.16 Certifique-se que as políticas do IAM que permitem privilégios administrativos "\$1:\$1" completos não sejam A  |  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1)  | 
|  CIS v1.4.0  |  1.17 Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com Suporte  |  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)  | 
|  CIS v1.4.0  |  1.4 Certifique-se de que não existam chaves de acesso da conta raiz  |  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)  | 
|  CIS v1.4.0  |  1.5 Certifique-se que A MFA esteja habilitada para a conta do usuário raiz  |  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)  | 
|  CIS v1.4.0  |  1.14 Certifique-se que a MFA de hardware esteja habilitada para a conta de usuário raiz  |  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)  | 
|  CIS v1.4.0  |  1.7 Elimine o uso do usuário raiz para tarefas administrativas e diárias  |  [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.4.0  |  1.8 Certifique-se que a política de senha do IAM exija um comprimento mínimo de 14 ou mais  |  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)  | 
|  CIS v1.4.0  |  1.9 Certifique-se que a política de senha do IAM impeça a reutilização de senhas  |  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)  | 
|  CIS v1.4.0  |  2.1.2 Certifique-se que a política de bucket do S3 esteja configurada para negar solicitações HTTP  |  [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)  | 
|  CIS v1.4.0  |  2.1.5.1 A configuração do S3 Block Public Access deve estar habilitada  |  [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)  | 
|  CIS v1.4.0  |  2.1.5.2 A configuração de acesso público do bloco S3 deve ser ativada no nível do bucket  |  [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)  | 
|  CIS v1.4.0  |  2.2.1 Certifique-se que a criptografia de volume do EBS esteja ativada  |  [[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7)  | 
|  CIS v1.4.0  |  2.3.1 Certifique-se de que a criptografia esteja habilitada para instâncias do RDS  |  [[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3)  | 
|  CIS v1.4.0  |  3.1 Certifique-se de que CloudTrail está ativado em todas as regiões  |  [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)  | 
|  CIS v1.4.0  |  3.2 Certifique-se de que a validação do arquivo de CloudTrail log esteja ativada  |  [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)  | 
|  CIS v1.4.0  |  3.4 Garanta que as CloudTrail trilhas estejam integradas aos registros CloudWatch   |  [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)  | 
|  CIS v1.4.0  |  3.5 Certifique-se de que AWS Config está ativado em todas as regiões  |  [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)  | 
|  CIS v1.4.0  |  3.6 Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3  |  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)  | 
|  CIS v1.4.0  |  3.7 Certifique-se de que CloudTrail os registros sejam criptografados em repouso usando o KMS CMKs  |  [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)  | 
|  CIS v1.4.0  |  3.8 Certifique-se de que a rotação para clientes criados CMKs esteja ativada  |  [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)  | 
|  CIS v1.4.0  |  3.9 Certifique-se de que o registro de fluxo de VPC esteja ativado em todos VPCs  |  [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)  | 
|  CIS v1.4.0  |  4.4 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política do IAM  |  [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4)  | 
|  CIS v1.4.0  |  4.5 Certifique-se de que exista um filtro métrico de log e um alarme para alterações CloudTrail de configuração  |  [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5)  | 
|  CIS v1.4.0  |  4.6 Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação  |  [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6)  | 
|  CIS v1.4.0  |  4.7 Certifique-se de que exista um filtro métrico de registro e um alarme para desativação ou exclusão programada do cliente criado CMKs  |  [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7)  | 
|  CIS v1.4.0  |  4.8 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política de bucket do S3  |  [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8)  | 
|  CIS v1.4.0  |  4.9 Certifique-se de que exista um filtro métrico de log e um alarme para alterações AWS Config de configuração  |  [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9)  | 
|  CIS v1.4.0  |  4.10 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de grupo de segurança  |  [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10)  | 
|  CIS v1.4.0  |  4.11 Garanta que um filtro e um alarme de métrica de log existem para alterações em listas de controle de acesso à rede (NACL)  |  [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11)  | 
|  CIS v1.4.0  |  4.12 Garanta que um filtro e um alarme de métrica de logs existem para alterações em gateways de rede  |  [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12)  | 
|  CIS v1.4.0  |  4.13 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de tabela de rotas  |  [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13)  | 
|  CIS v1.4.0  |  4.14 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de VPC  |  [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14)  | 
|  CIS v1.4.0  |  5.1 Certifique-se de que nenhuma rede ACLs permita a entrada de 0.0.0.0/0 às portas de administração do servidor remoto  |  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)  | 
|  CIS v1.4.0  |  5.3 Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego  |  [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)  | 
|  PCI DSS v3.2.1  |  FOTO. AutoScaling.1 Os grupos de escalonamento automático associados a um balanceador de carga devem usar verificações de integridade do balanceador de carga  |  [[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB](autoscaling-controls.md#autoscaling-1)  | 
|  PCI DSS v3.2.1  |  FOTO. CloudTrail.1 CloudTrail os registros devem ser criptografados em repouso usando AWS KMS CMKs  |  [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)  | 
|  PCI DSS v3.2.1  |  FOTO. CloudTrail.2 CloudTrail deve ser ativado  |  [[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada](cloudtrail-controls.md#cloudtrail-3)  | 
|  PCI DSS v3.2.1  |  FOTO. CloudTrail.3 A validação do arquivo de CloudTrail log deve estar ativada  |  [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)  | 
|  PCI DSS v3.2.1  |  FOTO. CloudTrail.4 CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs  |  [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)  | 
|  PCI DSS v3.2.1  |  FOTO. CodeBuild.1 CodeBuild GitHub ou o repositório de origem do Bitbucket deve usar URLs OAuth  |  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1)  | 
|  PCI DSS v3.2.1  |  FOTO. CodeBuild.2 As variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado  |  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2)  | 
|  PCI DSS v3.2.1  |  O PCI.config.1 deve estar ativado AWS Config   |  [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)  | 
|  PCI DSS v3.2.1  |  PCI.CW.1 Um filtro de métrica de log e um alarme devem existir para o uso do usuário "raiz"  |  [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1)  | 
|  PCI DSS v3.2.1  |  PCI.DMS.1 As instâncias de replicação do Database Migration Service não devem ser públicas  |  [[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas](dms-controls.md#dms-1)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.1 Os snapshots do EBS não devem ser restauráveis publicamente  |  [[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente](ec2-controls.md#ec2-1)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.2 O grupo de segurança padrão da VPC deve proibir o tráfego de entrada e de saída  |  [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.4 O EC2 não utilizado deve ser removido EIPs   |  [[EC2.12] O Amazon EC2 não utilizado deve ser removido EIPs](ec2-controls.md#ec2-12)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.5Os grupo de segurança não devem permitir de 0.0.0.0/0 na porta 22  |  [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13)  | 
|  PCI DSS v3.2.1  |  O registro de fluxo de VPC PCI.EC2.6 deve ser ativado em todos VPCs  |  [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)  | 
|  PCI DSS v3.2.1  |  FOTO. ELBv2.1 O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS  |  [[ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS](elb-controls.md#elb-1)  | 
|  PCI DSS v3.2.1  |  PCI.ES.1 Os domínios do Elasticsearch devem estar em uma VPC  |  [[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2)  | 
|  PCI DSS v3.2.1  |  PCI.ES.2 Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada  |  [[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.](es-controls.md#es-1)  | 
|  PCI DSS v3.2.1  |  FOTO. GuardDuty.1 GuardDuty deve ser ativado  |  [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.1 A chave de acesso do usuário raiz do IAM não deve existir  |  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.2 Os usuários do IAM não devem ter políticas do IAM anexadas  |  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.3 As políticas do IAM não devem permitir privilégios administrativos completos "\$1"  |  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.4 A MFA de hardware deve estar habilitada para o usuário raiz  |  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.5 A MFA virtual deve estar habilitada para o usuário raiz  |  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.6 A MFA deve estar habilitada para todos os usuários do IAM  |  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.7 As credenciais de usuário do IAM devem ser desativadas se não forem usadas dentro de um número predefinido de dias  |  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.8 Políticas de senha para usuários do IAM que devem ter configurações fortes  |  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10)  | 
|  PCI DSS v3.2.1  |  PCI.KMS.1 A alternância da chave mestra do cliente (CMK) deve estar habilitada  |  [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)  | 
|  PCI DSS v3.2.1  |  PCI.lambda.1 As funções do Lambda devem proibir o acesso público  |  [[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1)  | 
|  PCI DSS v3.2.1  |  PCI.Lambda.2 As funções do Lambda devem estar em uma VPC  |  [[Lambda.3] As funções do Lambda devem estar em uma VPC](lambda-controls.md#lambda-3)  | 
|  PCI DSS v3.2.1  |  Os domínios PCI.OpenSearch.1 OpenSearch devem estar em uma VPC  |  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2)  | 
|  PCI DSS v3.2.1  |  PCI.Opensearch.2 Os snapshots do EBS não devem ser restauráveis publicamente  |  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1)  | 
|  PCI DSS v3.2.1  |  PCI.RDS.1 Os snapshots do RDS devem ser privados  |  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1)  | 
|  PCI DSS v3.2.1  |  PCI.RDS.2 As instâncias de banco de dados do RDS devem proibir o acesso público  |  [[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2)  | 
|  PCI DSS v3.2.1  |  PCI.Redshift.1 Os clusters do Amazon Redshift devem proibir o acesso público  |  [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1)  | 
|  PCI DSS v3.2.1  |  PCI.S3.1 Os buckets do S3 devem proibir o acesso público à gravação  |  [[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação](s3-controls.md#s3-3)  | 
|  PCI DSS v3.2.1  |  PCI.S3.2 Os buckets do S3 devem proibir o acesso público à leitura  |  [[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura](s3-controls.md#s3-2)  | 
|  PCI DSS v3.2.1  |  PCI.S3.3 Os buckets do S3 devem ter a replicação entre regiões ativada  |  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7)  | 
|  PCI DSS v3.2.1  |  PCI.S3.5 Os buckets do S3 devem exigir solicitações para usar o Secure Socket Layer  |  [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)  | 
|  PCI DSS v3.2.1  |  PCI.S3.6 A configuração do S3 Block Public Access deve estar habilitada  |  [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)  | 
|  PCI DSS v3.2.1  |  FOTO. SageMaker.1 As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet  |  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1)  | 
|  PCI DSS v3.2.1  |  PCI.SSM.1 As instâncias do gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT após a instalação do patch  |  [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2)  | 
|  PCI DSS v3.2.1  |  PCI.SSM.2 As instâncias de EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL  |  [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3)  | 
|  PCI DSS v3.2.1  |  As instâncias do EC2 PCI.SSM.3 devem ser gerenciadas por AWS Systems Manager  |  [[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager](ssm-controls.md#ssm-1)  | 

## Atualização de fluxos de trabalho para consolidação
<a name="securityhub-findings-format-changes-prepare"></a>

Se os seus fluxos de trabalho não dependem do formato específico de nenhum campo nas descobertas de controles, nenhuma ação será necessária.

Se seus fluxos de trabalho dependerem do formato específico de um ou mais campos nas descobertas de controles, como observado nas tabelas anteriores, será necessário atualizar seus fluxos de trabalho. Por exemplo, se você criou uma EventBridge regra da Amazon que acionou uma ação para um ID de controle específico, como invocar uma AWS Lambda função se o ID de controle for igual ao CIS 2.7, atualize a regra para usar CloudTrail .2, que é o valor do campo desse controle. `Compliance.SecurityControlId`

Se você criou [insights personalizados](securityhub-custom-insights.md) que usem qualquer um dos campos ou valores que foram alterados, atualize esses insights para usar os novos campos ou valores.

# Atributos de nível superior do ASFT obrigatórios
<a name="asff-required-attributes"></a>

Os seguintes atributos de nível superior no AWS Security Finding Format (ASFF) são necessários para todas as descobertas no Security Hub CSPM. Para obter mais informações sobre esses atributos, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html) na *Referência de API do AWS Security Hub*.

## AwsAccountId
<a name="AwsAccountId"></a>

O Conta da AWS ID ao qual a descoberta se aplica.

**Exemplo**

```
"AwsAccountId": "111111111111"
```

## CreatedAt
<a name="CreatedAt"></a>

Indica quando o possível problema ou evento de segurança detectado por uma descoberta foi criado.

**Exemplo**

```
"CreatedAt": "2017-03-22T13:22:13.933Z"
```

## Description
<a name="Description"></a>

A descrição de uma descoberta. Esse campo pode ser um texto padronizado não específico ou detalhes específicos da instância da descoberta.

Para as descobertas de controle geradas pelo CSPM do Security Hub, esse campo fornece uma descrição do controle.

Esse campo não faz referência a um padrão se você ativar as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).

**Exemplo**

```
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
```

## GeneratorId
<a name="GeneratorId"></a>

O identificador do componente específico da solução (uma unidade discreta de lógica) que gerou uma descoberta.

Para as descobertas de controle que o CSPM do Security Hub gera, esse campo não faz referência a um padrão se você ativar as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).

**Exemplo**

```
"GeneratorId": "security-control/Config.1"
```

## Id
<a name="Id"></a>

O identificador específico do produto para uma descoberta. Para descobertas de controle geradas pelo CSPM do Security Hub, esse campo fornece o nome do recurso da Amazon (ARN) da descoberta.

Esse campo não faz referência a um padrão se você ativar as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).

**Exemplo**

```
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"
```

## ProductArn
<a name="ProductArn"></a>

O nome do recurso da Amazon (ARN) gerado pelo CSPM do Security Hub que identifica exclusivamente um produto de descobertas de terceiros depois que o produto é registrado no CSPM do Security Hub.

O formato desse campo é `arn:partition:securityhub:region:account-id:product/company-id/product-id`.
+ Para Serviços da AWS que sejam integrados ao Security Hub CSPM, o `company-id` deve ser "`aws`“e o `product-id` deve ser o nome do serviço AWS público. Como AWS os produtos e serviços não estão associados a uma conta, a `account-id` seção do ARN está vazia. Serviços da AWS que ainda não estão integrados ao CSPM do Security Hub são considerados produtos de terceiros.
+ Para produtos públicos, o `company-id` e o `product-id` devem ser os valores de ID especificados no momento do registro.
+ Para os produtos privados, o `company-id` deve ser o ID da conta. O `product-id` deve ser a palavra reservada "default" ou o ID que foi especificado no momento do registro.

**Exemplo**

```
// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
```

## Recursos
<a name="Resources"></a>

A `Resources` matriz de objetos fornece um conjunto de tipos de dados de recursos que descrevem os AWS recursos aos quais a descoberta se refere. Para obter detalhes sobre os campos que um objeto `Resources` pode conter, incluindo quais campos são obrigatórios, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html) na *Referência de API do AWS Security Hub*. Para obter exemplos de `Resources` objetos específicos Serviços da AWS, consulte[Objeto Resources do ASFF](asff-resources.md).

**Exemplo**

```
"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]
```

## SchemaVersion
<a name="SchemaVersion"></a>

A versão do esquema para a qual uma descoberta está formatada. O valor desse campo deve ser uma das versões publicadas oficialmente identificadas pela AWS. Na versão atual, a versão do esquema AWS Security Finding Format é`2018-10-08`.

**Exemplo**

```
"SchemaVersion": "2018-10-08"
```

## Gravidade
<a name="Severity"></a>

Define a importância de uma descoberta. Para obter detalhes sobre esse objeto, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html) na *Referência da API AWS Security Hub *.

`Severity` é ao mesmo tempo um objeto de nível superior em uma descoberta e está aninhado sob o objeto `FindingProviderFields`.

O valor do objeto `Severity` de nível superior para uma descoberta deve ser atualizado somente por meio da API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

Para fornecer informações de gravidade, os provedores de descobertas devem atualizar o objeto `Severity` em `FindingProviderFields` quando fizerem uma solicitação de API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html).
 Se uma solicitação de `BatchImportFindings` para uma nova descoberta fornecer apenas `Label` ou apenas `Normalized`, o CSPM do Security Hub preencherá automaticamente o valor do outro campo. Os campos `Product` e `Original` também podem estar preenchidos.

Se o objeto de nível superior `Finding.Severity` estiver presente, mas `Finding.FindingProviderFields` não estiver presente, o CSPM do Security Hub criará o objeto `FindingProviderFields.Severity` e copiará para ele o `Finding.Severity object` todo. Isso garante que os detalhes originais fornecidos pelo provedor sejam mantidos na estrutura de `FindingProviderFields.Severity`, mesmo que o objeto de nível superior `Severity` seja sobrescrito. 

A gravidade da descoberta não considera a criticidade dos ativos envolvidos ou do recurso subjacente. A criticidade é definida como o nível de importância dos recursos associados à descoberta. Por exemplo, um recurso associado a um aplicativo de missão crítica tem maior criticidade do que um recurso associado a testes de não produção. Para capturar informações sobre criticidade do recurso, use o campo `Criticality`.

Recomendamos usar a seguinte orientação ao traduzir os escores de gravidade nativos dos resultados para o valor de `Severity.Label` na ASFF.
+ `INFORMATIONAL`: essa categoria pode incluir uma descoberta para uma verificação `PASSED`, `WARNING` ou `NOT AVAILABLE` ou uma identificação de dados sensíveis.
+ `LOW`: descobertas que podem resultar em compromissos futuros. Por exemplo, essa categoria pode incluir vulnerabilidades, pontos fracos da configuração e senhas expostas.
+ `MEDIUM`: as descobertas que indicam um comprometimento ativo, mas nenhuma indicação de que um adversário tenha concluído seus objetivos. Por exemplo, essa categoria pode incluir atividade de malware, atividade de hacking e detecção de comportamento incomum.
+ `HIGH` ou `CRITICAL`: descobertas que indicam que um adversário concluiu seus objetivos, como perda ou comprometimento ativo de dados ou uma negação de serviço.

**Exemplo**

```
"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}
```

## Título
<a name="Title"></a>

O título de uma descoberta. Esse campo pode conter texto padronizado não específico ou detalhes específicos dessa instância da descoberta.

Para descobertas de controle, esse campo fornece o título do controle. Esse campo não faz referência a um padrão se você ativar as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).

**Exemplo**

```
"Title": "AWS Config should be enabled"
```

## Tipos
<a name="Types"></a>

Um ou mais tipos de descobertas no formato de `namespace/category/classifier` que classificam uma descoberta. Esse campo não faz referência a um padrão se você ativar as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).

`Types` deve ser atualizado somente por meio da API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

Os provedores de descobertas que desejam fornecer um valor para `Types` devem usar o atributo `Types` sob [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html).

Na lista a seguir, os marcadores de nível superior são namespaces, os marcadores de segundo nível são categorias e os marcadores de terceiro nível são classificadores. Recomendamos que os provedores de descobertas usem namespaces definidos para ajudar a classificar e agrupar as descobertas. As categorias e os classificadores definidos também podem ser usados, mas não são obrigatórios. Somente o namespace Verificações de software e configuração tem classificadores definidos.

Você pode definir um caminho parcial paranamespace/category/classifier. Por exemplo, todos os tipos de descoberta a seguir são válidos:
+ TTPs
+ TTPs/Evasão de defesa
+ TTPs/Defense Evasion/CloudTrailStopped

As categorias de táticas, técnicas e procedimentos (TTPs) na lista a seguir se alinham ao [MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/) MatrixTM. O spacename de Comportamentos incomuns reflete o comportamento incomum geral, como anomalias estatísticas gerais, e não está alinhado a um TTP específico. No entanto, você pode classificar uma descoberta com comportamentos incomuns e tipos de TTPs descoberta.

**Lista de namespaces, categorias e classificadores:**
+ Verificações de software e configuração
  + Vulnerabilidades
    + CVE
  + AWS Melhores práticas de segurança
    + Acessibilidade de rede
    + Análise de comportamento do tempo de execução
  + Padrões regulatórios e do setor
    + AWS Melhores práticas básicas de segurança
    + Referências do CIS Host Hardening
    + Referência do CIS AWS Foundations
    + PCI-DSS
    + Controles da Cloud Security Alliance
    + Controles ISO 90001
    + Controles ISO 27001
    + Controles ISO 27017
    + Controles ISO 27018
    + SOC 1
    + SOC 2
    + Controles HIPAA (EUA)
    + Controles NIST 800-53 (EUA)
    + Controles da CSF do NIST (EUA)
    + Controles IRAP (Austrália)
    + Controles K-ISMS (Coreia)
    + Controles MTCS (Singapura)
    + Controles FISC (Japão)
    + Controles da Lei Meu Número (Japão)
    + Controles ENS (Espanha)
    + Controles Cyber Essentials Plus (Reino Unido)
    + Controles G-Cloud (Reino Unido)
    + Controles C5 (Alemanha)
    + Controles IT-Grundschutz (Alemanha)
    + Controles GDPR (Europa)
    + Controles TISAX (Europa)
  + Gerenciamento de patches
+ TTPs
  + Acesso inicial
  + Execução
  + Persistência
  + Escalonamento de privilégios
  + Evasão de defesa
  + Acesso credencial
  + Descoberta
  + Movimento lateral
  + Coleta
  + Comando e controle
+ Efeitos
  + Exposição de dados
  + Exfiltração de dados 
  + Destruição de dados 
  + Negação de serviço 
  + Consumo de recursos
+ Comportamentos incomuns
  + Aplicação
  + Fluxo de rede
  + IP address (endereço de IP)
  + Usuário
  + VM
  + Contêiner
  + Sem servidor
  + Processo
  + Banco de dados
  + Dados 
+ Identificação de dados confidenciais
  + PII
  + Senhas
  + Legal
  + Financeiro
  + Segurança
  + Negócios

**Exemplo**

```
"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
]
```

## UpdatedAt
<a name="UpdatedAt"></a>

Indica quando o provedor de descoberta atualizou o registro de descoberta pela última vez.

Esse timestamp reflete a hora em que o registro de descoberta foi atualizado pela última vez ou a mais recente. Consequentemente, ele pode ser diferente do timestamp `LastObservedAt`, que reflete quando o evento ou vulnerabilidade foi observado pela última vez ou foi observado mais recentemente.

Ao atualizar o registro de descoberta, é necessário atualizar esse timestamp para o timestamp atual. Após a criação de um registro de descoberta, os timestamps `CreatedAt` e `UpdatedAt` devem ser o mesmo. Após uma atualização do registro de localização, o valor desse campo deve ser mais recente do que todos os valores anteriores que ele continha.

Observe que `UpdatedAt` não pode ser atualizado usando a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) da API. Você só pode atualizá-lo usando a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).

**Exemplo**

```
"UpdatedAt": "2017-04-22T13:22:13.933Z"
```

# Atributos de nível superior do ASFF opcionais
<a name="asff-top-level-attributes"></a>

Os seguintes atributos de nível superior no AWS Security Finding Format (ASFF) são opcionais para descobertas no Security Hub CSPM. Para obter mais informações sobre esses atributos, consulte [AwsSecurityFinding](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html) na *Referência de API do AWS Security Hub*.

## Ação
<a name="asff-action"></a>

O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html) fornece detalhes sobre uma ação que afeta ou que foi executada em um recurso.

**Exemplo**

```
"Action": {
    "ActionType": "PORT_PROBE",
    "PortProbeAction": {
        "PortProbeDetails": [
            {
                "LocalPortDetails": {
                    "Port": 80,
                    "PortName": "HTTP"
                  },
                "LocalIpDetails": {
                     "IpAddressV4": "192.0.2.0"
                 },
                "RemoteIpDetails": {
                    "Country": {
                        "CountryName": "Example Country"
                    },
                    "City": {
                        "CityName": "Example City"
                    },
                   "GeoLocation": {
                       "Lon": 0,
                       "Lat": 0
                   },
                   "Organization": {
                       "AsnOrg": "ExampleASO",
                       "Org": "ExampleOrg",
                       "Isp": "ExampleISP",
                       "Asn": 64496
                   }
                }
            }
        ],
        "Blocked": false
    }
}
```

## AwsAccountName
<a name="asff-awsaccountname"></a>

O Conta da AWS nome ao qual a descoberta se aplica.

**Exemplo**

```
"AwsAccountName": "jane-doe-testaccount"
```

## CompanyName
<a name="asff-companyname"></a>

O nome da empresa do produto que gerou a descoberta. Para descobertas baseadas em controle, a empresa é AWS.

O CSPM do Security Hub preenche esse atributo automaticamente para cada descoberta. Você não pode atualizá-lo usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) ou [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). A exceção a isso é quando você utiliza uma integração personalizada. Consulte [Integração do CSPM do Security Hub com produtos personalizados](securityhub-custom-providers.md).

Ao usar o console do CSPM do Security Hub para filtrar descobertas pelo nome da empresa, você usa esse atributo. Ao usar o console do CSPM do Security Hub para filtrar descobertas pelo nome da empresa, você usa o atributo `aws/securityhub/CompanyName` em `ProductFields`. O CSPM do Security Hub não sincroniza esses dois atributos.

**Exemplo**

```
"CompanyName": "AWS"
```

## Compliance
<a name="asff-compliance"></a>

O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html) normalmente fornece detalhes sobre uma descoberta de controle, como padrões aplicáveis e o status da verificação de controle.

**Exemplo**

```
"Compliance": {
    "AssociatedStandards": [
        {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
        {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"},
        {"StandardsId": "standards/nist-800-53/v/5.0.0"}
    ],
    "RelatedRequirements": [
        "NIST.800-53.r5 AC-4",
        "NIST.800-53.r5 AC-4(21)",
        "NIST.800-53.r5 SC-7",
        "NIST.800-53.r5 SC-7(11)",
        "NIST.800-53.r5 SC-7(16)",
        "NIST.800-53.r5 SC-7(21)",
        "NIST.800-53.r5 SC-7(4)",
        "NIST.800-53.r5 SC-7(5)"
    ],
    "SecurityControlId": "EC2.18",
    "SecurityControlParameters":[
        {
            "Name": "authorizedTcpPorts",
            "Value": ["80", "443"]
        },
        {
            "Name": "authorizedUdpPorts",
            "Value": ["427"]
        }
    ],
    "Status": "NOT_AVAILABLE",
    "StatusReasons": [
        {
            "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE",
            "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub CSPM a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation."
        }
    ]
}
```

## Confiança
<a name="asff-confidence"></a>

A probabilidade de que uma descoberta identifique com precisão o comportamento ou o problema que se pretendia identificar.

`Confidence` só deve ser atualizado usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

Os provedores de descobertas que desejam fornecer um valor para `Confidence` devem usar o atributo `Confidence` sob `FindingProviderFields`. Consulte [Atualizar descobertas com FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).

`Confidence` é pontuado em uma base de 0 a 100 usando uma escala de proporção. 0 significa 0% de confiança e 100 significa 100% de confiança. Por exemplo, uma detecção de exfiltração de dados baseada em um desvio estatístico do tráfego de rede tem baixa confiança porque uma exfiltração real não foi verificada.

**Exemplo**

```
"Confidence": 42
```

## Criticidade
<a name="asff-criticality"></a>

O nível de importância atribuído aos recursos associados a uma descoberta.

`Criticality` só deve ser atualizado chamando a operação da API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Não atualize este objeto com [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).

Os provedores de descobertas que desejam fornecer um valor para `Criticality` devem usar o atributo `Criticality` sob `FindingProviderFields`. Consulte [Atualizar descobertas com FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).

`Criticality` é pontuado em uma base de 0 a 100, usando uma escala de proporção que suporta somente números inteiros completos. Uma pontuação de 0 significa que os recursos subjacentes não têm criticidade e uma pontuação de 100 é reservada para os recursos mais críticos.

Para cada recurso, considere o seguinte ao atribuir `Criticality`:
+ O recurso afetado contém dados confidenciais (por exemplo, um bucket do S3 com PII)? 
+ O recurso afetado permite que um adversário aprofunde o acesso ou estenda os recursos dele para realizar outras atividades maliciosas (por exemplo, uma conta sysadmin comprometida)?
+ O recurso é um ativo crítico para os negócios (por exemplo, um sistema comercial importante que, se comprometido, poderia ter um impacto significativo na receita)?

É possível usar as seguintes diretrizes:
+ Um recurso que alimenta sistemas de missão crítica ou contém dados altamente confidenciais pode ser classificado na faixa de 75 a 100.
+ Um recurso que alimenta sistemas importantes (mas não críticos) ou que contém dados moderadamente importantes pode ser pontuado na faixa de 25 a 74.
+ Um recurso que alimenta sistemas sem importância ou contém dados não confidenciais deve ser pontuado na faixa de 0 a 24.

**Exemplo**

```
"Criticality": 99
```

## Detecção
<a name="asff-detection"></a>

O `Detection` objeto fornece detalhes sobre uma sequência de ataque encontrada no Amazon GuardDuty Extended Threat Detection. GuardDuty gera uma sequência de ataque descobrindo quando vários eventos se alinham a uma atividade potencialmente suspeita. Para receber as descobertas da sequência de GuardDuty ataque no CSPM do AWS Security Hub, você deve ter GuardDuty habilitado em sua conta. Para obter mais informações, consulte [Amazon GuardDuty Extended Threat Detection](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-extended-threat-detection.html) no *Guia GuardDuty do usuário da Amazon*.

**Exemplo**

```
"Detection": {
    "Sequence": {
    	"Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010",
    	"Actors": [{
    		"Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891",
    		"Session": {
    			"Uid": "1234567891",
    			"MfAStatus": "DISABLED",
    			"CreatedTime": "1716916944000",
    			"Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
    		},
    		"User": {
    			"CredentialUid": "ASIAIOSFODNN7EXAMPLE",
    			"Name": "ec2_instance_role_production",
    			"Type": "AssumedRole",
    			"Uid": "AROA987654321EXAMPLE:i-b188560f",
    			"Account": {
    				"Uid": "AccountId",
    				"Name": "AccountName"
    			}
    		}
    	}],
    	"Endpoints": [{
    		"Id": "EndpointId",
    		"Ip": "203.0.113.1",
    		"Domain": "example.com",
    		"Port": 4040,
    		"Location": {
    			"City": "New York",
    			"Country": "US",
    			"Lat": 40.7123,
    			"Lon": -74.0068
    		},
    		"AutonomousSystem": {
    			"Name": "AnyCompany",
    			"Number": 64496
    		},
    		"Connection": {
    			"Direction": "INBOUND"
    		}
    	}],
    	"Signals": [{
    		"Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7",
    		"Title": "Someone ran a penetration test tool on your account.",
    		"ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"],
    		"Count": 19,
    		"FirstSeenAt": 1716916943000,
    		"SignalIndicators": [
    			{
    				"Key": "ATTACK_TACTIC",
    				"Title": "Attack Tactic",
    				"Values": [
    					"Impact"
    				]
    			},
    			{
    				"Key": "HIGH_RISK_API",
    				"Title": "High Risk Api",
    				"Values": [
    					"s3:DeleteObject"
    				]
    			},
    			{
    				"Key": "ATTACK_TECHNIQUE",
    				"Title": "Attack Technique",
    				"Values": [
    					"Data Destruction"
    				]
    			},
    		],
    		"LastSeenAt": 1716916944000,
    		"Name": "Test:IAMUser/KaliLinux",
    		"ResourceIds": [
    			"arn:aws:s3:::amzn-s3-demo-destination-bucket"
    		],
    		"Type": "FINDING"
    	}],
    	"SequenceIndicators": [
    		{
    			"Key": "ATTACK_TACTIC",
    			"Title": "Attack Tactic",
    			"Values": [
    				"Discovery",
    				"Exfiltration",
    				"Impact"
    			]
    		},
    		{
    			"Key": "HIGH_RISK_API",
    			"Title": "High Risk Api",
    			"Values": [
    				"s3:DeleteObject",
    				"s3:GetObject",
    				"s3:ListBuckets"
    				"s3:ListObjects"
    			]
    		},
    		{
    			"Key": "ATTACK_TECHNIQUE",
    			"Title": "Attack Technique",
    			"Values": [
    				"Cloud Service Discovery",
    				"Data Destruction"
    			]
    		}
    	]
    }
}
```

## FindingProviderFields
<a name="asff-findingproviderfields"></a>

`FindingProviderFields` inclui os seguintes atributos:
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

Os campos anteriores estão aninhados sob o objeto `FindingProviderFields`, mas têm análogos com o mesmo nome dos campos de nível superior do ASFF. Quando uma nova descoberta é enviada ao CSPM do Security Hub por um provedor de descobertas, o CSPM do Security Hub preenche o objeto `FindingProviderFields` automaticamente se ele estiver vazio, com base nos campos de nível superior correspondentes.

Os provedores de descobertas podem atualizar o valor do campo `FindingProviderFields` usando a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) da API do CSPM do Security Hub. Os provedores de descobertas não podem atualizar esse objeto com [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

Para obter detalhes sobre como o CSPM do Security Hub lida com atualizações de `BatchImportFindings` a `FindingProviderFields` para os atributos de nível superior correspondentes, consulte [Atualizar descobertas com FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).

Os clientes podem atualizar os campos de nível superior usando a operação `BatchUpdateFindings`. Os clientes não podem atualizar `FindingProviderFields`.

**Exemplo**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

## FirstObservedAt
<a name="asff-firstobservedat"></a>

Indica quando o possível problema ou evento de segurança detectado por uma descoberta foi observado pela primeira vez.

Esse timestamp reflete quando o evento ou a vulnerabilidade foi observada pela primeira vez. Consequentemente, ele pode ser diferente do timestamp `CreatedAt`, que reflete quando esse registro de descoberta foi criado.

Para as descobertas de controle que o CSPM do Security Hub gera e atualiza, esse timestamp também pode indicar quando o status de conformidade de um recurso foi alterado mais recentemente. Para outros tipos de descobertas, esse timestamp deve ser imutável entre as atualizações do registro de descoberta, mas pode ser atualizado se um timestamp mais preciso for determinado.

**Exemplo**

```
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
```

## LastObservedAt
<a name="asff-lastobservedat"></a>

Indica quando o possível problema ou evento de segurança detectado por uma descoberta foi observado mais recentemente pelo produto de descobertas de segurança.

Esse timestamp especifica quando o evento ou a vulnerabilidade foi observado pela última vez ou mais recentemente. Consequentemente, ele pode ser diferente do timestamp `UpdatedAt`, que reflete quando esse registro de descoberta foi atualizado pela última vez ou mais recentemente. 

É possível fornecer esse timestamp, mas isso não é obrigatório na primeira observação. Se você preencher esse campo na primeira observação, o timestamp deverá ser igual ao timestamp `FirstObservedAt`. É necessário atualizar esse campo para refletir o último ou o mais recente timestamp observado sempre que uma descoberta for observada.

**Exemplo**

```
"LastObservedAt": "2017-03-23T13:22:13.933Z"
```

## Malware
<a name="asff-malware"></a>

O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html) fornece uma lista de malwares relacionado a uma descoberta.

**Exemplo**

```
"Malware": [
    {
        "Name": "Stringler",
        "Type": "COIN_MINER",
        "Path": "/usr/sbin/stringler",
        "State": "OBSERVED"
    }
]
```

## Network (retirado)
<a name="asff-network"></a>

O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html) oferece informações relacionadas à rede sobre uma descoberta.

Esse objeto é retirado. Para fornecer esses dados, você pode mapear os dados para um recurso em `Action` ou usar o objeto `Resources`.

**Exemplo**

```
"Network": {
    "Direction": "IN",
    "OpenPortRange": {
        "Begin": 443,
        "End": 443
    },
    "Protocol": "TCP",
    "SourceIpV4": "1.2.3.4",
    "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "SourcePort": "42",
    "SourceDomain": "example1.com",
    "SourceMac": "00:0d:83:b1:c0:8e",
    "DestinationIpV4": "2.3.4.5",
    "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "DestinationPort": "80",
    "DestinationDomain": "example2.com"
}
```

## NetworkPath
<a name="asff-networkpath"></a>

O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html) fornece informações sobre um caminho de rede relacionado a uma descoberta. Cada entrada em `NetworkPath` representa um componente do caminho.

**Exemplo**

```
"NetworkPath" : [
    {
        "ComponentId": "abc-01a234bc56d8901ee",
        "ComponentType": "AWS::EC2::InternetGateway",
        "Egress": {
            "Destination": {
                "Address": [ "192.0.2.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": ["203.0.113.0/24"]
            }
        },
        "Ingress": {
            "Destination": {
                "Address": [ "198.51.100.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                 ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": [ "203.0.113.0/24" ]
            }
        }
     }
]
```

## Observação
<a name="asff-note"></a>

O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html) especifica uma nota definida pelo usuário que você pode adicionar a uma descoberta.

Um provedor de descoberta pode fornecer uma nota inicial para uma descoberta, mas não pode adicionar notas depois disso. Uma nota só pode ser atualizada usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

**Exemplo**

```
"Note": {
    "Text": "Don't forget to check under the mat.",
    "UpdatedBy": "jsmith",
    "UpdatedAt": "2018-08-31T00:15:09Z"
}
```

## PatchSummary
<a name="asff-patchsummary"></a>

O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html) fornece um resumo do status de conformidade do patch de uma instância em relação a um padrão de conformidade selecionado.

**Exemplo**

```
"PatchSummary" : {
    "FailedCount" : 0,
    "Id" : "pb-123456789098",
    "InstalledCount" : 100,
    "InstalledOtherCount" : 1023,
    "InstalledPendingReboot" : 0,
    "InstalledRejectedCount" : 0,
    "MissingCount" : 100,
    "Operation" : "Install",
    "OperationEndTime" : "2018-09-27T23:39:31Z",
    "OperationStartTime" : "2018-09-27T23:37:31Z",
    "RebootOption" : "RebootIfNeeded"
}
```

## Processo
<a name="asff-process"></a>

O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html) fornece detalhes relacionados ao processo sobre a descoberta.

Exemplo:

```
"Process": {
    "LaunchedAt": "2018-09-27T22:37:31Z",
    "Name": "syslogd",
    "ParentPid": 56789,
    "Path": "/usr/sbin/syslogd",
    "Pid": 12345,
    "TerminatedAt": "2018-09-27T23:37:31Z"
}
```

## ProcessedAt
<a name="asff-processedat"></a>

Indica quando o CSPM do Security Hub recebeu uma descoberta e começa a processá-la.

Isso difere de `CreatedAt` e `UpdatedAt`, que são timestamps obrigatórios relacionados à interação do provedor de descobertas com o problema de segurança e a descoberta. O timestamp `ProcessedAt` indica quando o CSPM do Security Hub começa a processar uma descoberta. Uma descoberta aparece na conta do usuário após a conclusão do processamento.

```
"ProcessedAt": "2023-03-23T13:22:13.933Z"
```

## ProductFields
<a name="asff-productfields"></a>

Um tipo de dados em que os produtos de descobertas de segurança podem incluir detalhes adicionais específicos da solução que não fazem parte do Formato de descoberta de AWS segurança definido.

Para descobertas geradas por controles do CSPM do Security Hub, `ProductFields` inclui informações sobre o controle. Consulte [Gerando e atualizando descobertas de controle](controls-findings-create-update.md).

Esse campo não deve conter dados redundantes e não deve conter dados que entrem em conflito com os campos do Formato AWS de descoberta de segurança.

O prefixo `aws/` "" representa um namespace reservado somente para AWS produtos e serviços e não deve ser enviado com descobertas de integrações de terceiros.

Embora não seja obrigatório, os produtos devem formatar nomes de campos como `company-id/product-id/field-name`, em que o `company-id` e o `product-id` correspondem aos produtos fornecidos no `ProductArn` da descoberta.

Os campos de referência a `Archival` são usados quando o CSPM do Security Hub arquiva uma descoberta existente. Por exemplo, o CSPM do Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão e quando você ativa ou desativa as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).

Esse campo também pode incluir informações sobre o padrão que inclui o controle que produziu a descoberta.

**Exemplo**

```
"ProductFields": {
    "API", "DeleteTrail",
    "ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.",
    "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE",
    "aws/inspector/AssessmentTargetName": "My prod env",
    "aws/inspector/AssessmentTemplateName": "My daily CVE assessment",
    "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures",
    "generico/secure-pro/Action.Type", "AWS_API_CALL",
    "generico/secure-pro/Count": "6",
    "Service_Name": "cloudtrail.amazonaws.com"
}
```

## ProductName
<a name="asff-productname"></a>

Oferece o nome do produto que gerou a descoberta. Para descobertas baseadas em controles, o nome do produto é CSPM do Security Hub.

O CSPM do Security Hub preenche esse atributo automaticamente para cada descoberta. Você não pode atualizá-lo usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) ou [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). A exceção a isso é quando você utiliza uma integração personalizada. Consulte [Integração do CSPM do Security Hub com produtos personalizados](securityhub-custom-providers.md).

Ao usar o console do CSPM do Security Hub para filtrar as descobertas pelo nome do produto, você usa esse atributo.

Ao usar o console do CSPM do Security Hub para filtrar as descobertas pelo nome do produto, você usa o atributo `aws/securityhub/ProductName` em `ProductFields`.

O CSPM do Security Hub não sincroniza esses dois atributos.

## RecordState
<a name="asff-recordstate"></a>

Fornece o registro de uma descoberta. 

Por padrão, quando inicialmente geradas por um serviço, as descobertas são consideradas como `ACTIVE`.

O estado `ARCHIVED` indica que uma descoberta deve ser ocultada da exibição. As descobertas arquivadas não são excluídas imediatamente. É possível pesquisar, revisar e gerar relatórios sobre elas. O CSPM do Security Hub arquivará automaticamente as descobertas baseadas em controle se o recurso associado for excluído, se o recurso não existir ou se o controle for desabilitado.

`RecordState` é destinado a provedores de descobertas e só pode ser atualizado por meio da operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html). Você não pode atualizá-lo usando a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

Para rastrear o status de sua investigação sobre uma descoberta, use [`Workflow`](#asff-workflow) em vez de `RecordState`.

Se o estado do registro mudar de `ARCHIVED` para `ACTIVE` e o status do fluxo de trabalho da descoberta for `NOTIFIED` ou `RESOLVED`, o CSPM do Security Hub alterará automaticamente o status do fluxo de trabalho para `NEW`.

**Exemplo**

```
"RecordState": "ACTIVE"
```

## Região
<a name="asff-region"></a>

Especifica a Região da AWS partir da qual a descoberta foi gerada.

O CSPM do Security Hub preenche esse atributo automaticamente para cada descoberta. Você não pode atualizá-lo usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) ou [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

**Exemplo**

```
"Region": "us-west-2"
```

## RelatedFindings
<a name="asff-relatedfindings"></a>

Fornece uma lista de descobertas relacionadas à descoberta atual.

`RelatedFindings` só deve ser atualizado com a operação da API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Você não deve atualizar esse objeto com [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).

Para solicitações [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html), os provedores de descobertas devem usar o objeto `RelatedFindings` sob [`FindingProviderFields`](#asff-findingproviderfields).

Para ver as descrições dos atributos `RelatedFindings`, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"RelatedFindings": [
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "123e4567-e89b-12d3-a456-426655440000" },
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "AcmeNerfHerder-111111111111-x189dx7824" }
]
```

## RiskAssessment
<a name="asff-riskassessment"></a>

**Exemplo**

```
"RiskAssessment": {
    "Posture": {
        "FindingTotal": 4,
        "Indicators": [
            {
                "Type": "Reachability",
                "Findings": [
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/1234567890abcdef0",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    },
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/abcdef01234567890",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    }
                ]
            },
            {
                "Type": "Vulnerability",
                "Findings": [
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345abcdef6789",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    },
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345ghijkl6789",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    }
                ]
            }
        ]
    }
}
```

## Correção
<a name="asff-remediation"></a>

O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html) fornece informações sobre etapas de correção recomendadas para lidar com a descoberta.

**Exemplo**

```
"Remediation": {
    "Recommendation": {
        "Text": "For instructions on how to fix this issue, see the AWS Security Hub CSPM documentation for EC2.2.",
        "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation"
    }
}
```

## Amostra
<a name="asff-sample"></a>

Especifica se a descoberta é uma descoberta de amostra.

```
"Sample": true
```

## SourceUrl
<a name="asff-sourceurl"></a>

O objeto `SourceUrl` fornece um URL que encaminha para uma página sobre a descoberta atual no produto de descoberta.

```
"SourceUrl": "http://sourceurl.com"
```

## ThreatIntelIndicators
<a name="asff-threatintelindicators"></a>

O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html) fornece detalhes sobre inteligência de ameaças relacionados a uma descoberta.

**Exemplo**

```
"ThreatIntelIndicators": [
  {
    "Category": "BACKDOOR",
    "LastObservedAt": "2018-09-27T23:37:31Z",
    "Source": "Threat Intel Weekly",
    "SourceUrl": "http://threatintelweekly.org/backdoors/8888",
    "Type": "IPV4_ADDRESS",
    "Value": "8.8.8.8",
  }
]
```

## Ameaças
<a name="asff-threats"></a>

O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html) fornece detalhes sobre a ameaça detectada por uma descoberta.

**Exemplo**

```
"Threats": [{
    "FilePaths": [{
        "FileName": "b.txt",
        "FilePath": "/tmp/b.txt",
        "Hash": "sha256",
        "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f"
    }],
    "ItemCount": 3,
    "Name": "Iot.linux.mirai.vwisi",
    "Severity": "HIGH"
}]
```

## UserDefinedFields
<a name="asff-userdefinedfields"></a>

Fornece uma lista de pares de string de nome e valor associados à descoberta. Esses são campos personalizados, definidos pelo usuário, que são adicionados a uma descoberta. Esses campos podem ser gerados automaticamente por meio de sua configuração específica.

Os provedores de localização não devem usar esse campo para dados gerados pelo produto. Em vez disso, os provedores de localização podem usar o `ProductFields` campo para dados que não são mapeados para nenhum campo padrão do Formato AWS de Busca de Segurança.

Esses campos só podem ser atualizados usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

**Exemplo**

```
"UserDefinedFields": {
    "reviewedByCio": "true",
    "comeBackToLater": "Check this again on Monday"
}
```

## VerificationState
<a name="asff-verificationstate"></a>

Fornece a veracidade de uma descoberta. Os produtos de descobertas podem fornecer um valor de `UNKNOWN` para esse campo. Um produto de descobertas deve fornecer um valor para esse campo se houver um analógico significativo no sistema do produto de descobertas. Normalmente, esse campo é preenchido por uma determinação ou ação do usuário depois de investigar uma descoberta.

Um provedor de descoberta pode fornecer um valor inicial para esse atributo, mas não pode atualizá-lo depois disso. Esse atributo só pode ser atualizado usando [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

```
"VerificationState": "Confirmed"
```

## Vulnerabilidades
<a name="asff-vulnerabilities"></a>

O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html) fornece uma lista de vulnerabilidades associadas a uma descoberta.

**Exemplo**

```
"Vulnerabilities" : [
    {
        "CodeVulnerabilities": [{
            "Cwes": [
                "CWE-798",
                "CWE-799"
            ],
            "FilePath": {
                "EndLine": 421,
                "FileName": "package-lock.json",
                "FilePath": "package-lock.json",
                "StartLine": 420
            },
                "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114"
        }],
        "Cvss": [
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
                "Version": "V3"
            },
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N",
                "Version": "V2"
            }
        ],
        "EpssScore": 0.015,
        "ExploitAvailable": "YES",
        "FixAvailable": "YES",
        "Id": "CVE-2020-12345",
        "LastKnownExploitAt": "2020-01-16T00:01:35Z",
        "ReferenceUrls":[
           "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418",
            "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563"
        ],
        "RelatedVulnerabilities": ["CVE-2020-12345"],
        "Vendor": {
            "Name": "Alas",
            "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html",
            "VendorCreatedAt":"2020-01-16T00:01:43Z",
            "VendorSeverity":"Medium",
            "VendorUpdatedAt":"2020-01-16T00:01:43Z"
        },
        "VulnerablePackages": [
            {
                "Architecture": "x86_64",
                "Epoch": "1",
                "FilePath": "/tmp",
                "FixedInVersion": "0.14.0",
                "Name": "openssl",
                "PackageManager": "OS",
                "Release": "16.amzn2.0.3",
                "Remediation": "Update aws-crt to 0.14.0",
                "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id",
                "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001",
                "Version": "1.0.2k"
            }
        ]
    }
]
```

## Fluxo de trabalho
<a name="asff-workflow"></a>

O objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html) fornece informações sobre o status da investigação de uma descoberta.

Esse campo é destinado aos clientes para uso com ferramentas de correção, orquestração e emissão de tíquetes. Não se destina a provedores de descoberta.

Você só pode atualizar o campo `Workflow` com [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Os clientes também podem atualizá-lo pelo console. Consulte [Definição do status do fluxo de trabalho das descobertas no CSPM do Security Hub](findings-workflow-status.md).

**Exemplo**

```
"Workflow": {
    "Status": "NEW"
}
```

## WorkflowState (Aposentado)
<a name="asff-workflowstate"></a>

Esse objeto foi retirado e substituído pelo campo `Status` do objeto`Workflow`.

Esse campo fornece o estado do fluxo de trabalho de uma descoberta. Os produtos de descobertas podem fornecer o valor de `NEW` para esse campo. Um produto de descobertas pode fornecer um valor para esse campo se houver um analógico significativo no sistema do produto de descobertas.

**Exemplo**

```
"WorkflowState": "NEW"
```

# Objeto Resources do ASFF
<a name="asff-resources"></a>

No Formato AWS de descoberta de segurança (ASFF), o `Resources` objeto fornece informações sobre os recursos envolvidos em uma descoberta. Ele contém uma matriz de até 32 objetos de recursos. Para determinar como os nomes dos recursos são formatados, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md). Para obter exemplos de cada objeto recurso, selecione um recurso na lista a seguir.

**Topics**
+ [Atributos de recursos no ASFF](asff-resources-attributes.md)
+ [Recursos da AwsAmazonMQ no ASFF](asff-resourcedetails-awsamazonmq.md)
+ [Recursos da AwsApiGateway no ASFF](asff-resourcedetails-awsapigateway.md)
+ [Recursos da AwsAppSync no ASFF](asff-resourcedetails-awsappsync.md)
+ [Recursos da AwsAthena no ASFF](asff-resourcedetails-awsathena.md)
+ [Recursos da AwsAutoScaling no ASFF](asff-resourcedetails-awsautoscaling.md)
+ [Recursos da AwsBackup no ASFF](asff-resourcedetails-awsbackup.md)
+ [Recursos da AwsCertificateManager no ASFF](asff-resourcedetails-awscertificatemanager.md)
+ [Recursos da AwsCloudFormation no ASFF](asff-resourcedetails-awscloudformation.md)
+ [Recursos da AwsCloudFront no ASFF](asff-resourcedetails-awscloudfront.md)
+ [Recursos da AwsCloudTrail no ASFF](asff-resourcedetails-awscloudtrail.md)
+ [Recursos da AwsCloudWatch no ASFF](asff-resourcedetails-awscloudwatch.md)
+ [Recursos da AwsCodeBuild no ASFF](asff-resourcedetails-awscodebuild.md)
+ [Recursos da AwsDms no ASFF](asff-resourcedetails-awsdms.md)
+ [Recursos da AwsDynamoDB no ASFF](asff-resourcedetails-awsdynamodb.md)
+ [Recursos da AwsEc2 no ASFF](asff-resourcedetails-awsec2.md)
+ [Recursos da AwsEcr no ASFF](asff-resourcedetails-awsecr.md)
+ [Recursos da AwsEcs no ASFF](asff-resourcedetails-awsecs.md)
+ [Recursos da AwsEfs no ASFF](asff-resourcedetails-awsefs.md)
+ [Recursos da AwsEks no ASFF](asff-resourcedetails-awseks.md)
+ [Recursos da AwsElasticBeanstalk no ASFF](asff-resourcedetails-awselasticbeanstalk.md)
+ [Recursos da AwsElasticSearch no ASFF](asff-resourcedetails-awselasticsearch.md)
+ [Recursos da AwsElb no ASFF](asff-resourcedetails-awselb.md)
+ [Recursos da AwsEventBridge no ASFF](asff-resourcedetails-awsevent.md)
+ [Recursos da AwsGuardDuty no ASFF](asff-resourcedetails-awsguardduty.md)
+ [Recursos da AwsIam no ASFF](asff-resourcedetails-awsiam.md)
+ [Recursos da AwsKinesis no ASFF](asff-resourcedetails-awskinesis.md)
+ [Recursos da AwsKms no ASFF](asff-resourcedetails-awskms.md)
+ [AwsLambda](asff-resourcedetails-awslambda.md)
+ [Recursos da AwsMsk no ASFF](asff-resourcedetails-awsmsk.md)
+ [Recursos da AwsNetworkFirewall no ASFF](asff-resourcedetails-awsnetworkfirewall.md)
+ [Recursos da AwsOpenSearchService no ASFF](asff-resourcedetails-awsopensearchservice.md)
+ [Recursos da AwsRds no ASFF](asff-resourcedetails-awsrds.md)
+ [Recursos da AwsRedshift no ASFF](asff-resourcedetails-awsredshift.md)
+ [Recursos da AwsRoute53 no ASFF](asff-resourcedetails-awsroute53.md)
+ [Recursos da AwsS3 no ASFF](asff-resourcedetails-awss3.md)
+ [Recursos da AwsSageMaker no ASFF](asff-resourcedetails-awssagemaker.md)
+ [Recursos da AwsSecretsManager no ASFF](asff-resourcedetails-awssecretsmanager.md)
+ [Recursos da AwsSns no ASFF](asff-resourcedetails-awssns.md)
+ [Recursos da AwsSqs no ASFF](asff-resourcedetails-awssqs.md)
+ [Recursos da AwsSsm no ASFF](asff-resourcedetails-awsssm.md)
+ [Recursos da AwsStepFunctions no ASFF](asff-resourcedetails-awsstepfunctions.md)
+ [Recursos da AwsWaf no ASFF](asff-resourcedetails-awswaf.md)
+ [Recursos da AwsXray no ASFF](asff-resourcedetails-awsxray.md)
+ [Objeto CodeRepository no ASFF](asff-resourcedetails-coderepository.md)
+ [Objeto Container no ASFF](asff-resourcedetails-container.md)
+ [Objeto Other no ASFF](asff-resourcedetails-other.md)

# Atributos de recursos no ASFF
<a name="asff-resources-attributes"></a>

Aqui estão as descrições e exemplos do `Resources` objeto no AWS Security Finding Format (ASFF). Para obter mais informações sobre esses campos, consulte [Recursos](asff-required-attributes.md#Resources).

## ApplicationArn
<a name="asff-resources-applicationarn"></a>

Identifica o nome do recurso da Amazon (ARN) da aplicação envolvida na descoberta.

**Exemplo**

```
"ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0"
```

## ApplicationName
<a name="asff-resources-applicationname"></a>

Identifica o nome da aplicação envolvida na descoberta.

**Exemplo**

```
"ApplicationName": "SampleApp"
```

## DataClassification
<a name="asff-resources-dataclassification"></a>

O campo [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html) fornece informações sobre dados confidenciais que foram detectados no recurso.

**Exemplo**

```
"DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2,
                 }
            ],
            "TotalCount": 2
        }
    }
}
```

## Detalhes
<a name="asff-resources-details"></a>

O campo [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html) fornece informações adicionais sobre um único recurso usando os objetos apropriados. Cada recurso deve ser fornecido em um objeto de recurso separado no objeto `Resources`.

Observe que, se o tamanho da descoberta exceder o máximo de 240 KB, o objeto `Details` será removido da descoberta. Para descobertas de controle que usam AWS Config regras, você pode visualizar os detalhes do recurso no AWS Config console.

O Security Hub CSPM fornece um conjunto de detalhes de recursos disponíveis para os tipos de recursos suportados. Esses detalhes correspondem aos valores do objeto `Type`. Use os tipos fornecidos sempre que possível.

Por exemplo, se o recurso for um bucket do S3, defina o recurso `Type` com `AwsS3Bucket` e forneça os detalhes do recurso no objeto [`AwsS3Bucket`](asff-resourcedetails-awss3.md#asff-resourcedetails-awss3bucket).

O objeto [`Other`](asff-resourcedetails-other.md) permite fornecer campos e valores personalizados. Use o objeto `Other` nos seguintes casos.
+ O tipo de recurso (o valor do recurso `Type`) não tem um objeto correspondente detalhado. Para fornecer detalhes para o recurso, use o objeto [`Other`](asff-resourcedetails-other.md).
+ O objeto do tipo de recurso não inclui todos os campos que você deseja preencher. Nesse caso, use o objeto de detalhes para o tipo de recurso para preencher os campos disponíveis. Use o objeto `Other` para preencher os campos que não estão no objeto específico do tipo.
+ O tipo de recurso não é um dos tipos fornecidos. Nesse caso, defina `Resource.Type` como `Other` e use o objeto `Other` para preencher os detalhes.

**Exemplo**

```
"Details": {
  "AwsEc2Instance": {
    "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
    "ImageId": "ami-79fd7eee",
    "IpV4Addresses": ["1.1.1.1"],
    "IpV6Addresses": ["2001:db8:1234:1a2b::123"],
    "KeyName": "testkey",
    "LaunchedAt": "2018-09-29T01:25:54Z",
    "MetadataOptions": {
      "HttpEndpoint": "enabled",
      "HttpProtocolIpv6": "enabled",
      "HttpPutResponseHopLimit": 1,
      "HttpTokens": "optional",
      "InstanceMetadataTags": "disabled"
    },
    "NetworkInterfaces": [
    {
      "NetworkInterfaceId": "eni-e5aa89a3"
    }
    ],
    "SubnetId": "PublicSubnet",
    "Type": "i3.xlarge",
    "VirtualizationType": "hvm",
    "VpcId": "TestVPCIpv6"
  },
  "AwsS3Bucket": {
    "OwnerId": "da4d66eac431652a4d44d490a00500bded52c97d235b7b4752f9f688566fe6de",
    "OwnerName": "acmes3bucketowner"
  },
  "Other": { "LightPen": "blinky", "SerialNo": "1234abcd"}  
}
```

## Id
<a name="asff-resources-id"></a>

O identificador para o tipo de recurso fornecido.

Para AWS recursos identificados pelo Amazon Resource Names (ARNs), esse é o ARN.

Para AWS recursos que faltam ARNs, esse é o identificador definido pelo AWS serviço que criou o recurso.

Para pessoas que não são AWS recursos, esse é um identificador exclusivo associado ao recurso.

**Exemplo**

```
"Id": "arn:aws:s3:::amzn-s3-demo-bucket"
```

## Partition
<a name="asff-resources-partition"></a>

A partição na qual o recurso está localizado. Uma partição é um grupo de Regiões da AWS. Cada uma Conta da AWS tem como escopo uma partição.

As seguintes partições são suportadas:
+ `aws` – Regiões da AWS
+ `aws-cn`: regiões da China
+ `aws-us-gov` – AWS GovCloud (US) Region

**Exemplo**

```
"Partition": "aws"
```

## Região
<a name="asff-resources-region"></a>

O código de Região da AWS onde esse recurso está localizado. Para obter uma lista dos códigos das regiões, consulte [Endpoints regionais](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints).

**Exemplo**

```
"Region": "us-west-2"
```

## ResourceRole
<a name="asff-resources-resourcerole"></a>

Identifica o perfil do recurso na descoberta. Um recurso é o alvo da atividade de descoberta ou o ator que realizou a atividade.

**Exemplo**

```
"ResourceRole": "target"
```

## Tags
<a name="asff-resources-tags"></a>

Esse campo fornece informações sobre a chave e o valor da tag para o recurso envolvido em uma descoberta. Você pode marcar [recursos que são compatíveis com](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html) a `GetResources` operação da API de AWS Resource Groups marcação. O Security Hub CSPM chama essa operação por meio da [função vinculada ao serviço](using-service-linked-roles.md) e recupera as tags de recursos se o `Resource.Id` campo AWS Security Finding Format (ASFF) for preenchido com o ARN do recurso. AWS Recursos inválidos IDs são ignorados. 

Você pode adicionar tags de recursos às descobertas que o Security Hub CSPM ingere, incluindo descobertas de produtos integrados Serviços da AWS e de terceiros.

Adicionar tags informa a você se existem tags que foram associadas a um recurso quando a descoberta foi processada. Inclua o atributo `Tags` apenas para recursos que tiverem uma tag associada. Se um recurso não tiver uma tag associada, não inclua um atributo `Tags` na descoberta.

A inclusão de tags de recursos nas descobertas elimina a necessidade de criar canais de enriquecimento de dados ou de enriquecer manualmente os metadados das descobertas de segurança. Também é possível usar tags para pesquisar ou filtrar descobertas e insights, e criar [regras de automação](automation-rules.md).

Para obter informações sobre as restrições que se aplicam às tags, consulte [Limites e requisitos de nomenclatura das tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).

Você só pode fornecer tags que existam em um AWS recurso nesse campo. Para fornecer dados que não estejam definidos no Formato de descoberta AWS de segurança, use o subcampo de `Other` detalhes.

**Exemplo**

```
"Tags": {
    "billingCode": "Lotus-1-2-3",
    "needsPatching": "true"
}
```

## Tipo
<a name="asff-resources-type"></a>

O tipo do recurso para o qual você está fornecendo detalhes.

Sempre que possível, use um dos tipos de recursos fornecidos, como `AwsEc2Instance` ou `AwsS3Bucket`.

Se o tipo de recurso não corresponder a nenhum dos tipos de recurso fornecidos, defina o recurso `Type` como `Other` e use o subcampo de detalhes `Other` para preencher os detalhes.

Os valores suportados estão listados em [Recursos](asff-resources.md).

**Exemplo**

```
"Type": "AwsS3Bucket"
```

# Recursos da AwsAmazonMQ no ASFF
<a name="asff-resourcedetails-awsamazonmq"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsAmazonMQ` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsAmazonMQBroker
<a name="asff-resourcedetails-awsamazonmqbroker"></a>

O `AwsAmazonMQBroker` fornece informações sobre o agente do Amazon MQ, que é um ambiente de agente de mensagens em execução no Amazon MQ.

O exemplo a seguir mostra o ASFF para o objeto `AwsAmazonMQBroker`. Para ver as descrições dos atributos `AwsAmazonMQBroker`, consulte [AwsAmazonMQBroker](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAmazonMQBrokerDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsAmazonMQBroker": {
    "AutoMinorVersionUpgrade": true,
    "BrokerArn": "arn:aws:mq:us-east-1:123456789012:broker:TestBroker:b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "BrokerId": "b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "BrokerName": "TestBroker",
    "Configuration": {
        "Id": "c-a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
        "Revision": 1
    },
    "DeploymentMode": "ACTIVE_STANDBY_MULTI_AZ",
    "EncryptionOptions": {
        "UseAwsOwnedKey": true
    },
    "EngineType": "ActiveMQ",
    "EngineVersion": "5.17.2",
    "HostInstanceType": "mq.t2.micro",
    "Logs": {
        "Audit": false,
        "AuditLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/audit",
        "General": false,
        "GeneralLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/general"
    },
    "MaintenanceWindowStartTime": {
        "DayOfWeek": "MONDAY",
        "TimeOfDay": "22:00",
        "TimeZone": "UTC"
    },
    "PubliclyAccessible": true,
    "SecurityGroups": [
        "sg-021345abcdef6789"
    ],
    "StorageType": "efs",
    "SubnetIds": [
        "subnet-1234567890abcdef0",
        "subnet-abcdef01234567890"
    ],
    "Users": [
        {
            "Username": "admin"
        }
    ]
}
```

# Recursos da AwsApiGateway no ASFF
<a name="asff-resourcedetails-awsapigateway"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsApiGateway` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsApiGatewayRestApi
<a name="asff-resourcedetails-awsapigatewayrestapi"></a>

O objeto `AwsApiGatewayRestApi` contém informações sobre uma API REST na versão 1 do Amazon API Gateway.

O exemplo a seguir é um exemplo de descoberta `AwsApiGatewayRestApi` no AWS Formato do Security Finding (ASFF). Para ver as descrições dos atributos `AwsApiGatewayRestApi`, consulte [AwsApiGatewayRestApiDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayRestApiDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
AwsApiGatewayRestApi: {
    "Id": "exampleapi",
    "Name": "Security Hub",
    "Description": "AWS Security Hub",
    "CreatedDate": "2018-11-18T10:20:05-08:00",
    "Version": "2018-10-26",
    "BinaryMediaTypes" : ["-'*~1*'"],
    "MinimumCompressionSize": 1024,
    "ApiKeySource": "AWS_ACCOUNT_ID",
    "EndpointConfiguration": {
        "Types": [
            "REGIONAL"
        ]
    }
}
```

## AwsApiGatewayStage
<a name="asff-resourcedetails-awsapigatewaystage"></a>

O objeto `AwsApiGatewayStage` oferece informações sobre um estágio de versão 1 do Amazon API Gateway.

O exemplo a seguir é um exemplo de descoberta `AwsApiGatewayStage` no AWS Formato do Security Finding (ASFF). Para ver as descrições dos atributos `AwsApiGatewayStage`, consulte [AwsApiGatewayStageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayStageDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsApiGatewayStage": {
    "DeploymentId": "n7hlmf",
    "ClientCertificateId": "a1b2c3", 
    "StageName": "Prod",
    "Description" : "Stage Description",
    "CacheClusterEnabled": false,
    "CacheClusterSize" : "1.6",
    "CacheClusterStatus": "NOT_AVAILABLE",
    "MethodSettings": [
        {
            "MetricsEnabled": true,
            "LoggingLevel": "INFO",
            "DataTraceEnabled": false,
            "ThrottlingBurstLimit": 100,
            "ThrottlingRateLimit": 5.0,
            "CachingEnabled": false,
            "CacheTtlInSeconds": 300,
            "CacheDataEncrypted": false,
            "RequireAuthorizationForCacheControl": true,
            "UnauthorizedCacheControlHeaderStrategy": "SUCCEED_WITH_RESPONSE_HEADER",
            "HttpMethod": "POST",
            "ResourcePath": "/echo"
        }
    ],
    "Variables": {"test": "value"},
    "DocumentationVersion": "2.0",
    "AccessLogSettings": {
        "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
        "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
    },
    "CanarySettings": {
        "PercentTraffic": 0.0,
        "DeploymentId": "ul73s8",
        "StageVariableOverrides" : [
            "String" : "String"
        ],
        "UseStageCache": false
    },
    "TracingEnabled": false,
    "CreatedDate": "2018-07-11T10:55:18-07:00",
    "LastUpdatedDate": "2020-08-26T11:51:04-07:00",
    "WebAclArn" : "arn:aws:waf-regional:us-west-2:111122223333:webacl/cb606bd8-5b0b-4f0b-830a-dd304e48a822"
}
```

## AwsApiGatewayAPI V2
<a name="asff-resourcedetails-awsapigatewayv2api"></a>

O objeto `AwsApiGatewayV2Api` contém informações sobre uma API na versão 2 do Amazon API Gateway.

O exemplo a seguir é um exemplo de descoberta `AwsApiGatewayV2Api` no AWS Formato do Security Finding (ASFF). Para ver as descrições dos `AwsApiGatewayV2Api` atributos, consulte [AwsApiGatewayV2 ApiDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2ApiDetails.html) na *Referência da AWS Security Hub API*.

**Exemplo**

```
"AwsApiGatewayV2Api": {
    "ApiEndpoint": "https://example.us-west-2.amazonaws.com",
    "ApiId": "a1b2c3d4",
    "ApiKeySelectionExpression": "$request.header.x-api-key",
    "CreatedDate": "2020-03-28T00:32:37Z",
   "Description": "ApiGatewayV2 Api",
   "Version": "string",
    "Name": "my-api",
    "ProtocolType": "HTTP",
    "RouteSelectionExpression": "$request.method $request.path",
   "CorsConfiguration": {
        "AllowOrigins": [ "*" ],
        "AllowCredentials": true,
        "ExposeHeaders": [ "string" ],
        "MaxAge": 3000,
        "AllowMethods": [
          "GET",
          "PUT",
          "POST",
          "DELETE",
          "HEAD"
        ],
        "AllowHeaders": [ "*" ]
    }
}
```

## AwsApiGatewayEstágio V2
<a name="asff-resourcedetails-awsapigatewayv2stage"></a>

`AwsApiGatewayV2Stage` contém informações sobre um estágio de versão 2 para o Amazon API Gateway.

O exemplo a seguir é um exemplo de descoberta `AwsApiGatewayV2Stage` no AWS Formato do Security Finding (ASFF). Para ver as descrições dos `AwsApiGatewayV2Stage` atributos, consulte [AwsApiGatewayV2 StageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2StageDetails.html) na *Referência da AWS Security Hub API*.

**Exemplo**

```
"AwsApiGatewayV2Stage": {
    "CreatedDate": "2020-04-08T00:36:05Z",
    "Description" : "ApiGatewayV2",
    "DefaultRouteSettings": {
        "DetailedMetricsEnabled": false,
        "LoggingLevel": "INFO",
        "DataTraceEnabled": true,
        "ThrottlingBurstLimit": 100,
        "ThrottlingRateLimit": 50
    },
    "DeploymentId": "x1zwyv",
    "LastUpdatedDate": "2020-04-08T00:36:13Z",
    "RouteSettings": {
        "DetailedMetricsEnabled": false,
        "LoggingLevel": "INFO",
        "DataTraceEnabled": true,
        "ThrottlingBurstLimit": 100,
        "ThrottlingRateLimit": 50
    },
    "StageName": "prod",
    "StageVariables": [
        "function": "my-prod-function"
    ],
    "AccessLogSettings": {
        "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
        "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
    },
    "AutoDeploy": false,
    "LastDeploymentStatusMessage": "Message",
    "ApiGatewayManaged": true,
}
```

# Recursos da AwsAppSync no ASFF
<a name="asff-resourcedetails-awsappsync"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsAppSync` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsAppSyncGraphQLApi
<a name="asff-resourcedetails-awsappsyncgraphqlapi"></a>

`AwsAppSyncGraphQLApi`fornece informações sobre uma API AWS AppSync GraphQL, que é uma construção de alto nível para seu aplicativo.

O exemplo a seguir mostra o ASFF para o objeto `AwsAppSyncGraphQLApi`. Para ver as descrições dos atributos `AwsAppSyncGraphQLApi`, consulte [AwsAppSyncGraphQLApi](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAppSyncGraphQLApiDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsAppSyncGraphQLApi": {
    "AdditionalAuthenticationProviders": [
    {
    	"AuthenticationType": "AWS_LAMBDA",
    	"LambdaAuthorizerConfig": {
    		"AuthorizerResultTtlInSeconds": 300,
    		"AuthorizerUri": "arn:aws:lambda:us-east-1:123456789012:function:mylambdafunc"
    	}
    },
    {
    	"AuthenticationType": "AWS_IAM"
    }
    ],
    "ApiId": "021345abcdef6789",
    "Arn": "arn:aws:appsync:eu-central-1:123456789012:apis/021345abcdef6789",
    "AuthenticationType": "API_KEY",
    "Id": "021345abcdef6789",
    "LogConfig": {
    	"CloudWatchLogsRoleArn": "arn:aws:iam::123456789012:role/service-role/appsync-graphqlapi-logs-eu-central-1",
    	"ExcludeVerboseContent": true,
    	"FieldLogLevel": "ALL"
    },
    "Name": "My AppSync App",
    "XrayEnabled": true,
}
```

# Recursos da AwsAthena no ASFF
<a name="asff-resourcedetails-awsathena"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsAthena` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsAthenaWorkGroup
<a name="asff-resourcedetails-awsathenaworkgroup"></a>

`AwsAthenaWorkGroup` fornece informações sobre um grupo de trabalho do Amazon Athena. Um grupo de trabalho ajuda você a separar usuários, equipes, aplicativos ou workloads. Também ajuda a definir limites no processamento de dados e monitorar os custos.

O exemplo a seguir mostra o ASFF para o objeto `AwsAthenaWorkGroup`. Para ver as descrições dos atributos `AwsAthenaWorkGroup`, consulte [AwsAthenaWorkGroup](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAthenaWorkGroupDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsAthenaWorkGroup": {
    "Description": "My workgroup for prod workloads",
    "Name": "MyWorkgroup",
    "WorkgroupConfiguration" {
        "ResultConfiguration": {
            "EncryptionConfiguration": {
                "EncryptionOption": "SSE_KMS",
                "KmsKey": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            }
        }
    },
        "State": "ENABLED"
}
```

# Recursos da AwsAutoScaling no ASFF
<a name="asff-resourcedetails-awsautoscaling"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsAutoScaling` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsAutoScalingAutoScalingGroup
<a name="asff-resourcedetails-awsautoscalingautoscalinggroup"></a>

O objeto `AwsAutoScalingAutoScalingGroup` fornece detalhes sobre um grupo de escalabilidade automática.

O exemplo a seguir é um exemplo de descoberta `AwsAutoScalingAutoScalingGroup` no AWS Formato do Security Finding (ASFF). Para ver as descrições dos atributos `AwsAutoScalingAutoScalingGroup`, consulte [AwsAutoScalingAutoScalingGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingAutoScalingGroupDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsAutoScalingAutoScalingGroup": {
        "CreatedTime": "2017-10-17T14:47:11Z",
        "HealthCheckGracePeriod": 300,
        "HealthCheckType": "EC2",
        "LaunchConfigurationName": "mylaunchconf",
        "LoadBalancerNames": [],
        "LaunchTemplate": {                            
            "LaunchTemplateId": "string",
            "LaunchTemplateName": "string",
            "Version": "string"
        },
        "MixedInstancesPolicy": {
            "InstancesDistribution": {
                "OnDemandAllocationStrategy": "prioritized",
                "OnDemandBaseCapacity": number,
                "OnDemandPercentageAboveBaseCapacity": number,
                "SpotAllocationStrategy": "lowest-price",
                "SpotInstancePools": number,
                "SpotMaxPrice": "string"
            },
            "LaunchTemplate": {
                "LaunchTemplateSpecification": {
                    "LaunchTemplateId": "string",
                    "LaunchTemplateName": "string",
                    "Version": "string"
                 },
                "CapacityRebalance": true,
                "Overrides": [
                    {
                       "InstanceType": "string",
                       "WeightedCapacity": "string"
                    }
                ]
            }
        }
    }
}
```

## AwsAutoScalingLaunchConfiguration
<a name="asff-resourcedetails-awsautoscalinglaunchconfiguration"></a>

O objeto `AwsAutoScalingLaunchConfiguration` fornece detalhes sobre a configuração de inicialização.

Veja a seguir um exemplo de `AwsAutoScalingLaunchConfiguration` descoberta no AWS Security Finding Format (ASFF).

Para ver as descrições dos atributos `AwsAutoScalingLaunchConfiguration`, consulte [AwsAutoScalingLaunchConfigurationDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingLaunchConfigurationDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
AwsAutoScalingLaunchConfiguration: {
    "LaunchConfigurationName": "newtest",
    "ImageId": "ami-058a3739b02263842",
    "KeyName": "55hundredinstance",
    "SecurityGroups": [ "sg-01fce87ad6e019725" ],
    "ClassicLinkVpcSecurityGroups": [],
    "UserData": "...Base64-Encoded user data..."
    "InstanceType": "a1.metal",
    "KernelId": "",
    "RamdiskId": "ari-a51cf9cc",
    "BlockDeviceMappings": [
        {
            "DeviceName": "/dev/sdh",
            "Ebs": {
                "VolumeSize": 30,
                "VolumeType": "gp2",
                "DeleteOnTermination": false,
                "Encrypted": true,
                "SnapshotId": "snap-ffaa1e69",
                "VirtualName": "ephemeral1"
            }
        },
        {
            "DeviceName": "/dev/sdb",
            "NoDevice": true
        },
        {
            "DeviceName": "/dev/sda1",
            "Ebs": {
                "SnapshotId": "snap-02420cd3d2dea1bc0",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "DeleteOnTermination": true,
                "Encrypted": false
            }
        },
        {
            "DeviceName": "/dev/sdi",
            "Ebs": {
                "VolumeSize": 20,
                "VolumeType": "gp2",
                "DeleteOnTermination": false,
                "Encrypted": true
            }
        },
        {
            "DeviceName": "/dev/sdc",
            "NoDevice": true
        }
    ],
    "InstanceMonitoring": {
        "Enabled": false
    },
    "CreatedTime": 1620842933453,
    "EbsOptimized": false,
    "AssociatePublicIpAddress": true,
    "SpotPrice": "0.045"
}
```

# Recursos da AwsBackup no ASFF
<a name="asff-resourcedetails-awsbackup"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsBackup` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsBackupBackupPlan
<a name="asff-resourcedetails-awsbackupbackupplan"></a>

O objeto `AwsBackupBackupPlan` fornece informações sobre um plano de backup do AWS Backup . Um plano de AWS Backup backup é uma expressão de política que define quando e como você deseja fazer backup de seus AWS recursos.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsBackupBackupPlan` objeto. Para ver as descrições dos atributos `AwsBackupBackupPlan`, consulte [AwsBackupBackupPlan](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupPlanDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsBackupBackupPlan": {
    "BackupPlan": {
    	"AdvancedBackupSettings": [{
    		"BackupOptions": {
    			"WindowsVSS":"enabled"
    		},
    		"ResourceType":"EC2"
    	}],
    	"BackupPlanName": "test",
    	"BackupPlanRule": [{
    		"CompletionWindowMinutes": 10080,
    		"CopyActions": [{
    			"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
    			"Lifecycle": {
    				"DeleteAfterDays": 365,
    				"MoveToColdStorageAfterDays": 30
    			}
    		}],
    		"Lifecycle": {
    			"DeleteAfterDays": 35
    		},
    		"RuleName": "DailyBackups",
    		"ScheduleExpression": "cron(0 5 ? * * *)",
    		"StartWindowMinutes": 480,
    		"TargetBackupVault": "Default"
    		},
    		{
    		"CompletionWindowMinutes": 10080,
    		"CopyActions": [{
    			"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
    			"Lifecycle": {
    				"DeleteAfterDays": 365,
    				"MoveToColdStorageAfterDays": 30
    			}
    		}],
    		"Lifecycle": {
    			"DeleteAfterDays": 35
    		},
    		"RuleName": "Monthly",
    		"ScheduleExpression": "cron(0 5 1 * ? *)",
    		"StartWindowMinutes": 480,
    		"TargetBackupVault": "Default"
    	}]
    },
    "BackupPlanArn": "arn:aws:backup:us-east-1:858726136373:backup-plan:b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
    "BackupPlanId": "b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
    "VersionId": "ZDVjNDIzMjItYTZiNS00NzczLTg4YzctNmExMWM2NjZhY2E1"
}
```

## AwsBackupBackupVault
<a name="asff-resourcedetails-awsbackupbackupvault"></a>

O objeto `AwsBackupBackupVault` fornece informações sobre um cofre de backup do AWS Backup . Um cofre AWS Backup de backup é um contêiner que armazena e organiza seus backups.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsBackupBackupVault` objeto. Para ver as descrições dos atributos `AwsBackupBackupVault`, consulte [AwsBackupBackupVault](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupVaultDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsBackupBackupVault": {
    "AccessPolicy": {
    	"Statement": [{
    		"Action": [
    			"backup:DeleteBackupVault",
    			"backup:DeleteBackupVaultAccessPolicy",
    			"backup:DeleteRecoveryPoint",
    			"backup:StartCopyJob",
    			"backup:StartRestoreJob",
    			"backup:UpdateRecoveryPointLifecycle"
    		],
    		"Effect": "Deny",
    		"Principal": {
    			"AWS": "*"
    		},
    		"Resource": "*"
    	}],
    	"Version": "2012-10-17"		 	 	 
    },
    "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:aws/efs/automatic-backup-vault",
    "BackupVaultName": "aws/efs/automatic-backup-vault",
    "EncrytionKeyArn": "arn:aws:kms:us-east-1:444455556666:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
    "Notifications": {
    	"BackupVaultEvents": ["BACKUP_JOB_STARTED", "BACKUP_JOB_COMPLETED", "COPY_JOB_STARTED"],
    	"SNSTopicArn": "arn:aws:sns:us-west-2:111122223333:MyVaultTopic"
    }
}
```

## AwsBackupRecoveryPoint
<a name="asff-resourcedetails-awsbackuprecoverypoint"></a>

O objeto `AwsBackupRecoveryPoint` fornece informações sobre um backup AWS Backup , também chamado de ponto de recuperação. Um ponto AWS Backup de recuperação representa o conteúdo de um recurso em um horário especificado.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsBackupRecoveryPoint` objeto. Para ver as descrições dos atributos `AwsBackupBackupVault`, consulte [AwsBackupRecoveryPoint](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupRecoveryPointDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsBackupRecoveryPoint": {
    "BackupSizeInBytes": 0,
    "BackupVaultName": "aws/efs/automatic-backup-vault",
    "BackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
    "CalculatedLifecycle": {
    	"DeleteAt": "2021-08-30T06:51:58.271Z",
    	"MoveToColdStorageAt": "2020-08-10T06:51:58.271Z"
    },
    "CompletionDate": "2021-07-26T07:21:40.361Z",
    "CreatedBy": {
    	"BackupPlanArn": "arn:aws:backup:us-east-1:111122223333:backup-plan:aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
    	"BackupPlanId": "aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
    	"BackupPlanVersion": "ZGM4YzY5YjktMWYxNC00ZTBmLWE5MjYtZmU5OWNiZmM5ZjIz",
    	"BackupRuleId": "2a600c2-42ad-4196-808e-084923ebfd25"
    },
    "CreationDate": "2021-07-26T06:51:58.271Z",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:111122223333:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
    "IamRoleArn": "arn:aws:iam::111122223333:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup",
    "IsEncrypted": true,
    "LastRestoreTime": "2021-07-26T06:51:58.271Z",
    "Lifecycle": {
    	"DeleteAfterDays": 35,
    	"MoveToColdStorageAfterDays": 15
    },
    "RecoveryPointArn": "arn:aws:backup:us-east-1:111122223333:recovery-point:151a59e4-f1d5-4587-a7fd-0774c6e91268",
    "ResourceArn": "arn:aws:elasticfilesystem:us-east-1:858726136373:file-system/fs-15bd31a1",
    "ResourceType": "EFS",
    "SourceBackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
    "Status": "COMPLETED",
    "StatusMessage": "Failure message",
    "StorageClass": "WARM"
}
```

# Recursos da AwsCertificateManager no ASFF
<a name="asff-resourcedetails-awscertificatemanager"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsCertificateManager` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsCertificateManagerCertificate
<a name="asff-resourcedetails-awscertificatemanagercertificate"></a>

O objeto `AwsCertificateManagerCertificate` fornece detalhes sobre um certificado AWS Certificate Manager (ACM).

Veja a seguir um exemplo de `AwsCertificateManagerCertificate` descoberta no AWS Security Finding Format (ASFF). Para ver as descrições dos atributos `AwsCertificateManagerCertificate`, consulte [AwsCertificateManagerCertificateDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCertificateManagerCertificateDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsCertificateManagerCertificate": {
    "CertificateAuthorityArn": "arn:aws:acm:us-west-2:444455556666:certificate-authority/example",
    "CreatedAt": "2019-05-24T18:12:02.000Z",
    "DomainName": "example.amazondomains.com",
    "DomainValidationOptions": [
        {
            "DomainName": "example.amazondomains.com",
            "ResourceRecord": {
                "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
                "Type": "CNAME",
                "Value": "_example.acm-validations.aws."
             },
             "ValidationDomain": "example.amazondomains.com",
             "ValidationEmails": [sample_email@sample.com],
             "ValidationMethod": "DNS",
             "ValidationStatus": "SUCCESS"
        }
    ],
    "ExtendedKeyUsages": [
        {
            "Name": "TLS_WEB_SERVER_AUTHENTICATION",
            "OId": "1.3.6.1.5.5.7.3.1"
        },
        {
            "Name": "TLS_WEB_CLIENT_AUTHENTICATION",
            "OId": "1.3.6.1.5.5.7.3.2"
        }
    ],
    "FailureReason": "",
    "ImportedAt": "2018-08-17T00:13:00.000Z",
    "InUseBy": ["arn:aws:amazondomains:us-west-2:444455556666:loadbalancer/example"],
    "IssuedAt": "2020-04-26T00:41:17.000Z",
    "Issuer": "Amazon",
    "KeyAlgorithm": "RSA-1024",
    "KeyUsages": [
        {
            "Name": "DIGITAL_SIGNATURE",
        },
        {
            "Name": "KEY_ENCIPHERMENT",
        }
    ],
    "NotAfter": "2021-05-26T12:00:00.000Z",
    "NotBefore": "2020-04-26T00:00:00.000Z",
    "Options": {
        "CertificateTransparencyLoggingPreference": "ENABLED",
    }
    "RenewalEligibility": "ELIGIBLE",
    "RenewalSummary": {
        "DomainValidationOptions": [
            {
                "DomainName": "example.amazondomains.com",
                "ResourceRecord": {
                    "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
                    "Type": "CNAME",
                    "Value": "_example.acm-validations.aws.com",
                },
                "ValidationDomain": "example.amazondomains.com",
                "ValidationEmails": ["sample_email@sample.com"],
                "ValidationMethod": "DNS",
                "ValidationStatus": "SUCCESS"
            }
        ],
        "RenewalStatus": "SUCCESS",
        "RenewalStatusReason": "",
        "UpdatedAt": "2020-04-26T00:41:35.000Z",
    },
    "Serial": "02:ac:86:b6:07:2f:0a:61:0e:3a:ac:fd:d9:ab:17:1a",
    "SignatureAlgorithm": "SHA256WITHRSA",
    "Status": "ISSUED",
    "Subject": "CN=example.amazondomains.com",
    "SubjectAlternativeNames": ["example.amazondomains.com"],
    "Type": "AMAZON_ISSUED"
}
```

# Recursos da AwsCloudFormation no ASFF
<a name="asff-resourcedetails-awscloudformation"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsCloudFormation` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsCloudFormationStack
<a name="asff-resourcedetails-awscloudformationstack"></a>

O objeto `AwsCloudFormationStack` fornece detalhes sobre uma pilha AWS CloudFormation que se aninha como um recurso em um modelo de nível superior.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsCloudFormationStack` objeto. Para ver as descrições dos atributos `AwsCloudFormationStack`, consulte [AwsCloudFormationStackDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFormationStackDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsCloudFormationStack": { 
	"Capabilities": [
		"CAPABILITY_IAM",
		"CAPABILITY_NAMED_IAM"
	],
	"CreationTime": "2022-02-18T15:31:53.161Z",
	"Description": "AWS CloudFormation Sample",
	"DisableRollback": true,
	"DriftInformation": {
		"StackDriftStatus": "DRIFTED"
	},
	"EnableTerminationProtection": false,
	"LastUpdatedTime": "2022-02-18T15:31:53.161Z",
	"NotificationArns": [
		"arn:aws:sns:us-east-1:978084797471:sample-sns-cfn"
	],
	"Outputs": [{
		"Description": "URL for newly created LAMP stack",
		"OutputKey": "WebsiteUrl",
		"OutputValue": "http://ec2-44-193-18-241.compute-1.amazonaws.com"
	}],
	"RoleArn": "arn:aws:iam::012345678910:role/exampleRole",
	"StackId": "arn:aws:cloudformation:us-east-1:978084797471:stack/sample-stack/e5d9f7e0-90cf-11ec-88c6-12ac1f91724b",
	"StackName": "sample-stack",
	"StackStatus": "CREATE_COMPLETE",
	"StackStatusReason": "Success",
	"TimeoutInMinutes": 1
}
```

# Recursos da AwsCloudFront no ASFF
<a name="asff-resourcedetails-awscloudfront"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsCloudFront` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsCloudFrontDistribution
<a name="asff-resourcedetails-awscloudfrontdistribution"></a>

O `AwsCloudFrontDistribution` objeto fornece detalhes sobre uma configuração de CloudFront distribuição da Amazon.

O exemplo a seguir é um exemplo de descoberta `AwsCloudFrontDistribution` no AWS Formato do Security Finding (ASFF). Para ver as descrições dos atributos `AwsCloudFrontDistribution`, consulte [AwsCloudFrontDistributionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFrontDistributionDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsCloudFrontDistribution": {
    "CacheBehaviors": {
        "Items": [
            {
               "ViewerProtocolPolicy": "https-only"
            }
         ]
    },
    "DefaultCacheBehavior": {
         "ViewerProtocolPolicy": "https-only"
    },
    "DefaultRootObject": "index.html",
    "DomainName": "d2wkuj2w9l34gt.cloudfront.net",
    "Etag": "E37HOT42DHPVYH",
    "LastModifiedTime": "2015-08-31T21:11:29.093Z",
    "Logging": {
         "Bucket": "myawslogbucket.s3.amazonaws.com",
         "Enabled": false,
         "IncludeCookies": false,
         "Prefix": "myawslog/"
     },
     "OriginGroups": {
          "Items": [
              {
                 "FailoverCriteria": {
                     "StatusCodes": {
                          "Items": [
                              200,
                              301,
                              404
                          ]
                          "Quantity": 3
                      }
                 }
              }
           ]
     },
     "Origins": {
           "Items": [
               {
                  "CustomOriginConfig": {
                      "HttpPort": 80,
                      "HttpsPort": 443,
                      "OriginKeepaliveTimeout": 60,
                      "OriginProtocolPolicy": "match-viewer",
                      "OriginReadTimeout": 30,
                      "OriginSslProtocols": {
                        "Items": ["SSLv3", "TLSv1"],
                        "Quantity": 2
                      }                       
                  }
               },                  
           ]
     },
                  "DomainName": "amzn-s3-demo-bucket.s3.amazonaws.com",
                  "Id": "my-origin",
                  "OriginPath": "/production",
                  "S3OriginConfig": {
                      "OriginAccessIdentity": "origin-access-identity/cloudfront/E2YFS67H6VB6E4"
                  }
           ]
     },
     "Status": "Deployed",
     "ViewerCertificate": {
            "AcmCertificateArn": "arn:aws:acm::123456789012:AcmCertificateArn",
            "Certificate": "ASCAJRRE5XYF52TKRY5M4",
            "CertificateSource": "iam",
            "CloudFrontDefaultCertificate": true,
            "IamCertificateId": "ASCAJRRE5XYF52TKRY5M4",
            "MinimumProtocolVersion": "TLSv1.2_2021",
            "SslSupportMethod": "sni-only"
      },
      "WebAclId": "waf-1234567890"
}
```

# Recursos da AwsCloudTrail no ASFF
<a name="asff-resourcedetails-awscloudtrail"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsCloudTrail` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsCloudTrailTrail
<a name="asff-resourcedetails-awscloudtrailtrail"></a>

O objeto `AwsCloudTrailTrail` fornece detalhes sobre uma trilha do AWS CloudTrail .

O exemplo a seguir é um exemplo de descoberta `AwsCloudTrailTrail` no AWS Formato do Security Finding (ASFF). Para ver as descrições dos atributos `AwsCloudTrailTrail`, consulte [AwsCloudTrailTrailDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudTrailTrailDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsCloudTrailTrail": {
    "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-west-2:123456789012:log-group:CloudTrail/regression:*",
    "CloudWatchLogsRoleArn": "arn:aws:iam::866482105055:role/CloudTrail_CloudWatchLogs",
    "HasCustomEventSelectors": true,
    "HomeRegion": "us-west-2",
    "IncludeGlobalServiceEvents": true,
    "IsMultiRegionTrail": true,
    "IsOrganizationTrail": false,
    "KmsKeyId": "kmsKeyId",
    "LogFileValidationEnabled": true,
    "Name": "regression-trail",
    "S3BucketName": "cloudtrail-bucket",
    "S3KeyPrefix": "s3KeyPrefix",
    "SnsTopicArn": "arn:aws:sns:us-east-2:123456789012:MyTopic",
    "SnsTopicName": "snsTopicName",
    "TrailArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail"
}
```

# Recursos da AwsCloudWatch no ASFF
<a name="asff-resourcedetails-awscloudwatch"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsCloudWatch` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsCloudWatchAlarm
<a name="asff-resourcedetails-awscloudwatchalarm"></a>

O `AwsCloudWatchAlarm` objeto fornece detalhes sobre os CloudWatch alarmes da Amazon que observam uma métrica ou realizam uma ação quando um alarme muda de estado.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsCloudWatchAlarm` objeto. Para ver as descrições dos atributos `AwsCloudWatchAlarm`, consulte [AwsCloudWatchAlarmDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudWatchAlarmDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsCloudWatchAlarm": { 
	"ActionsEnabled": true,
	"AlarmActions": [
		"arn:aws:automate:region:ec2:stop",
		"arn:aws:automate:region:ec2:terminate"
	],
	"AlarmArn": "arn:aws:cloudwatch:us-west-2:012345678910:alarm:sampleAlarm",
	"AlarmConfigurationUpdatedTimestamp": "2022-02-18T15:31:53.161Z",
	"AlarmDescription": "Alarm Example",
	"AlarmName": "Example",
	"ComparisonOperator": "GreaterThanOrEqualToThreshold",
	"DatapointsToAlarm": 1,
	"Dimensions": [{
		"Name": "InstanceId",
		"Value": "i-1234567890abcdef0"
	}],
	"EvaluateLowSampleCountPercentile": "evaluate",
	"EvaluationPeriods": 1,
	"ExtendedStatistic": "p99.9",
	"InsufficientDataActions": [
		"arn:aws:automate:region:ec2:stop"
	],
	"MetricName": "Sample Metric",
	"Namespace": "YourNamespace",
	"OkActions": [
		"arn:aws:swf:region:account-id:action/actions/AWS_EC2.InstanceId.Stop/1.0"
	],
	"Period": 1,
	"Statistic": "SampleCount",
	"Threshold": 12.3,
	"ThresholdMetricId": "t1",
	"TreatMissingData": "notBreaching",
	"Unit": "Kilobytes/Second"
}
```

# Recursos da AwsCodeBuild no ASFF
<a name="asff-resourcedetails-awscodebuild"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsCodeBuild` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsCodeBuildProject
<a name="asff-resourcedetails-awscodebuildproject"></a>

O objeto `AwsCodeBuildProject` fornece informações sobre um projeto do AWS CodeBuild .

O exemplo a seguir é um exemplo de descoberta `AwsCodeBuildProject` no AWS Formato do Security Finding (ASFF). Para ver as descrições dos atributos `AwsCodeBuildProject`, consulte [AwsCodeBuildProjectDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCodeBuildProjectDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsCodeBuildProject": {
   "Artifacts": [
      {
          "ArtifactIdentifier": "string",
          "EncryptionDisabled": boolean,
          "Location": "string",
          "Name": "string",
          "NamespaceType": "string",
          "OverrideArtifactName": boolean,
          "Packaging": "string",
          "Path": "string",
          "Type": "string"
       }
   ],
   "SecondaryArtifacts": [
      {
          "ArtifactIdentifier": "string",
          "EncryptionDisabled": boolean,
          "Location": "string",
          "Name": "string",
          "NamespaceType": "string",
          "OverrideArtifactName": boolean,
          "Packaging": "string",
          "Path": "string",
          "Type": "string"
       }
   ],
   "EncryptionKey": "string",
   "Certificate": "string",
   "Environment": {
      "Certificate": "string",
      "EnvironmentVariables": [
           {
                "Name": "string",
                "Type": "string",
                "Value": "string"
           }
      ],
   "ImagePullCredentialsType": "string",
   "PrivilegedMode": boolean, 
   "RegistryCredential": {
       "Credential": "string",
       "CredentialProvider": "string"
   },
   "Type": "string"
   },
   "LogsConfig": {
        "CloudWatchLogs": {
             "GroupName": "string",
             "Status": "string",
             "StreamName": "string"
        },
        "S3Logs": {
             "EncryptionDisabled": boolean,
             "Location": "string",
             "Status": "string"
        }
   },
   "Name": "string",
   "ServiceRole": "string",
   "Source": {
        "Type": "string",
        "Location": "string",
        "GitCloneDepth": integer
   },
   "VpcConfig": {
        "VpcId": "string",
        "Subnets": ["string"],
        "SecurityGroupIds": ["string"]
   }
}
```

# Recursos da AwsDms no ASFF
<a name="asff-resourcedetails-awsdms"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsDms` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsDmsEndpoint
<a name="asff-resourcedetails-awsdmsendpoint"></a>

O `AwsDmsEndpoint` objeto fornece informações sobre um endpoint AWS Database Migration Service (AWS DMS). Um endpoint fornece conexão, tipo de armazenamento de dados e informações de localização sobre seu armazenamento de dados. 

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsDmsEndpoint` objeto. Para ver as descrições dos atributos `AwsDmsEndpoint`, consulte [AwsDmsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsEndpointDeatils.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsDmsEndpoint": {
    "CertificateArn": "arn:aws:dms:us-east-1:123456789012:cert:EXAMPLEIGDURVZGVJQZDPWJ5A7F2YDJVSMTBWFI",
    "DatabaseName": "Test",
    "EndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:EXAMPLEQB3CZY33F7XV253NAJVBNPK6MJQVFVQA",
    "EndpointIdentifier": "target-db",
    "EndpointType": "TARGET", 
    "EngineName": "mariadb",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Port": 3306,
    "ServerName": "target-db.exampletafyu.us-east-1.rds.amazonaws.com",
    "SslMode": "verify-ca",
    "Username": "admin"
}
```

## AwsDmsReplicationInstance
<a name="asff-resourcedetails-awsdmsreplicationinstance"></a>

O `AwsDmsReplicationInstance` objeto fornece informações sobre uma instância de replicação AWS Database Migration Service (AWS DMS). O DMS usa uma instância de replicação para se conectar ao armazenamento de dados de origem, ler os dados de origem e formatar os dados para consumo pelo armazenamento de dados de destino.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsDmsReplicationInstance` objeto. Para ver as descrições dos atributos `AwsDmsReplicationInstance`, consulte [AwsDmsReplicationInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationInstanceDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsDmsReplicationInstance": {
    "AllocatedStorage": 50,
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZone": "us-east-1b",
    "EngineVersion": "3.5.1",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "MultiAZ": false,
    "PreferredMaintenanceWindow": "wed:08:08-wed:08:38",
    "PubliclyAccessible": true,
    "ReplicationInstanceClass": "dms.c5.xlarge",
    "ReplicationInstanceIdentifier": "second-replication-instance",
    "ReplicationSubnetGroup": {
        "ReplicationSubnetGroupIdentifier": "default-vpc-2344f44f"
    },
    "VpcSecurityGroups": [
        {
            "VpcSecurityGroupId": "sg-003a34e205138138b"
        }
    ]
}
```

## AwsDmsReplicationTask
<a name="asff-resourcedetails-awsdmsreplicationtask"></a>

O `AwsDmsReplicationTask` objeto fornece informações sobre uma tarefa de replicação AWS Database Migration Service (AWS DMS). Use uma tarefa de replicação do para mover um conjunto de dados do endpoint de origem para o endpoint de destino.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsDmsReplicationInstance` objeto. Para ver as descrições dos atributos `AwsDmsReplicationInstance`, consulte [AwsDmsReplicationInstance](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationTaskDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsDmsReplicationTask": {
    "CdcStartPosition": "2023-08-28T14:26:22",
    "Id": "arn:aws:dms:us-east-1:123456789012:task:YDYUOHZIXWKQSUCBMUCQCNY44SJW74VJNB5DFWQ",
    "MigrationType": "cdc",
    "ReplicationInstanceArn": "arn:aws:dms:us-east-1:123456789012:rep:T7V6RFDP23PYQWUL26N3PF5REKML4YOUGIMYJUI",
    "ReplicationTaskIdentifier": "test-task",
    "ReplicationTaskSettings": "{\"Logging\":{\"EnableLogging\":false,\"EnableLogContext\":false,\"LogComponents\":[{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TRANSFORMATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_UNLOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"IO\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_LOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"PERFORMANCE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_CAPTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SORTER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"REST_SERVER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"VALIDATOR_EXT\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_APPLY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TASK_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TABLES_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"METADATA_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_FACTORY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMON\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"ADDONS\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"DATA_STRUCTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMUNICATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_TRANSFER\"}],\"CloudWatchLogGroup\":null,\"CloudWatchLogStream\":null},\"StreamBufferSettings\":{\"StreamBufferCount\":3,\"CtrlStreamBufferSizeInMB\":5,\"StreamBufferSizeInMB\":8},\"ErrorBehavior\":{\"FailOnNoTablesCaptured\":true,\"ApplyErrorUpdatePolicy\":\"LOG_ERROR\",\"FailOnTransactionConsistencyBreached\":false,\"RecoverableErrorThrottlingMax\":1800,\"DataErrorEscalationPolicy\":\"SUSPEND_TABLE\",\"ApplyErrorEscalationCount\":0,\"RecoverableErrorStopRetryAfterThrottlingMax\":true,\"RecoverableErrorThrottling\":true,\"ApplyErrorFailOnTruncationDdl\":false,\"DataTruncationErrorPolicy\":\"LOG_ERROR\",\"ApplyErrorInsertPolicy\":\"LOG_ERROR\",\"EventErrorPolicy\":\"IGNORE\",\"ApplyErrorEscalationPolicy\":\"LOG_ERROR\",\"RecoverableErrorCount\":-1,\"DataErrorEscalationCount\":0,\"TableErrorEscalationPolicy\":\"STOP_TASK\",\"RecoverableErrorInterval\":5,\"ApplyErrorDeletePolicy\":\"IGNORE_RECORD\",\"TableErrorEscalationCount\":0,\"FullLoadIgnoreConflicts\":true,\"DataErrorPolicy\":\"LOG_ERROR\",\"TableErrorPolicy\":\"SUSPEND_TABLE\"},\"TTSettings\":{\"TTS3Settings\":null,\"TTRecordSettings\":null,\"EnableTT\":false},\"FullLoadSettings\":{\"CommitRate\":10000,\"StopTaskCachedChangesApplied\":false,\"StopTaskCachedChangesNotApplied\":false,\"MaxFullLoadSubTasks\":8,\"TransactionConsistencyTimeout\":600,\"CreatePkAfterFullLoad\":false,\"TargetTablePrepMode\":\"DO_NOTHING\"},\"TargetMetadata\":{\"ParallelApplyBufferSize\":0,\"ParallelApplyQueuesPerThread\":0,\"ParallelApplyThreads\":0,\"TargetSchema\":\"\",\"InlineLobMaxSize\":0,\"ParallelLoadQueuesPerThread\":0,\"SupportLobs\":true,\"LobChunkSize\":64,\"TaskRecoveryTableEnabled\":false,\"ParallelLoadThreads\":0,\"LobMaxSize\":0,\"BatchApplyEnabled\":false,\"FullLobMode\":true,\"LimitedSizeLobMode\":false,\"LoadMaxFileSize\":0,\"ParallelLoadBufferSize\":0},\"BeforeImageSettings\":null,\"ControlTablesSettings\":{\"historyTimeslotInMinutes\":5,\"HistoryTimeslotInMinutes\":5,\"StatusTableEnabled\":false,\"SuspendedTablesTableEnabled\":false,\"HistoryTableEnabled\":false,\"ControlSchema\":\"\",\"FullLoadExceptionTableEnabled\":false},\"LoopbackPreventionSettings\":null,\"CharacterSetSettings\":null,\"FailTaskWhenCleanTaskResourceFailed\":false,\"ChangeProcessingTuning\":{\"StatementCacheSize\":50,\"CommitTimeout\":1,\"BatchApplyPreserveTransaction\":true,\"BatchApplyTimeoutMin\":1,\"BatchSplitSize\":0,\"BatchApplyTimeoutMax\":30,\"MinTransactionSize\":1000,\"MemoryKeepTime\":60,\"BatchApplyMemoryLimit\":500,\"MemoryLimitTotal\":1024},\"ChangeProcessingDdlHandlingPolicy\":{\"HandleSourceTableDropped\":true,\"HandleSourceTableTruncated\":true,\"HandleSourceTableAltered\":true},\"PostProcessingRules\":null}",
    "SourceEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:TZPWV2VCXEGHYOKVKRNHAKJ4Q3RUXACNGFGYWRI",
    "TableMappings": "{\"rules\":[{\"rule-type\":\"selection\",\"rule-id\":\"969761702\",\"rule-name\":\"969761702\",\"object-locator\":{\"schema-name\":\"%table\",\"table-name\":\"%example\"},\"rule-action\":\"exclude\",\"filters\":[]}]}",
    "TargetEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:ABR8LBOQB3CZY33F7XV253NAJVBNPK6MJQVFVQA"
}
```

# Recursos da AwsDynamoDB no ASFF
<a name="asff-resourcedetails-awsdynamodb"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsDynamoDB` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsDynamoDbTable
<a name="asff-resourcedetails-awsdynamodbtable"></a>

O objeto `AwsDynamoDbTable` fornece detalhes sobre uma tabela do Amazon DynamoDB.

O exemplo a seguir é um exemplo de descoberta `AwsDynamoDbTable` no AWS Formato do Security Finding (ASFF). Para ver as descrições dos atributos `AwsDynamoDbTable`, consulte [AwsDynamoDbTableDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDynamoDbTableDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsDynamoDbTable": {
    "AttributeDefinitions": [   
        {        
            "AttributeName": "attribute1",
            "AttributeType": "value 1"
        },
        {
            "AttributeName": "attribute2",
            "AttributeType": "value 2"
        },
        {
            "AttributeName": "attribute3",
            "AttributeType": "value 3"
        }
    ],
    "BillingModeSummary": {
        "BillingMode": "PAY_PER_REQUEST",
        "LastUpdateToPayPerRequestDateTime": "2019-12-03T15:23:10.323Z"
    },
    "CreationDateTime": "2019-12-03T15:23:10.248Z",
    "DeletionProtectionEnabled": true,
    "GlobalSecondaryIndexes": [
        {
            "Backfilling": false,
            "IndexArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/index/exampleIndex",                
            "IndexName": "standardsControlArnIndex",
            "IndexSizeBytes": 1862513,
            "IndexStatus": "ACTIVE",
            "ItemCount": 20,
            "KeySchema": [
                {
                    "AttributeName": "City",
                    "KeyType": "HASH"
                },     
                {
                    "AttributeName": "Date",
                    "KeyType": "RANGE"
                }
            ],      
            "Projection": {
                "NonKeyAttributes": ["predictorName"],
                "ProjectionType": "ALL"
            },     
            "ProvisionedThroughput": {
                "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
                "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
                "NumberOfDecreasesToday": 0,
                "ReadCapacityUnits": 100,
                "WriteCapacityUnits": 50
            },
        }
   ],
   "GlobalTableVersion": "V1",
   "ItemCount": 2705,
   "KeySchema": [
        {
            "AttributeName": "zipcode",
            "KeyType": "HASH"
        }
    ],
    "LatestStreamArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/stream/2019-12-03T23:23:10.248",
    "LatestStreamLabel": "2019-12-03T23:23:10.248",
    "LocalSecondaryIndexes": [
        {
            "IndexArn": "arn:aws:dynamodb:us-east-1:111122223333:table/exampleGroup/index/exampleId",
            "IndexName": "CITY_DATE_INDEX_NAME",
            "KeySchema": [
                {
                    "AttributeName": "zipcode",
                    "KeyType": "HASH"
                }
            ],
            "Projection": {
                "NonKeyAttributes": ["predictorName"],
                "ProjectionType": "ALL"
            },  
        }
    ],
    "ProvisionedThroughput": {
        "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
        "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
        "NumberOfDecreasesToday": 0,
        "ReadCapacityUnits": 100,
        "WriteCapacityUnits": 50
    },
    "Replicas": [
        {
            "GlobalSecondaryIndexes":[
                {
                    "IndexName": "CITY_DATE_INDEX_NAME", 
                    "ProvisionedThroughputOverride": {
                        "ReadCapacityUnits": 10
                    }
                }
            ],
            "KmsMasterKeyId" : "KmsKeyId"
            "ProvisionedThroughputOverride": {
                "ReadCapacityUnits": 10
            },
            "RegionName": "regionName",
            "ReplicaStatus": "CREATING",
            "ReplicaStatusDescription": "replicaStatusDescription"
        }
    ],
    "RestoreSummary" : {
        "SourceBackupArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/backup/backup1",
        "SourceTableArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable",
        "RestoreDateTime": "2020-06-22T17:40:12.322Z",
        "RestoreInProgress": true
    },
    "SseDescription": {
        "InaccessibleEncryptionDateTime": "2018-01-26T23:50:05.000Z",
        "Status": "ENABLED",
        "SseType": "KMS",
        "KmsMasterKeyArn": "arn:aws:kms:us-east-1:111122223333:key/key1"
    },
    "StreamSpecification" : {
        "StreamEnabled": true,
        "StreamViewType": "NEW_IMAGE"
    },
    "TableId": "example-table-id-1",
    "TableName": "example-table",
    "TableSizeBytes": 1862513,
    "TableStatus": "ACTIVE"
}
```

# Recursos da AwsEc2 no ASFF
<a name="asff-resourcedetails-awsec2"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsEc2` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsEc2ClientVpnEndpoint
<a name="asff-resourcedetails-awsec2clientvpnendpoint"></a>

O `AwsEc2ClientVpnEndpoint` objeto fornece informações sobre um AWS Client VPN endpoint. Um endpoint do Client VPN é o recurso que você cria e configura para habilitar e gerenciar sessões de VPN de clientes. É o ponto de término de todas as sessões da VPN do cliente.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEc2ClientVpnEndpoint` objeto. Para ver as descrições dos `AwsEc2ClientVpnEndpoint` atributos, consulte [AwsEc2 ClientVpnEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2ClientVpnEndpointDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsEc2ClientVpnEndpoint": {
    "AuthenticationOptions": [
        {
            "MutualAuthentication": {
                "ClientRootCertificateChainArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            },
            "Type": "certificate-authentication"
        }
    ],
    "ClientCidrBlock": "10.0.0.0/22",
    "ClientConnectOptions": {
        "Enabled": false
    },
    "ClientLoginBannerOptions": {
        "Enabled": false
    },
    "ClientVpnEndpointId": "cvpn-endpoint-00c5d11fc4729f2a5",
    "ConnectionLogOptions": {
        "Enabled": false
    },
    "Description": "test",
    "DnsServer": ["10.0.0.0"],
    "ServerCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "SecurityGroupIdSet": [
        "sg-0f7a177b82b443691"
    ],
    "SelfServicePortalUrl": "https://self-service.clientvpn.amazonaws.com/endpoints/cvpn-endpoint-00c5d11fc4729f2a5",
    "SessionTimeoutHours": 24,
    "SplitTunnel": false,
    "TransportProtocol": "udp",
    "VpcId": "vpc-1a2b3c4d5e6f1a2b3",
    "VpnPort": 443
}
```

## AwsEc2Eip
<a name="asff-resourcedetails-awsec2eip"></a>

O objeto `AwsEc2Eip` fornece informações sobre um endereço IP elástico.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEc2Eip` objeto. Para ver as descrições dos `AwsEc2Eip` atributos, consulte [AwsEc2 EipDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2EipDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsEc2Eip": {
    "InstanceId": "instance1",
    "PublicIp": "192.0.2.04",
    "AllocationId": "eipalloc-example-id-1",
    "AssociationId": "eipassoc-example-id-1",
    "Domain": "vpc",
    "PublicIpv4Pool": "anycompany",
    "NetworkBorderGroup": "eu-central-1",
    "NetworkInterfaceId": "eni-example-id-1",
    "NetworkInterfaceOwnerId": "777788889999",
    "PrivateIpAddress": "192.0.2.03"
}
```

## AwsEc2Instance
<a name="asff-resourcedetails-awsec2instance"></a>

O objeto `AwsEc2Instance` fornece detalhes sobre uma instância do Amazon EC2.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEc2Instance` objeto. Para ver as descrições dos `AwsEc2Instance` atributos, consulte [AwsEc2 InstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2InstanceDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsEc2Instance": { 
    "IamInstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/AdminRole",
    "ImageId": "ami-1234",
    "IpV4Addresses": [ "1.1.1.1" ],
    "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ],
    "KeyName": "my_keypair",
    "LaunchedAt": "2018-05-08T16:46:19.000Z",
    "MetadataOptions": {
    	"HttpEndpoint": "enabled",
    	"HttpProtocolIpv6": "enabled",
    	"HttpPutResponseHopLimit": 1,
    	"HttpTokens": "optional",
    	"InstanceMetadataTags": "disabled",
    },
    "Monitoring": {
    	"State": "disabled"
    },
    "NetworkInterfaces": [
      {
         "NetworkInterfaceId": "eni-e5aa89a3"
      }
    ],
    "SubnetId": "subnet-123",
    "Type": "i3.xlarge",
    "VpcId": "vpc-123"
}
```

## AwsEc2LaunchTemplate
<a name="asff-resourcedetails-awsec2launchtemplate"></a>

O objeto `AwsEc2LaunchTemplate` contém detalhes sobre um modelo de lançamento do Amazon Elastic Compute Cloud que especifica as informações de configuração da instância.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEc2LaunchTemplate` objeto. Para ver as descrições dos `AwsEc2LaunchTemplate` atributos, consulte [AwsEc2 LaunchTemplateDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2LaunchTemplateDetals.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsEc2LaunchTemplate": {
    "DefaultVersionNumber": "1",
    "ElasticGpuSpecifications": ["string"],
    "ElasticInferenceAccelerators": ["string"],
    "Id": "lt-0a16e9802800bdd85",
    "ImageId": "ami-0d5eff06f840b45e9",
    "LatestVersionNumber": "1",
    "LaunchTemplateData": {
    	"BlockDeviceMappings": [{
    		"DeviceName": "/dev/xvda",
    		"Ebs": {
    			"DeleteonTermination": true,
    			"Encrypted": true,
    			"SnapshotId": "snap-01047646ec075f543",
    			"VolumeSize": 8,
    			"VolumeType:" "gp2"
    		}
    	}],
    	"MetadataOptions": {
    		"HttpTokens": "enabled",
    		"HttpPutResponseHopLimit" : 1
    	},
    	"Monitoring": {
    		"Enabled": true,
    	"NetworkInterfaces": [{
    		"AssociatePublicIpAddress" : true,
    	}],
    "LaunchTemplateName": "string",
    "LicenseSpecifications": ["string"],
    "SecurityGroupIds": ["sg-01fce87ad6e019725"],
    "SecurityGroups": ["string"],
    "TagSpecifications": ["string"]
}
```

## AwsEc2NetworkAcl
<a name="asff-resourcedetails-awsec2networkacl"></a>

O objeto `AwsEc2NetworkAcl` contém detalhes sobre uma lista de controle de acesso (ACL) da rede do Amazon EC2.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEc2NetworkAcl` objeto. Para ver as descrições dos `AwsEc2NetworkAcl` atributos, consulte [AwsEc2 NetworkAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkAclDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsEc2NetworkAcl": {
    "IsDefault": false,
    "NetworkAclId": "acl-1234567890abcdef0",
    "OwnerId": "123456789012",
    "VpcId": "vpc-1234abcd",
    "Associations": [{
        "NetworkAclAssociationId": "aclassoc-abcd1234",
        "NetworkAclId": "acl-021345abcdef6789",
        "SubnetId": "subnet-abcd1234"
   }],
   "Entries": [{
        "CidrBlock": "10.24.34.0/23",
        "Egress": true,
        "IcmpTypeCode": {
            "Code": 10,
            "Type": 30
        },
        "Ipv6CidrBlock": "2001:DB8::/32",
        "PortRange": {
            "From": 20,
            "To": 40
        },
        "Protocol": "tcp",
        "RuleAction": "allow",
        "RuleNumber": 100
   }]
}
```

## AwsEc2NetworkInterface
<a name="asff-resourcedetails-awsec2networkinterface"></a>

O objeto `AwsEc2NetworkInterface` fornece informações sobre uma interface de rede do Amazon EC2.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEc2NetworkInterface` objeto. Para ver as descrições dos `AwsEc2NetworkInterface` atributos, consulte [AwsEc2 NetworkInterfaceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkInterfaceDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsEc2NetworkInterface": {
    "Attachment": {
        "AttachTime": "2019-01-01T03:03:21Z",
        "AttachmentId": "eni-attach-43348162",
        "DeleteOnTermination": true,
        "DeviceIndex": 123,
        "InstanceId": "i-1234567890abcdef0",
        "InstanceOwnerId": "123456789012",
        "Status": 'ATTACHED'
    },
    "SecurityGroups": [
        {
            "GroupName": "my-security-group",
            "GroupId": "sg-903004f8"
        },
    ],
    "NetworkInterfaceId": 'eni-686ea200',
    "SourceDestCheck": false
}
```

## AwsEc2RouteTable
<a name="asff-resourcedetails-awsec2routetable"></a>

O objeto `AwsEc2RouteTable` fornece informações sobre uma tabela de rotas do Amazon EC2.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEc2RouteTable` objeto. Para ver as descrições dos `AwsEc2RouteTable` atributos, consulte [AwsEc2 RouteTableDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2RouteTableDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsEc2RouteTable": {
    "AssociationSet": [{
    	"AssociationSet": {
    		"State": "associated"
    				},
    	"Main": true,
    	"RouteTableAssociationId": "rtbassoc-08e706c45de9f7512",
    	"RouteTableId": "rtb-0a59bde9cf2548e34",
    }],
    "PropogatingVgwSet": [],
    "RouteTableId": "rtb-0a59bde9cf2548e34",
    "RouteSet": [
    	{
    		"DestinationCidrBlock": "10.24.34.0/23",
    		"GatewayId": "local",
    		"Origin": "CreateRouteTable",
    		"State": "active"
    	},
    	{
    		"DestinationCidrBlock": "10.24.34.0/24",
    		"GatewayId": "igw-0242c2d7d513fc5d3",
    		"Origin": "CreateRoute",
    		"State": "active"
    	}
    ],
    "VpcId": "vpc-0c250a5c33f51d456"
}
```

## AwsEc2SecurityGroup
<a name="asff-resourcedetails-awsec2securitygroup"></a>

O objeto `AwsEc2SecurityGroup` descreve um grupo de segurança do Amazon EC2.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEc2SecurityGroup` objeto. Para ver as descrições dos `AwsEc2SecurityGroup` atributos, consulte [AwsEc2 SecurityGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SecurityGroupDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsEc2SecurityGroup": {
    "GroupName": "MySecurityGroup",
    "GroupId": "sg-903004f8",
    "OwnerId": "123456789012",
    "VpcId": "vpc-1a2b3c4d",
    "IpPermissions": [
        {
            "IpProtocol": "-1",
            "IpRanges": [],
            "UserIdGroupPairs": [
                {
                    "UserId": "123456789012",
                    "GroupId": "sg-903004f8"
                }
            ],
            "PrefixListIds": [
                {"PrefixListId": "pl-63a5400a"}
            ]
        },
        {
            "PrefixListIds": [],
            "FromPort": 22,
            "IpRanges": [
                {
                    "CidrIp": "203.0.113.0/24"
                }
            ],
            "ToPort": 22,
            "IpProtocol": "tcp",
            "UserIdGroupPairs": []
        }
    ]
}
```

## AwsEc2Subnet
<a name="asff-resourcedetails-awsec2subnet"></a>

O objeto `AwsEc2Subnet` fornece informações sobre uma sub-rede do Amazon EC2.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEc2Subnet` objeto. Para ver as descrições dos `AwsEc2Subnet` atributos, consulte [AwsEc2 SubnetDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SubnetDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
AwsEc2Subnet: {
    "AssignIpv6AddressOnCreation": false,
    "AvailabilityZone": "us-west-2c",
    "AvailabilityZoneId": "usw2-az3",
    "AvailableIpAddressCount": 8185,
    "CidrBlock": "10.0.0.0/24",
    "DefaultForAz": false,
    "MapPublicIpOnLaunch": false,
    "OwnerId": "123456789012",
    "State": "available",
    "SubnetArn": "arn:aws:ec2:us-west-2:123456789012:subnet/subnet-d5436c93",
    "SubnetId": "subnet-d5436c93",
    "VpcId": "vpc-153ade70",
    "Ipv6CidrBlockAssociationSet": [{
        "AssociationId": "subnet-cidr-assoc-EXAMPLE",
        "Ipv6CidrBlock": "2001:DB8::/32",
        "CidrBlockState": "associated"
   }]
}
```

## AwsEc2TransitGateway
<a name="asff-resourcedetails-awsec2transitgateway"></a>

O `AwsEc2TransitGateway` objeto fornece detalhes sobre um gateway de trânsito do Amazon EC2 que interconecta suas nuvens privadas virtuais (VPCs) e redes locais.

Veja a seguir um exemplo de `AwsEc2TransitGateway` descoberta no AWS Security Finding Format (ASFF). Para ver as descrições dos `AwsEc2TransitGateway` atributos, consulte [AwsEc2 TransitGatewayDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2TransitGatewayDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsEc2TransitGateway": {
	"AmazonSideAsn": 65000,
	"AssociationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
	"AutoAcceptSharedAttachments": "disable",
	"DefaultRouteTableAssociation": "enable",
	"DefaultRouteTablePropagation": "enable",
	"Description": "sample transit gateway",
	"DnsSupport": "enable",
	"Id": "tgw-042ae6bf7a5c126c3",
	"MulticastSupport": "disable",
	"PropagationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
	"TransitGatewayCidrBlocks": ["10.0.0.0/16"],
	"VpnEcmpSupport": "enable"
}
```

## AwsEc2Volume
<a name="asff-resourcedetails-awsec2volume"></a>

O objeto `AwsEc2Volume` fornece detalhes sobre um volume do Amazon EC2.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEc2Volume` objeto. Para ver as descrições dos `AwsEc2Volume` atributos, consulte [AwsEc2 VolumeDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VolumeDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsEc2Volume": {
    "Attachments": [
      {
        "AttachTime": "2017-10-17T14:47:11Z",
        "DeleteOnTermination": true,
        "InstanceId": "i-123abc456def789g",
        "Status": "attached"
      }
     ],
    "CreateTime": "2020-02-24T15:54:30Z",
    "Encrypted": true,
    "KmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
    "Size": 80,
    "SnapshotId": "",
    "Status": "available"
}
```

## AwsEc2Vpc
<a name="asff-resourcedetails-awsec2vpc"></a>

O objeto `AwsEc2Vpc` fornece detalhes sobre uma VPC do Amazon EC2.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEc2Vpc` objeto. Para ver as descrições dos `AwsEc2Vpc` atributos, consulte [AwsEc2 VpcDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsEc2Vpc": {
    "CidrBlockAssociationSet": [
        {
            "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
            "CidrBlock": "192.0.2.0/24",
            "CidrBlockState": "associated"
        }
    ],
    "DhcpOptionsId": "dopt-4e42ce28",
    "Ipv6CidrBlockAssociationSet": [
        {
            "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
            "CidrBlockState": "associated",
            "Ipv6CidrBlock": "192.0.2.0/24"
       }

    ],
    "State": "available"
}
```

## AwsEc2VpcEndpointService
<a name="asff-resourcedetails-awsec2vpcendpointservice"></a>

O objeto `AwsEc2VpcEndpointService` contém detalhes sobre a configuração do serviço de um endpoint da VPC.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEc2VpcEndpointService` objeto. Para ver as descrições dos `AwsEc2VpcEndpointService` atributos, consulte [AwsEc2 VpcEndpointServiceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcEndpointServiceDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsEc2VpcEndpointService": {
    "ServiceType": [
      {
        "ServiceType": "Interface"
      }
    ],
    "ServiceId": "vpce-svc-example1",
    "ServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example1",
    "ServiceState": "Available",
    "AvailabilityZones": [
      "us-east-1"
    ],
    "AcceptanceRequired": true,
    "ManagesVpcEndpoints": false,
    "NetworkLoadBalancerArns": [
      "arn:aws:elasticloadbalancing:us-east-1:444455556666:loadbalancer/net/my-network-load-balancer/example1"
    ],
    "GatewayLoadBalancerArns": [],
    "BaseEndpointDnsNames": [
      "vpce-svc-04eec859668b51c34.us-east-1.vpce.amazonaws.com"
    ],
    "PrivateDnsName": "my-private-dns"
}
```

## AwsEc2VpcPeeringConnection
<a name="asff-resourcedetails-awsec2vpcpeeringconnection"></a>

O `AwsEc2VpcPeeringConnection` objeto fornece detalhes sobre a conexão de rede entre dois VPCs.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEc2VpcPeeringConnection` objeto. Para ver as descrições dos `AwsEc2VpcPeeringConnection` atributos, consulte [AwsEc2 VpcPeeringConnectionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcPeeringConnectionDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsEc2VpcPeeringConnection": { 
	"AccepterVpcInfo": {
		"CidrBlock": "10.0.0.0/28",
		"CidrBlockSet": [{
			"CidrBlock": "10.0.0.0/28"
		}],
		"Ipv6CidrBlockSet": [{
			"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
		}],
		"OwnerId": "012345678910",
		"PeeringOptions": {
			"AllowDnsResolutionFromRemoteVpc": true,
			"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
			"AllowEgressFromLocalVpcToRemoteClassicLink": true
		},
		"Region": "us-west-2",
		"VpcId": "vpc-i123456"
	},
	"ExpirationTime": "2022-02-18T15:31:53.161Z",
	"RequesterVpcInfo": {
		"CidrBlock": "192.168.0.0/28",
		"CidrBlockSet": [{
			"CidrBlock": "192.168.0.0/28"
		}],
		"Ipv6CidrBlockSet": [{
			"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
		}],
		"OwnerId": "012345678910",
		"PeeringOptions": {
			"AllowDnsResolutionFromRemoteVpc": true,
			"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
			"AllowEgressFromLocalVpcToRemoteClassicLink": true
		},
		"Region": "us-west-2",
		"VpcId": "vpc-i123456"
	},
	"Status": {
		"Code": "initiating-request",
		"Message": "Active"
	},
	"VpcPeeringConnectionId": "pcx-1a2b3c4d"
}
```

# Recursos da AwsEcr no ASFF
<a name="asff-resourcedetails-awsecr"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsEcr` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsEcrContainerImage
<a name="asff-resourcedetails-awsecrcontainerimage"></a>

O objeto `AwsEcrContainerImage` fornece informações sobre uma imagem do Amazon ECR.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEcrContainerImage` objeto. Para ver as descrições dos atributos `AwsEcrContainerImage`, consulte [AwsEcrContainerImageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrContainerImageDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsEcrContainerImage": {
    "RegistryId": "123456789012",
    "RepositoryName": "repository-name",
    "Architecture": "amd64"
    "ImageDigest": "sha256:a568e5c7a953fbeaa2904ac83401f93e4a076972dc1bae527832f5349cd2fb10",
    "ImageTags": ["00000000-0000-0000-0000-000000000000"],
    "ImagePublishedAt": "2019-10-01T20:06:12Z"
}
```

## AwsEcrRepository
<a name="asff-resourcedetails-awsecrrepository"></a>

O objeto `AwsEcrRepository` fornece informações sobre um repositório do Amazon Elastic Container Registry.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEcrRepository` objeto. Para ver as descrições dos atributos `AwsEcrRepository`, consulte [AwsEcrRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrRepositoryDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsEcrRepository": {
    "LifecyclePolicy": {
        "RegistryId": "123456789012",
    },  
    "RepositoryName": "sample-repo",
    "Arn": "arn:aws:ecr:us-west-2:111122223333:repository/sample-repo",
    "ImageScanningConfiguration": {
        "ScanOnPush": true
    },
    "ImageTagMutability": "IMMUTABLE"
}
```

# Recursos da AwsEcs no ASFF
<a name="asff-resourcedetails-awsecs"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsEcs` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsEcsCluster
<a name="asff-resourcedetails-awsecscluster"></a>

O objeto `AwsEcsCluster` fornece detalhes sobre um cluster do Amazon Elastic Container Service.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEcsCluster` objeto. Para ver as descrições dos atributos `AwsEcsCluster`, consulte [AwsEcsClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsClusterDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
    "AwsEcsCluster": {
        "CapacityProviders": [],
        "ClusterSettings": [
            {
                "Name": "containerInsights",
                "Value": "enabled"
            }
        ],
        "Configuration": {
            "ExecuteCommandConfiguration": {
                "KmsKeyId": "kmsKeyId",
                "LogConfiguration": {
                    "CloudWatchEncryptionEnabled": true,
                    "CloudWatchLogGroupName": "cloudWatchLogGroupName",
                    "S3BucketName": "s3BucketName",
                    "S3EncryptionEnabled": true,
                    "S3KeyPrefix": "s3KeyPrefix"
                },
                "Logging": "DEFAULT"
            }
        }
        "DefaultCapacityProviderStrategy": [
            {
                "Base": 0,
                "CapacityProvider": "capacityProvider",
                "Weight": 1
            }
        ]
    }
```

## AwsEcsContainer
<a name="asff-resourcedetails-awsecscontainer"></a>

O objeto `AwsEcsContainer` contém detalhes sobre um contêiner do Amazon ECS.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEcsContainer` objeto. Para ver as descrições dos atributos `AwsEcsContainer`, consulte [AwsEcsContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsContainerDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsEcsContainer": {
    "Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
    "MountPoints": [{
        "ContainerPath": "/mnt/etc",
        "SourceVolume": "vol-03909e9"
    }],
    "Name": "knote",
    "Privileged": true 
}
```

## AwsEcsService
<a name="asff-resourcedetails-awsecsservice"></a>

O objeto `AwsEcsService` fornece detalhes sobre um serviço em um cluster do Amazon ECS.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEcsService` objeto. Para ver as descrições dos atributos `AwsEcsService`, consulte [AwsEcsServiceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsServiceDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsEcsService": {
    "CapacityProviderStrategy": [
        {
            "Base": 12,
            "CapacityProvider": "",
            "Weight": ""
        }
    ],
    "Cluster": "arn:aws:ecs:us-east-1:111122223333:cluster/example-ecs-cluster",
    "DeploymentConfiguration": {
        "DeploymentCircuitBreaker": {
            "Enable": false,
            "Rollback": false
        },
        "MaximumPercent": 200,
        "MinimumHealthyPercent": 100
    },
    "DeploymentController": "",
    "DesiredCount": 1,
    "EnableEcsManagedTags": false,
    "EnableExecuteCommand": false,
    "HealthCheckGracePeriodSeconds": 1,
    "LaunchType": "FARGATE",
    "LoadBalancers": [
        {
            "ContainerName": "",
            "ContainerPort": 23,
            "LoadBalancerName": "",
            "TargetGroupArn": ""
        }
    ],
    "Name": "sample-app-service",
    "NetworkConfiguration": {
        "AwsVpcConfiguration": {
            "Subnets": [
                "Subnet-example1",
                "Subnet-example2"
            ],
        "SecurityGroups": [
                "Sg-0ce48e9a6e5b457f5"
        ],
        "AssignPublicIp": "ENABLED"
        }
    },
    "PlacementConstraints": [
        {
            "Expression": "",
            "Type": ""
        }
    ],
    "PlacementStrategies": [
        {
            "Field": "",
            "Type": ""
        }
    ],
    "PlatformVersion": "LATEST",
    "PropagateTags": "",
    "Role": "arn:aws:iam::111122223333:role/aws-servicerole/ecs.amazonaws.com/ServiceRoleForECS",
    "SchedulingStrategy": "REPLICA",
    "ServiceName": "sample-app-service",
    "ServiceArn": "arn:aws:ecs:us-east-1:111122223333:service/example-ecs-cluster/sample-app-service",
    "ServiceRegistries": [
        {
            "ContainerName": "",
            "ContainerPort": 1212,
            "Port": 1221,
            "RegistryArn": ""
        }
    ],
    "TaskDefinition": "arn:aws:ecs:us-east-1:111122223333:task-definition/example-taskdef:1"
}
```

## AwsEcsTask
<a name="asff-resourcedetails-awsecstask"></a>

O objeto `AwsEcsTask` fornece detalhes sobre uma tarefa do Amazon EC2. 

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEcsTask` objeto. Para ver as descrições dos atributos `AwsEcsTask`, consulte [AwsEcsTask](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsEcsTask": {
	"ClusterArn": "arn:aws:ecs:us-west-2:123456789012:task/MyCluster/1234567890123456789",
	"CreatedAt": "1557134011644",
	"Group": "service:fargate-service",
	"StartedAt": "1557134011644",
	"StartedBy": "ecs-svc/1234567890123456789",
	"TaskDefinitionArn": "arn:aws:ecs:us-west-2:123456789012:task-definition/sample-fargate:2",
	"Version": 3,
	"Volumes": [{
		"Name": "string",
		"Host": {
			"SourcePath": "string"
		}
	}],
	"Containers": {
		"Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
		"MountPoints": [{
			"ContainerPath": "/mnt/etc",
			"SourceVolume": "vol-03909e9"
		}],
		"Name": "knote",
		"Privileged": true
	}
}
```

## AwsEcsTaskDefinition
<a name="asff-resourcedetails-awsecstaskdefinition"></a>

O objeto `AwsEcsTaskDefinition` contém detalhes sobre a definição de uma tarefa. Uma definição de tarefa descreve as definições de contêiner e volume de uma tarefa do Amazon Elastic Container Service.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEcsTaskDefinition` objeto. Para ver as descrições dos atributos `AwsEcsTaskDefinition`, consulte [AwsEcsTaskDefinitionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDefinitionDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
    "AwsEcsTaskDefinition": {
        "ContainerDefinitions": [
            {
                "Command": ['ruby', 'hi.rb'],
                "Cpu":128,
                "Essential": true,
                "HealthCheck": {
                    "Command": ["CMD-SHELL", "curl -f http://localhost/ || exit 1"],
                    "Interval": 10,
                    "Retries": 3,
                    "StartPeriod": 5,
                    "Timeout": 20
                },
                "Image": "tongueroo/sinatra:latest",
                "Interactive": true,
                "Links": [],
                "LogConfiguration": {
                    "LogDriver": "awslogs",
                    "Options": {
                        "awslogs-group": "/ecs/sinatra-hi",
                        "awslogs-region": "ap-southeast-1",
                        "awslogs-stream-prefix": "ecs"
                    },
                    "SecretOptions": []
                    
                },
                "MemoryReservation": 128,
                "Name": "web",
                "PortMappings": [
                    {
                        "ContainerPort": 4567,
                        "HostPort":4567,
                        "Protocol": "tcp"
                    }
                ],
                "Privileged": true,
                "StartTimeout": 10,
                "StopTimeout": 100,
            }
        ],
        "Family": "sinatra-hi",
        "NetworkMode": "host",
        "RequiresCompatibilities": ["EC2"],
        "Status": "ACTIVE",
        "TaskRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
    }
```

# Recursos da AwsEfs no ASFF
<a name="asff-resourcedetails-awsefs"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsEfs` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsEfsAccessPoint
<a name="asff-resourcedetails-awsefsaccesspoint"></a>

O objeto `AwsEfsAccessPoint` fornece detalhes sobre os arquivos armazenados no Amazon Elastic File System.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEfsAccessPoint` objeto. Para ver as descrições dos atributos `AwsEfsAccessPoint`, consulte [AwsEfsAccessPointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEfsAccessPointDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsEfsAccessPoint": { 
	"AccessPointId": "fsap-05c4c0e79ba0b118a",
	"Arn": "arn:aws:elasticfilesystem:us-east-1:863155670886:access-point/fsap-05c4c0e79ba0b118a",
	"ClientToken": "AccessPointCompliant-ASk06ZZSXsEp",
	"FileSystemId": "fs-0f8137f731cb32146",
	"PosixUser": {
		"Gid": "1000",
		"SecondaryGids": ["0", "4294967295"],
		"Uid": "1234"
	},
	"RootDirectory": {
		"CreationInfo": {
			"OwnerGid": "1000",
			"OwnerUid": "1234",
			"Permissions": "777"
		},
		"Path": "/tmp/example"
	}
}
```

# Recursos da AwsEks no ASFF
<a name="asff-resourcedetails-awseks"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsEks` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsEksCluster
<a name="asff-resourcedetails-awsekscluster"></a>

O objeto `AwsEksCluster` fornece detalhes sobre uma tabela do cluster do Amazon EKS.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEksCluster` objeto. Para ver as descrições dos atributos `AwsEksCluster`, consulte [AwsEksClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEksClusterDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
{
  "AwsEksCluster": {
    "Name": "example",
    "Arn": "arn:aws:eks:us-west-2:222222222222:cluster/example",
    "CreatedAt": 1565804921.901,
    "Version": "1.12",
    "RoleArn": "arn:aws:iam::222222222222:role/example-cluster-ServiceRole-1XWBQWYSFRE2Q",
    "ResourcesVpcConfig": {
      "EndpointPublicAccess": false,
      "SubnetIds": [
        "subnet-021345abcdef6789",
        "subnet-abcdef01234567890",
        "subnet-1234567890abcdef0"
      ],
      "SecurityGroupIds": [
        "sg-abcdef01234567890"
      ]
    },
    "Logging": {
      "ClusterLogging": [
        {
          "Types": [
            "api",
            "audit",
            "authenticator",
            "controllerManager",
            "scheduler"
          ],
          "Enabled": true
        }
      ]
    },
    "Status": "CREATING",
    "CertificateAuthorityData": {},
  }
}
```

# Recursos da AwsElasticBeanstalk no ASFF
<a name="asff-resourcedetails-awselasticbeanstalk"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsElasticBeanstalk` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsElasticBeanstalkEnvironment
<a name="asff-resourcedetails-awselasticbeanstalkenvironment"></a>

O objeto `AwsElasticBeanstalkEnvironment` contém detalhes sobre um ambiente AWS Elastic Beanstalk .

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsElasticBeanstalkEnvironment` objeto. Para ver as descrições dos atributos `AwsElasticBeanstalkEnvironment`, consulte [AwsElasticBeanstalkEnvironmentDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticBeanstalkEnvironmentDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsElasticBeanstalkEnvironment": {
    "ApplicationName": "MyApplication",
    "Cname": "myexampleapp-env.devo-2.elasticbeanstalk-internal.com",
    "DateCreated": "2021-04-30T01:38:01.090Z",
    "DateUpdated": "2021-04-30T01:38:01.090Z",
    "Description": "Example description of my awesome application",
    "EndpointUrl": "eb-dv-e-p-AWSEBLoa-abcdef01234567890-021345abcdef6789.us-east-1.elb.amazonaws.com",
    "EnvironmentArn": "arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/MyApplication/myapplication-env",
    "EnvironmentId": "e-abcd1234",
    "EnvironmentLinks": [
        {
            "EnvironmentName": "myexampleapp-env",
            "LinkName": "myapplicationLink"
        }
    ],
    "EnvironmentName": "myapplication-env",
    "OptionSettings": [
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "BatchSize",
            "Value": "100"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "Timeout",
            "Value": "600"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "BatchSizeType",
            "Value": "Percentage"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "IgnoreHealthCheck",
            "Value": "false"
        },
        {
            "Namespace": "aws:elasticbeanstalk:application",
            "OptionName": "Application Healthcheck URL",
            "Value": "TCP:80"
        }
    ],
    "PlatformArn": "arn:aws:elasticbeanstalk:us-east-1::platform/Tomcat 8 with Java 8 running on 64bit Amazon Linux/2.7.7",
    "SolutionStackName": "64bit Amazon Linux 2017.09 v2.7.7 running Tomcat 8 Java 8",
    "Status": "Ready",
    "Tier": {
        "Name": "WebServer"
       "Type": "Standard"
       "Version": "1.0"
    },
    "VersionLabel": "Sample Application"
}
```

# Recursos da AwsElasticSearch no ASFF
<a name="asff-resourcedetails-awselasticsearch"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsElasticSearch` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsElasticSearchDomain
<a name="asff-resourcedetails-awselasticsearchdomain"></a>

O `AwsElasticSearchDomain` objeto fornece detalhes sobre um domínio do Amazon OpenSearch Service.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsElasticSearchDomain` objeto. Para ver as descrições dos atributos `AwsElasticSearchDomain`, consulte [AwsElasticSearchDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticsearchDomainDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsElasticSearchDomain": {
    "AccessPolicies": "string",
    "DomainStatus": {
           "DomainId": "string",
           "DomainName": "string",
           "Endpoint": "string",
           "Endpoints": {
                  "string": "string"
           }
    },
    "DomainEndpointOptions": {
           "EnforceHTTPS": boolean,
           "TLSSecurityPolicy": "string"
    },
    "ElasticsearchClusterConfig": {
           "DedicatedMasterCount": number,
           "DedicatedMasterEnabled": boolean,
           "DedicatedMasterType": "string",
           "InstanceCount": number,
           "InstanceType": "string",
           "ZoneAwarenessConfig": {
                  "AvailabilityZoneCount": number
           },
           "ZoneAwarenessEnabled": boolean
    },
    "ElasticsearchVersion": "string",
    "EncryptionAtRestOptions": {
           "Enabled": boolean,
           "KmsKeyId": "string"
    },
    "LogPublishingOptions": {
           "AuditLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           },
           "IndexSlowLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           },
           "SearchSlowLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           }
    },
    "NodeToNodeEncryptionOptions": {
           "Enabled": boolean
    },
    "ServiceSoftwareOptions": {
           "AutomatedUpdateDate": "string",
           "Cancellable": boolean,
           "CurrentVersion": "string",
           "Description": "string",
           "NewVersion": "string",
           "UpdateAvailable": boolean,
           "UpdateStatus": "string"
    },
    "VPCOptions": {
           "AvailabilityZones": [
                 "string"
           ],
           "SecurityGroupIds": [
                 "string"
           ],
           "SubnetIds": [
                 "string"
           ],
          "VPCId": "string"
    }
}
```

# Recursos da AwsElb no ASFF
<a name="asff-resourcedetails-awselb"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsElb` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsElbLoadBalancer
<a name="asff-resourcedetails-awselbloadbalancer"></a>

O objeto `AwsElbLoadBalancer` contém detalhes sobre um Classic Load Balancer.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsElbLoadBalancer` objeto. Para ver as descrições dos atributos `AwsElbLoadBalancer`, consulte [AwsElbLoadBalancerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbLoadBalancerDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsElbLoadBalancer": {
    "AvailabilityZones": ["us-west-2a"],
    "BackendServerDescriptions": [
         {
            "InstancePort": 80,
            "PolicyNames": ["doc-example-policy"]
        }
    ],
    "CanonicalHostedZoneName": "Z3DZXE0EXAMPLE",
    "CanonicalHostedZoneNameID": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
    "CreatedTime": "2020-08-03T19:22:44.637Z",
    "DnsName": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
    "HealthCheck": {
        "HealthyThreshold": 2,
        "Interval": 30,
        "Target": "HTTP:80/png",
        "Timeout": 3,
        "UnhealthyThreshold": 2
    },
    "Instances": [
        {
            "InstanceId": "i-example"
        }
    ],
    "ListenerDescriptions": [
        {
            "Listener": {
                "InstancePort": 443,
                "InstanceProtocol": "HTTPS",
                "LoadBalancerPort": 443,
                "Protocol": "HTTPS",
                "SslCertificateId": "arn:aws:iam::444455556666:server-certificate/my-server-cert"
            },
            "PolicyNames": ["ELBSecurityPolicy-TLS-1-2-2017-01"]
        }
    ],
    "LoadBalancerAttributes": {
        "AccessLog": {
            "EmitInterval": 60,
            "Enabled": true,
            "S3BucketName": "amzn-s3-demo-bucket",
            "S3BucketPrefix": "doc-example-prefix"
        },
        "ConnectionDraining": {
            "Enabled": false,
            "Timeout": 300
        },
        "ConnectionSettings": {
            "IdleTimeout": 30
        },
        "CrossZoneLoadBalancing": {
            "Enabled": true
        },
        "AdditionalAttributes": [{
            "Key": "elb.http.desyncmitigationmode",
            "Value": "strictest"
        }]

    },
    "LoadBalancerName": "example-load-balancer",
    "Policies": {
        "AppCookieStickinessPolicies": [
            {
                "CookieName": "",
                "PolicyName": ""
            }
        ],
        "LbCookieStickinessPolicies": [
            {
                "CookieExpirationPeriod": 60,
                "PolicyName": "my-example-cookie-policy"
            }
        ],
        "OtherPolicies": [
            "my-PublicKey-policy",
            "my-authentication-policy",
            "my-SSLNegotiation-policy",
            "my-ProxyProtocol-policy",
            "ELBSecurityPolicy-2015-03"
        ]
    },
    "Scheme": "internet-facing",
    "SecurityGroups": ["sg-example"],
    "SourceSecurityGroup": {
        "GroupName": "my-elb-example-group",
        "OwnerAlias": "444455556666"
    },
    "Subnets": ["subnet-example"],
    "VpcId": "vpc-a01106c2"
}
```

## AwsElbv2LoadBalancer
<a name="asff-resourcedetails-awselbv2loadbalancer"></a>

O objeto `AwsElbv2LoadBalancer` fornece informações sobre um load balancer.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsElbv2LoadBalancer` objeto. Para ver as descrições dos `AwsElbv2LoadBalancer` atributos, consulte [AwsElbv2 LoadBalancerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbv2LoadBalancerDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsElbv2LoadBalancer": {
                        "AvailabilityZones": {
                            "SubnetId": "string",
                            "ZoneName": "string"
                        },
                        "CanonicalHostedZoneId": "string",
                        "CreatedTime": "string",
                        "DNSName": "string",
                        "IpAddressType": "string",
                        "LoadBalancerAttributes": [
                            {
                                "Key": "string",
                                "Value": "string"
                            }
                        ],
                        "Scheme": "string",
                        "SecurityGroups": [ "string" ],
                        "State": {
                            "Code": "string",
                            "Reason": "string"
                        },
                        "Type": "string",
                        "VpcId": "string"
                    }
```

# Recursos da AwsEventBridge no ASFF
<a name="asff-resourcedetails-awsevent"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsEventBridge` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsEventSchemasRegistry
<a name="asff-resourcedetails-awseventschemasregistry"></a>

O `AwsEventSchemasRegistry` objeto fornece informações sobre um registro do EventBridge esquema da Amazon. Um esquema define a estrutura dos eventos para os quais são enviados EventBridge. Registros de esquemas são contêineres que coletam e agrupam logicamente seus esquemas.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEventSchemasRegistry` objeto. Para ver as descrições dos atributos `AwsEventSchemasRegistry`, consulte [AwsEventSchemasRegistry](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventSchemasRegistryDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsEventSchemasRegistry": {
    "Description": "This is an example event schema registry.",
    "RegistryArn": "arn:aws:schemas:us-east-1:123456789012:registry/schema-registry",
    "RegistryName": "schema-registry"
}
```

## AwsEventsEndpoint
<a name="asff-resourcedetails-awseventsendpoint"></a>

O `AwsEventsEndpoint` objeto fornece informações sobre um endpoint EventBridge global da Amazon. O endpoint pode melhorar a disponibilidade da sua aplicação, tornando-a tolerante a falhas regionais.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEventsEndpoint` objeto. Para ver as descrições dos atributos `AwsEventsEndpoint`, consulte [AwsEventsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEndpointDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsEventsEndpoint": {
    "Arn": "arn:aws:events:us-east-1:123456789012:endpoint/my-endpoint",
    "Description": "This is a sample endpoint.",
    "EndpointId": "04k1exajoy.veo",
    "EndpointUrl": "https://04k1exajoy.veo.endpoint.events.amazonaws.com",
    "EventBuses": [
        {
            "EventBusArn": "arn:aws:events:us-east-1:123456789012:event-bus/default"
        },
        {
            "EventBusArn": "arn:aws:events:us-east-2:123456789012:event-bus/default"
        }
    ],
    "Name": "my-endpoint",
    "ReplicationConfig": {
        "State": "ENABLED"
    },
    "RoleArn": "arn:aws:iam::123456789012:role/service-role/Amazon_EventBridge_Invoke_Event_Bus_1258925394",
    "RoutingConfig": {
        "FailoverConfig": {
            "Primary": {
                "HealthCheck": "arn:aws:route53:::healthcheck/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            },
            "Secondary": {
                "Route": "us-east-2"
            }
        }
    },
    "State": "ACTIVE"
}
```

## AwsEventsEventbus
<a name="asff-resourcedetails-awseventseventbus"></a>

O `AwsEventsEventbus` objeto fornece informações sobre um endpoint EventBridge global da Amazon. O endpoint pode melhorar a disponibilidade da sua aplicação, tornando-a tolerante a falhas regionais.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsEventsEventbus` objeto. Para ver as descrições dos atributos `AwsEventsEventbus`, consulte [AwsEventsEventbusDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEventbusDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsEventsEventbus": 
    "Arn": "arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus",
    "Name": "my-event-bus",
    "Policy": "{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Sid\":\"AllowAllAccountsFromOrganizationToPutEvents\",\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"events:PutEvents\",\"Resource\":\"arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus\",\"Condition\":{\"StringEquals\":{\"aws:PrincipalOrgID\":\"o-ki7yjtkjv5\"}}},{\"Sid\":\"AllowAccountToManageRulesTheyCreated\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":[\"events:PutRule\",\"events:PutTargets\",\"events:DeleteRule\",\"events:RemoveTargets\",\"events:DisableRule\",\"events:EnableRule\",\"events:TagResource\",\"events:UntagResource\",\"events:DescribeRule\",\"events:ListTargetsByRule\",\"events:ListTagsForResource\"],\"Resource\":\"arn:aws:events:us-east-1:123456789012:rule/my-event-bus\",\"Condition\":{\"StringEqualsIfExists\":{\"events:creatorAccount\":\"123456789012\"}}}]}"
```

# Recursos da AwsGuardDuty no ASFF
<a name="asff-resourcedetails-awsguardduty"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsGuardDuty` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsGuardDutyDetector
<a name="asff-resourcedetails-awsguarddutydetector"></a>

O `AwsGuardDutyDetector` objeto fornece informações sobre um GuardDuty detector da Amazon. Um detector é um objeto que representa o GuardDuty serviço. É necessário um detector GuardDuty para se tornar operacional.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsGuardDutyDetector` objeto. Para ver as descrições dos atributos `AwsGuardDutyDetector`, consulte [AwsGuardDutyDetector](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsGuardDutyDetectorDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsGuardDutyDetector": {
    "FindingPublishingFrequency": "SIX_HOURS",
    "ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
    "Status": "ENABLED",
    "DataSources": {
        "CloudTrail": {
            "Status": "ENABLED"
        },
        "DnsLogs": {
            "Status": "ENABLED"
        },
        "FlowLogs": {
            "Status": "ENABLED"
        },
        "S3Logs": {
             "Status": "ENABLED"
         },
         "Kubernetes": {
             "AuditLogs": {
                "Status": "ENABLED"
             }
         },
         "MalwareProtection": {
             "ScanEc2InstanceWithFindings": {
                "EbsVolumes": {
                    "Status": "ENABLED"
                 }
             },
            "ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/malware-protection.guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDutyMalwareProtection"
         }
    }
}
```

# Recursos da AwsIam no ASFF
<a name="asff-resourcedetails-awsiam"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsIam` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsIamAccessKey
<a name="asff-resourcedetails-awsiamaccesskey"></a>

O objeto `AwsIamAccessKey` contém detalhes sobre uma chave de acesso do IAM relacionada a uma descoberta.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsIamAccessKey` objeto. Para ver as descrições dos atributos `AwsIamAccessKey`, consulte [AwsIamAccessKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamAccessKeyDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsIamAccessKey": { 
                        "AccessKeyId": "string",
                        "AccountId": "string",
                        "CreatedAt": "string",
                        "PrincipalId": "string",
                        "PrincipalName": "string",
                        "PrincipalType": "string",
                        "SessionContext": {
                            "Attributes": {
                                "CreationDate": "string",
                                "MfaAuthenticated": boolean
                            },
                            "SessionIssuer": {
                                "AccountId": "string",
                                "Arn": "string",
                                "PrincipalId": "string",
                                "Type": "string",
                                "UserName": "string"
                            }
                        },
                        "Status": "string"
                    }
```

## AwsIamGroup
<a name="asff-resourcedetails-awsiamgroup"></a>

O objeto `AwsIamGroup` contém detalhes sobre um grupo IAM.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsIamGroup` objeto. Para ver as descrições dos atributos `AwsIamGroup`, consulte [AwsIamGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamGroupDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsIamGroup": {
    "AttachedManagedPolicies": [
        {
            "PolicyArn": "arn:aws:iam::aws:policy/ExampleManagedAccess",
            "PolicyName": "ExampleManagedAccess",
        }
    ],
    "CreateDate": "2020-04-28T14:08:37.000Z",
    "GroupId": "AGPA4TPS3VLP7QEXAMPLE",
    "GroupName": "Example_User_Group",
    "GroupPolicyList": [
        {
            "PolicyName": "ExampleGroupPolicy"
        }
    ],
    "Path": "/"
}
```

## AwsIamPolicy
<a name="asff-resourcedetails-awsiampolicy"></a>

O objeto `AwsIamPolicy` representa uma política de permissões do IAM.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsIamPolicy` objeto. Para ver as descrições dos atributos `AwsIamPolicy`, consulte [AwsIamPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamPolicyDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsIamPolicy": {
    "AttachmentCount": 1,
    "CreateDate": "2017-09-14T08:17:29.000Z",
    "DefaultVersionId": "v1",
    "Description": "Example IAM policy",
    "IsAttachable": true,
    "Path": "/",
    "PermissionsBoundaryUsageCount": 5,
    "PolicyId": "ANPAJ2UCCR6DPCEXAMPLE",
    "PolicyName": "EXAMPLE-MANAGED-POLICY",
    "PolicyVersionList": [
        {
            "VersionId": "v1",
            "IsDefaultVersion": true,
            "CreateDate": "2017-09-14T08:17:29.000Z"
        }
    ],
    "UpdateDate": "2017-09-14T08:17:29.000Z"
}
```

## AwsIamRole
<a name="asff-resourcedetails-awsiamrole"></a>

O objeto `AwsIamRole` contém informações sobre um perfil do IAM, incluindo todas as políticas do perfil.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsIamRole` objeto. Para ver as descrições dos atributos `AwsIamRole`, consulte [AwsIamRoleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamRoleDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsIamRole": {
    "AssumeRolePolicyDocument": "{'Version': '2012-10-17',		 	 	 'Statement': [{'Effect': 'Allow','Action': 'sts:AssumeRole'}]}",
    "AttachedManagedPolicies": [
        {
            "PolicyArn": "arn:aws:iam::aws:policy/ExamplePolicy1",
            "PolicyName": "Example policy 1"
        },
        {
            "PolicyArn": "arn:aws:iam::444455556666:policy/ExamplePolicy2",
            "PolicyName": "Example policy 2"
        }
        ],
        "CreateDate": "2020-03-14T07:19:14.000Z",
        "InstanceProfileList": [
            {
                "Arn": "arn:aws:iam::333333333333:ExampleProfile",
                "CreateDate": "2020-03-11T00:02:27Z",
                "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
                "InstanceProfileName": "ExampleInstanceProfile",
                "Path": "/",
                "Roles": [
                    {
                       "Arn": "arn:aws:iam::444455556666:role/example-role",
                        "AssumeRolePolicyDocument": "",
                        "CreateDate": "2020-03-11T00:02:27Z",
                        "Path": "/",
                        "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                        "RoleName": "example-role",
                    }
                ]
            }
        ],
        "MaxSessionDuration": 3600,
        "Path": "/",
        "PermissionsBoundary": {
            "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "PermissionsBoundaryType": "PermissionsBoundaryPolicy"
        },
        "RoleId": "AROA4TPS3VLEXAMPLE",
        "RoleName": "BONESBootstrapHydra-OverbridgeOpsFunctionsLambda",
        "RolePolicyList": [
            {
                "PolicyName": "Example role policy"
            }
        ]
    }
```

## AwsIamUser
<a name="asff-resourcedetails-awsiamuser"></a>

O objeto `AwsIamUser` fornece informações sobre um usuário.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsIamUser` objeto. Para ver as descrições dos atributos `AwsIamUser`, consulte [AwsIamUserDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamUserDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsIamUser": {
    "AttachedManagedPolicies": [
        {
            "PolicyName": "ExamplePolicy",
            "PolicyArn": "arn:aws:iam::aws:policy/ExampleAccess"
        }
    ],
    "CreateDate": "2018-01-26T23:50:05.000Z",
    "GroupList": [],
    "Path": "/",
    "PermissionsBoundary" : {
        "PermissionsBoundaryArn" : "arn:aws:iam::aws:policy/AdministratorAccess",
        "PermissionsBoundaryType" : "PermissionsBoundaryPolicy"
    },
    "UserId": "AIDACKCEVSQ6C2EXAMPLE",
    "UserName": "ExampleUser",
    "UserPolicyList": [
        {
            "PolicyName": "InstancePolicy"
        }
    ]
}
```

# Recursos da AwsKinesis no ASFF
<a name="asff-resourcedetails-awskinesis"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsKinesis` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsKinesisStream
<a name="asff-resourcedetails-awskinesisstream"></a>

O objeto `AwsKinesisStream` fornece detalhes sobre o Amazon Kinesis Data Streams.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsKinesisStream` objeto. Para ver as descrições dos atributos `AwsKinesisStream`, consulte [AwsKinesisStreamDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKinesisStreamDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsKinesisStream": { 
	"Name": "test-vir-kinesis-stream",
	"Arn": "arn:aws:kinesis:us-east-1:293279581038:stream/test-vir-kinesis-stream",
	"RetentionPeriodHours": 24,
	"ShardCount": 2,
	"StreamEncryption": {
		"EncryptionType": "KMS",
		"KeyId": "arn:aws:kms:us-east-1:293279581038:key/849cf029-4143-4c59-91f8-ea76007247eb"
	}
}
```

# Recursos da AwsKms no ASFF
<a name="asff-resourcedetails-awskms"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsKms` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsKmsKey
<a name="asff-resourcedetails-awskmskey"></a>

O `AwsKmsKey` objeto fornece detalhes sobre um AWS KMS key.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsKmsKey` objeto. Para ver as descrições dos atributos `AwsKmsKey`, consulte [AwsKmsKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKmsKeyDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsKmsKey": {
                        "AWSAccountId": "string",
                        "CreationDate": "string",
                        "Description": "string",
                        "KeyId": "string",
                        "KeyManager": "string",
                        "KeyRotationStatus": boolean,
                        "KeyState": "string",
                        "Origin": "string"
                    }
```

# AwsLambda
<a name="asff-resourcedetails-awslambda"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsLambda` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsLambdaFunction
<a name="asff-resourcedetails-awslambdafunction"></a>

O objeto `AwsLambdaFunction` fornece detalhes sobre a configuração de uma função do Lambda.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsLambdaFunction` objeto. Para ver as descrições dos atributos `AwsLambdaFunction`, consulte [AwsLambdaFunctionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaFunctionDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsLambdaFunction": {
    "Architectures": [
        "x86_64"
    ],
    "Code": {
        "S3Bucket": "amzn-s3-demo-bucket",
        "S3Key": "samplekey",
        "S3ObjectVersion": "2",
        "ZipFile": "myzip.zip"
    },
    "CodeSha256": "1111111111111abcdef",
    "DeadLetterConfig": {
        "TargetArn": "arn:aws:lambda:us-east-2:123456789012:queue:myqueue:2"
    },
    "Environment": {
        "Variables": {
            "Stage": "foobar"
         },
        "Error": {
            "ErrorCode": "Sample-error-code",
            "Message": "Caller principal is a manager."
         }
     },
    "FunctionName": "CheckOut",
    "Handler": "main.py:lambda_handler",
    "KmsKeyArn": "arn:aws:kms:us-west-2:123456789012:key/mykey",
    "LastModified": "2001-09-11T09:00:00Z",
    "Layers": {
        "Arn": "arn:aws:lambda:us-east-2:123456789012:layer:my-layer:3",
        "CodeSize": 169
    },
    "PackageType": "Zip",
    "RevisionId": "23",
    "Role": "arn:aws:iam::123456789012:role/Accounting-Role",
    "Runtime": "go1.7",
    "Timeout": 15,
    "TracingConfig": {
        "Mode": "Active"
    },
    "Version": "$LATEST$",
    "VpcConfig": {
        "SecurityGroupIds": ["sg-085912345678492fb", "sg-08591234567bdgdc"],
         "SubnetIds": ["subnet-071f712345678e7c8", "subnet-07fd123456788a036"]
    },
    "MasterArn": "arn:aws:lambda:us-east-2:123456789012:\$LATEST",
    "MemorySize": 2048
}
```

## AwsLambdaLayerVersion
<a name="asff-resourcedetails-awslambdalayerversion"></a>

O objeto `AwsLambdaLayerVersion` fornece detalhes sobre uma versão da camada do Lambda.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsLambdaLayerVersion` objeto. Para ver as descrições dos atributos `AwsLambdaLayerVersion`, consulte [AwsLambdaLayerVersionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaLayerVersionDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsLambdaLayerVersion": {
    "Version": 2,
    "CompatibleRuntimes": [
        "java8"
    ],
    "CreatedDate": "2019-10-09T22:02:00.274+0000"
}
```

# Recursos da AwsMsk no ASFF
<a name="asff-resourcedetails-awsmsk"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsMsk` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsMskCluster
<a name="asff-resourcedetails-awsmskcluster"></a>

O objeto `AwsMskCluster` fornece informações sobre um cluster do Amazon Managed Streaming for Apache Kafka (Amazon MSK).

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsMskCluster` objeto. Para ver as descrições dos atributos `AwsMskCluster`, consulte [AwsMskClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsMskClusterDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsMskCluster": {
        "ClusterInfo": {
            "ClientAuthentication": {
                "Sasl": {
                    "Scram": {
                        "Enabled": true
                    },
                    "Iam": {
                        "Enabled": true
                    }
                },
                "Tls": {
                    "CertificateAuthorityArnList": [],
                    "Enabled": false
                },
                "Unauthenticated": {
                    "Enabled": false
                }
            },
            "ClusterName": "my-cluster",
            "CurrentVersion": "K2PWKAKR8XB7XF",
            "EncryptionInfo": {
                "EncryptionAtRest": {
                    "DataVolumeKMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                },
                "EncryptionInTransit": {
                    "ClientBroker": "TLS",
                    "InCluster": true
                }
            },
            "EnhancedMonitoring": "PER_TOPIC_PER_BROKER",
            "NumberOfBrokerNodes": 3
        }
}
```

# Recursos da AwsNetworkFirewall no ASFF
<a name="asff-resourcedetails-awsnetworkfirewall"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsNetworkFirewall` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsNetworkFirewallFirewall
<a name="asff-resourcedetails-awsnetworkfirewallfirewall"></a>

O objeto `AwsNetworkFirewallFirewall` contém detalhes sobre um firewall do AWS Network Firewall .

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsNetworkFirewallFirewall` objeto. Para ver as descrições dos atributos `AwsNetworkFirewallFirewall`, consulte [AwsNetworkFirewallFirewallDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsNetworkFirewallFirewall": {
    "DeleteProtection": false,
    "FirewallArn": "arn:aws:network-firewall:us-east-1:024665936331:firewall/testfirewall", 
    "FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
    "FirewallId": "dea7d8e9-ae38-4a8a-b022-672a830a99fa",
    "FirewallName": "testfirewall",
    "FirewallPolicyChangeProtection": false,
    "SubnetChangeProtection": false,
    "SubnetMappings": [
        {
            "SubnetId": "subnet-0183481095e588cdc"
        },
        {
            "SubnetId": "subnet-01f518fad1b1c90b0"
        }
    ],
    "VpcId": "vpc-40e83c38"
}
```

## AwsNetworkFirewallFirewallPolicy
<a name="asff-resourcedetails-awsnetworkfirewallfirewallpolicy"></a>

O objeto `AwsNetworkFirewallFirewallPolicy` fornece detalhes sobre uma política de firewall. Uma política de firewall define o comportamento de um firewall de rede.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsNetworkFirewallFirewallPolicy` objeto. Para ver as descrições dos atributos `AwsNetworkFirewallFirewallPolicy`, consulte [AwsNetworkFirewallFirewallPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallPolicyDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsNetworkFirewallFirewallPolicy": {
   "FirewallPolicy": {  
    "StatefulRuleGroupReferences": [
        {
            "ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/PatchesOnly"
        }
    ],
    "StatelessDefaultActions": [ "aws:forward_to_sfe" ],
    "StatelessFragmentDefaultActions": [ "aws:forward_to_sfe" ],
    "StatelessRuleGroupReferences": [
       {
          "Priority": 1,
          "ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1"
       }
     ]
   },
   "FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
   "FirewallPolicyId": "9ceeda22-6050-4048-a0ca-50ce47f0cc65",
   "FirewallPolicyName": "InitialFirewall",
   "Description": "Initial firewall"
}
```

## AwsNetworkFirewallRuleGroup
<a name="asff-resourcedetails-awsnetworkfirewallrulegroup"></a>

O objeto `AwsNetworkFirewallRuleGroup` fornece detalhes sobre um grupo de regras do AWS Network Firewall . Os grupos de regras são usados para inspecionar e controlar o tráfego de rede. Os grupos de regras sem estado se aplicam a pacotes individuais. Os grupos de regras com estado se aplicam a pacotes no contexto do fluxo de tráfego.

Os grupos de regras são referenciados nas políticas de firewall.

Os exemplos a seguir mostram o AWS Security Finding Format (ASFF) do `AwsNetworkFirewallRuleGroup` objeto. Para ver as descrições dos atributos `AwsNetworkFirewallRuleGroup`, consulte [AwsNetworkFirewallRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallRuleGroupDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo: grupo de regras sem estado**

```
"AwsNetworkFirewallRuleGroup": {
    "Capacity": 600,
    "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1",
    "RuleGroupId": "fb13c4df-b6da-4c1e-91ec-84b7a5487493",
    "RuleGroupName": "Stateless-1"
    "Description": "Example of a stateless rule group",
    "Type": "STATELESS",
    "RuleGroup": {
        "RulesSource": {
            "StatelessRulesAndCustomActions": {
                "CustomActions": [],
                "StatelessRules": [
                    {
                        "Priority": 1,
                        "RuleDefinition": {
                            "Actions": [
                                "aws:pass"
                            ],
                            "MatchAttributes": {
                                "DestinationPorts": [
                                    {
                                        "FromPort": 443,
                                        "ToPort": 443
                                    }
                                ],
                                "Destinations": [
                                    {
                                        "AddressDefinition": "192.0.2.0/24"
                                    }
                                ],
                                "Protocols": [
                                            6
                                ],
                                "SourcePorts": [
                                    {
                                        "FromPort": 0,
                                        "ToPort": 65535
                                    }
                                ],
                                "Sources": [
                                    {
                                         "AddressDefinition": "198.51.100.0/24"
                                    }
                                ]
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Exemplo: grupo de regras com estado**

```
"AwsNetworkFirewallRuleGroup": {
    "Capacity": 100,
    "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/tupletest",
    "RuleGroupId": "38b71c12-da80-4643-a6c5-03337f8933e0",
    "RuleGroupName": "ExampleRuleGroup",
    "Description": "Example of a stateful rule group",
    "Type": "STATEFUL",
    "RuleGroup": {
        "RuleSource": {
             "StatefulRules": [
                 {
                     "Action": "PASS",
                     "Header": {
                         "Destination": "Any",
                         "DestinationPort": "443",
                         "Direction": "ANY",
                         "Protocol": "TCP",
                         "Source": "Any",
                         "SourcePort": "Any"
                     },
                     "RuleOptions": [
                         {
                            "Keyword": "sid:1"
                         }
                     ]      
                 }
             ]
         }
    }
}
```

Veja a seguir uma lista de exemplos de valores válidos para atributos `AwsNetworkFirewallRuleGroup`:
+ `Action`

  Valores válidos: `PASS` \$1 `DROP` \$1 `ALERT`
+ `Protocol`

  Valores válidos: `IP` \$1 `TCP` \$1 `UDP` \$1 `ICMP` \$1 `HTTP` \$1 `FTP` \$1 `TLS` \$1 `SMB` \$1 `DNS` \$1 `DCERPC` \$1 `SSH` \$1 `SMTP` \$1 `IMAP` \$1 `MSN` \$1 `KRB5` \$1 `IKEV2` \$1 `TFTP` \$1 `NTP` \$1 `DHCP`
+ `Flags`

  Valores válidos: `FIN` \$1 `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`
+ `Masks`

  Valores válidos: `FIN` \$1 `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`

# Recursos da AwsOpenSearchService no ASFF
<a name="asff-resourcedetails-awsopensearchservice"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsOpenSearchService` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsOpenSearchServiceDomain
<a name="asff-resourcedetails-awsopensearchservicedomain"></a>

O `AwsOpenSearchServiceDomain` objeto contém informações sobre um domínio do Amazon OpenSearch Service.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsOpenSearchServiceDomain` objeto. Para ver as descrições dos atributos `AwsOpenSearchServiceDomain`, consulte [AwsOpenSearchServiceDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsOpenSearchServiceDomainDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsOpenSearchServiceDomain": {
    "AccessPolicies": "IAM_Id",
    "AdvancedSecurityOptions": {
        "Enabled": true,
        "InternalUserDatabaseEnabled": true,
        "MasterUserOptions": {
            "MasterUserArn": "arn:aws:iam::123456789012:user/third-master-use",
            "MasterUserName": "third-master-use",
            "MasterUserPassword": "some-password"
        }
    },
    "Arn": "arn:aws:Opensearch:us-east-1:111122223333:somedomain",
    "ClusterConfig": {
        "InstanceType": "c5.large.search",
        "InstanceCount": 1,
        "DedicatedMasterEnabled": true,
        "ZoneAwarenessEnabled": false,
        "ZoneAwarenessConfig": {
            "AvailabilityZoneCount": 2
        },
        "DedicatedMasterType": "c5.large.search",
        "DedicatedMasterCount": 3,
        "WarmEnabled": true,
        "WarmCount": 3,
        "WarmType": "ultrawarm1.large.search"
    },
    "DomainEndpoint": "https://es-2021-06-23t17-04-qowmgghud5vofgb5e4wmi.eu-central-1.es.amazonaws.com",
    "DomainEndpointOptions": {
        "EnforceHTTPS": false,
        "TLSSecurityPolicy": "Policy-Min-TLS-1-0-2019-07",
        "CustomEndpointCertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/bda1bff1-79c0-49d0-abe6-50a15a7477d4",
        "CustomEndpointEnabled": true,
        "CustomEndpoint": "example.com"
    },
    "DomainEndpoints": {
        "vpc": "vpc-endpoint-h2dsd34efgyghrtguk5gt6j2foh4.us-east-1.es.amazonaws.com"
    },
    "DomainName": "my-domain",
    "EncryptionAtRestOptions": {
        "Enabled": false,
        "KmsKeyId": "1a2a3a4-1a2a-3a4a-5a6a-1a2a3a4a5a6a"
    },
    "EngineVersion": "7.1",
    "Id": "123456789012",
    "LogPublishingOptions": {
        "IndexSlowLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-index-slow-logs",
            "Enabled": true
        },
        "SearchSlowLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
            "Enabled": true
        },
        "AuditLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
            "Enabled": true
        }
    },
    "NodeToNodeEncryptionOptions": {
        "Enabled": true
    },
    "ServiceSoftwareOptions": {
        "AutomatedUpdateDate": "2022-04-28T14:08:37.000Z",
        "Cancellable": false,
        "CurrentVersion": "R20210331",
        "Description": "There is no software update available for this domain.",
        "NewVersion": "OpenSearch_1.0",
        "UpdateAvailable": false,
        "UpdateStatus": "COMPLETED",
        "OptionalDeployment": false
    },
    "VpcOptions": {
        "SecurityGroupIds": [
            "sg-2a3a4a5a"
        ],
        "SubnetIds": [
            "subnet-1a2a3a4a"
        ],
    }
}
```

# Recursos da AwsRds no ASFF
<a name="asff-resourcedetails-awsrds"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsRds` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsRdsDbCluster
<a name="asff-resourcedetails-awsrdsdbcluster"></a>

O objeto `AwsRdsDbCluster` fornece detalhes sobre um cluster de banco de dados do Amazon RDS.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsRdsDbCluster` objeto. Para ver as descrições dos atributos `AwsRdsDbCluster`, consulte [AwsRdsDbClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsRdsDbCluster": {
    "ActivityStreamStatus": "stopped",
    "AllocatedStorage": 1,
    "AssociatedRoles": [
        {
        "RoleArn": "arn:aws:iam::777788889999:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
        "Status": "PENDING"
        }
    ],
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZones": [
        "us-east-1a",
        "us-east-1c",
        "us-east-1e"
    ],
    "BackupRetentionPeriod": 1,
    "ClusterCreateTime": "2020-06-22T17:40:12.322Z",
    "CopyTagsToSnapshot": true,
    "CrossAccountClone": false,
    "CustomEndpoints": [],
    "DatabaseName": "Sample name",
    "DbClusterIdentifier": "database-3",
    "DbClusterMembers": [
        {
        "DbClusterParameterGroupStatus": "in-sync",
        "DbInstanceIdentifier": "database-3-instance-1",
        "IsClusterWriter": true,
        "PromotionTier": 1,
        }
    ],
    "DbClusterOptionGroupMemberships": [],
    "DbClusterParameterGroup": "cluster-parameter-group",
    "DbClusterResourceId": "cluster-example",
    "DbSubnetGroup": "subnet-group",
    "DeletionProtection": false,
    "DomainMemberships": [],
    "Status": "modifying",
    "EnabledCloudwatchLogsExports": [
        "audit",
        "error",
        "general",
        "slowquery"
    ],
    "Endpoint": "database-3.cluster-example.us-east-1.rds.amazonaws.com",
    "Engine": "aurora-mysql",
    "EngineMode": "provisioned",
    "EngineVersion": "5.7.mysql_aurora.2.03.4",
    "HostedZoneId": "ZONE1",
    "HttpEndpointEnabled": false,
    "IamDatabaseAuthenticationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
    "MasterUsername": "admin",
    "MultiAz": false,
    "Port": 3306,
    "PreferredBackupWindow": "04:52-05:22",
    "PreferredMaintenanceWindow": "sun:09:32-sun:10:02",
    "ReaderEndpoint": "database-3.cluster-ro-example.us-east-1.rds.amazonaws.com",
    "ReadReplicaIdentifiers": [],
    "Status": "Modifying",
    "StorageEncrypted": true,
    "VpcSecurityGroups": [
        {
            "Status": "active",
            "VpcSecurityGroupId": "sg-example-1"
        }
    ],
}
```

## AwsRdsDbClusterSnapshot
<a name="asff-resourcedetails-awsrdsdbclustersnapshot"></a>

O objeto `AwsRdsDbClusterSnapshot` contém informações sobre um snapshot de cluster de banco de dados do Amazon RDS.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsRdsDbClusterSnapshot` objeto. Para ver as descrições dos atributos `AwsRdsDbClusterSnapshot`, consulte [AwsRdsDbClusterSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterSnapshotDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsRdsDbClusterSnapshot": {
    "AllocatedStorage": 0,
    "AvailabilityZones": [
        "us-east-1a",
        "us-east-1d",
        "us-east-1e"
    ],
    "ClusterCreateTime": "2020-06-12T13:23:15.577Z",
    "DbClusterIdentifier": "database-2",
    "DbClusterSnapshotAttributes": [{
        "AttributeName": "restore",
        "AttributeValues": ["123456789012"]
    }],
    "DbClusterSnapshotIdentifier": "rds:database-2-2020-06-23-03-52",
    "Engine": "aurora",
    "EngineVersion": "5.6.10a",
    "IamDatabaseAuthenticationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
    "LicenseModel": "aurora",
    "MasterUsername": "admin",
    "PercentProgress": 100,
    "Port": 0,
    "SnapshotCreateTime": "2020-06-22T17:40:12.322Z",
    "SnapshotType": "automated",
    "Status": "available",
    "StorageEncrypted": true,
    "VpcId": "vpc-faf7e380"
}
```

## AwsRdsDbInstance
<a name="asff-resourcedetails-awsrdsdbinstance"></a>

O objeto `AwsRdsDbInstance` fornece detalhes sobre uma instância de banco de dados do Amazon RDS.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsRdsDbInstance` objeto. Para ver as descrições dos atributos `AwsRdsDbInstance`, consulte [AwsRdsDbInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbInstanceDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsRdsDbInstance": {
    "AllocatedStorage": 20,
    "AssociatedRoles": [],
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZone": "us-east-1d",
    "BackupRetentionPeriod": 7,
    "CaCertificateIdentifier": "certificate1",
    "CharacterSetName": "",
    "CopyTagsToSnapshot": true,
    "DbClusterIdentifier": "",
    "DbInstanceArn": "arn:aws:rds:us-east-1:111122223333:db:database-1",
    "DbInstanceClass": "db.t2.micro",
    "DbInstanceIdentifier": "database-1",
    "DbInstancePort": 0,
    "DbInstanceStatus": "available",
    "DbiResourceId": "db-EXAMPLE123",
    "DbName": "",
    "DbParameterGroups": [
        {
            "DbParameterGroupName": "default.mysql5.7",
            "ParameterApplyStatus": "in-sync"
        }
    ],
    "DbSecurityGroups": [],                                                                                                                                                                                                 
    "DbSubnetGroup": {
        "DbSubnetGroupName": "my-group-123abc",
        "DbSubnetGroupDescription": "My subnet group",
        "VpcId": "vpc-example1",
        "SubnetGroupStatus": "Complete",
        "Subnets": [
            {
                "SubnetIdentifier": "subnet-123abc",
                "SubnetAvailabilityZone": {
                    "Name": "us-east-1d"
                },
                "SubnetStatus": "Active"
            },
            {
                "SubnetIdentifier": "subnet-456def",
                "SubnetAvailabilityZone": {
                    "Name": "us-east-1c"
                },
                "SubnetStatus": "Active"
            }
      ],
        "DbSubnetGroupArn": ""
    },
    "DeletionProtection": false,
    "DomainMemberships": [],
    "EnabledCloudWatchLogsExports": [],
    "Endpoint": {
        "address": "database-1.example.us-east-1.rds.amazonaws.com",
        "port": 3306,
        "hostedZoneId": "ZONEID1"
    },
    "Engine": "mysql",
    "EngineVersion": "5.7.22",
    "EnhancedMonitoringResourceArn": "arn:aws:logs:us-east-1:111122223333:log-group:Example:log-stream:db-EXAMPLE1",
    "IamDatabaseAuthenticationEnabled": false,
    "InstanceCreateTime": "2020-06-22T17:40:12.322Z",
    "Iops": "",
    "KmsKeyId": "",
    "LatestRestorableTime": "2020-06-24T05:50:00.000Z",
    "LicenseModel": "general-public-license",
    "ListenerEndpoint": "",
    "MasterUsername": "admin",
    "MaxAllocatedStorage": 1000,
    "MonitoringInterval": 60,
    "MonitoringRoleArn": "arn:aws:iam::111122223333:role/rds-monitoring-role",
    "MultiAz": false,
    "OptionGroupMemberships": [
        {
            "OptionGroupName": "default:mysql-5-7",
            "Status": "in-sync"
        }
    ],
    "PreferredBackupWindow": "03:57-04:27",
    "PreferredMaintenanceWindow": "thu:10:13-thu:10:43",
    "PendingModifiedValues": {
        "DbInstanceClass": "",
        "AllocatedStorage": "",
        "MasterUserPassword": "",
        "Port": "",
        "BackupRetentionPeriod": "",
        "MultiAZ": "",
        "EngineVersion": "",
        "LicenseModel": "",
        "Iops": "",
        "DbInstanceIdentifier": "",
        "StorageType": "",
        "CaCertificateIdentifier": "",
        "DbSubnetGroupName": "",
        "PendingCloudWatchLogsExports": "",
        "ProcessorFeatures": []
    },
    "PerformanceInsightsEnabled": false,
    "PerformanceInsightsKmsKeyId": "",
    "PerformanceInsightsRetentionPeriod": "",
    "ProcessorFeatures": [],
    "PromotionTier": "",
    "PubliclyAccessible": false,
    "ReadReplicaDBClusterIdentifiers": [],
    "ReadReplicaDBInstanceIdentifiers": [],
    "ReadReplicaSourceDBInstanceIdentifier": "",
    "SecondaryAvailabilityZone": "",
    "StatusInfos": [],
    "StorageEncrypted": false,
    "StorageType": "gp2",
    "TdeCredentialArn": "",
    "Timezone": "",
    "VpcSecurityGroups": [
        {
            "VpcSecurityGroupId": "sg-example1",
            "Status": "active"
        }
    ]
}
```

## AwsRdsDbSecurityGroup
<a name="asff-resourcedetails-awsrdsdbsecuritygroup"></a>

Um objeto `AwsRdsDbSecurityGroup` contém informações sobre o Amazon Relational Database Service

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsRdsDbSecurityGroup` objeto. Para ver as descrições dos atributos `AwsRdsDbSecurityGroup`, consulte [AwsRdsDbSecurityGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSecurityGroupDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsRdsDbSecurityGroup": {
    "DbSecurityGroupArn": "arn:aws:rds:us-west-1:111122223333:secgrp:default",
    "DbSecurityGroupDescription": "default",
    "DbSecurityGroupName": "mysecgroup",
    "Ec2SecurityGroups": [
        {
          "Ec2SecurityGroupuId": "myec2group",
          "Ec2SecurityGroupName": "default",
          "Ec2SecurityGroupOwnerId": "987654321021",
          "Status": "authorizing"
        }
    ],
    "IpRanges": [
        {
          "Cidrip": "0.0.0.0/0",
          "Status": "authorizing"
        }
    ],
    "OwnerId": "123456789012",
    "VpcId": "vpc-1234567f"
}
```

## AwsRdsDbSnapshot
<a name="asff-resourcedetails-awsrdsdbsnapshot"></a>

O objeto `AwsRdsDbSnapshot` contém detalhes sobre um snapshot de cluster de banco de dados do Amazon RDS.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsRdsDbSnapshot` objeto. Para ver as descrições dos atributos `AwsRdsDbSnapshot`, consulte [AwsRdsDbSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSnapshotDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsRdsDbSnapshot": {
    "DbSnapshotIdentifier": "rds:database-1-2020-06-22-17-41",
    "DbInstanceIdentifier": "database-1",
    "SnapshotCreateTime": "2020-06-22T17:41:29.967Z",
    "Engine": "mysql",
    "AllocatedStorage": 20,
    "Status": "available",
    "Port": 3306,
    "AvailabilityZone": "us-east-1d",
    "VpcId": "vpc-example1",
    "InstanceCreateTime": "2020-06-22T17:40:12.322Z",
    "MasterUsername": "admin",
    "EngineVersion": "5.7.22",
    "LicenseModel": "general-public-license",
    "SnapshotType": "automated",
    "Iops": null,
    "OptionGroupName": "default:mysql-5-7",
    "PercentProgress": 100,
    "SourceRegion": null,
    "SourceDbSnapshotIdentifier": "",
    "StorageType": "gp2",
    "TdeCredentialArn": "",
    "Encrypted": false,
    "KmsKeyId": "",
    "Timezone": "",
    "IamDatabaseAuthenticationEnabled": false,
    "ProcessorFeatures": [],
    "DbiResourceId": "db-resourceexample1"
}
```

## AwsRdsEventSubscription
<a name="asff-resourcedetails-awsrdseventsubscription"></a>

O `AwsRdsEventSubscription` contém detalhes sobre uma assinatura de notificação de evento do RDS. A assinatura permite que o RDS publique eventos em um tópico do SNS.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsRdsEventSubscription` objeto. Para ver as descrições dos atributos `AwsRdsEventSubscription`, consulte [AwsRdsEventSubscriptionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsEventSubscriptionDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsRdsEventSubscription": {
    "CustSubscriptionId": "myawsuser-secgrp",
    "CustomerAwsId": "111111111111",
    "Enabled": true,
    "EventCategoriesList": [
        "configuration change",
        "failure"
    ],
    "EventSubscriptionArn": "arn:aws:rds:us-east-1:111111111111:es:my-instance-events",
    "SnsTopicArn": "arn:aws:sns:us-east-1:111111111111:myawsuser-RDS",
    "SourceIdsList": [
        "si-sample",
        "mysqldb-rr"
    ],
    "SourceType": "db-security-group",
    "Status": "creating",
    "SubscriptionCreationTime": "2021-06-27T01:38:01.090Z"
}
```

# Recursos da AwsRedshift no ASFF
<a name="asff-resourcedetails-awsredshift"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsRedshift` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsRedshiftCluster
<a name="asff-resourcedetails-awsredshiftcluster"></a>

O objeto `AwsRedshiftCluster` contém detalhes sobre um cluster do Amazon Redshift.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsRedshiftCluster` objeto. Para ver as descrições dos atributos `AwsRedshiftCluster`, consulte [AwsRedshiftClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRedshiftClusterDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsRedshiftCluster": {
    "AllowVersionUpgrade": true,
    "AutomatedSnapshotRetentionPeriod": 1,
    "AvailabilityZone": "us-west-2d",
    "ClusterAvailabilityStatus": "Unavailable",
    "ClusterCreateTime": "2020-08-03T19:22:44.637Z",
    "ClusterIdentifier": "redshift-cluster-1",
    "ClusterNodes": [
        {
            "NodeRole": "LEADER",
            "PrivateIPAddress": "192.0.2.108",
            "PublicIPAddress": "198.51.100.29"
        },
        {
            "NodeRole": "COMPUTE-0",
            "PrivateIPAddress": "192.0.2.22",
            "PublicIPAddress": "198.51.100.63"
        },
        {
             "NodeRole": "COMPUTE-1",
             "PrivateIPAddress": "192.0.2.224",
             "PublicIPAddress": "198.51.100.226"
        }
        ],
    "ClusterParameterGroups": [
        { 
            "ClusterParameterStatusList": [
                {
                    "ParameterName": "max_concurrency_scaling_clusters",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "enable_user_activity_logging",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "auto_analyze",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "query_group",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "datestyle",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "extra_float_digits",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "search_path",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "statement_timeout",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "wlm_json_configuration",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "require_ssl",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "use_fips_ssl",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                }
            ],
            "ParameterApplyStatus": "in-sync",
            "ParameterGroupName": "temp"
        }
    ], 
    "ClusterPublicKey": "JalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Amazon-Redshift",
    "ClusterRevisionNumber": 17498,
    "ClusterSecurityGroups": [
        {
            "ClusterSecurityGroupName": "default",
            "Status": "active"
        }
    ],
    "ClusterSnapshotCopyStatus": {
        "DestinationRegion": "us-west-2",
        "ManualSnapshotRetentionPeriod": -1,
        "RetentionPeriod": 1,
        "SnapshotCopyGrantName": "snapshotCopyGrantName"
    },
    "ClusterStatus": "available",
    "ClusterSubnetGroupName": "default",
    "ClusterVersion": "1.0",
    "DBName": "dev",
    "DeferredMaintenanceWindows": [
        {
            "DeferMaintenanceEndTime": "2020-10-07T20:34:01.000Z",
            "DeferMaintenanceIdentifier": "deferMaintenanceIdentifier",
            "DeferMaintenanceStartTime": "2020-09-07T20:34:01.000Z"
        }
     ],
    "ElasticIpStatus": {
        "ElasticIp": "203.0.113.29",
        "Status": "active"
    },
    "ElasticResizeNumberOfNodeOptions": "4",  
    "Encrypted": false,
    "Endpoint": {
        "Address": "redshift-cluster-1.example.us-west-2.redshift.amazonaws.com",
        "Port": 5439
    },
    "EnhancedVpcRouting": false,
    "ExpectedNextSnapshotScheduleTime": "2020-10-13T20:34:01.000Z",
    "ExpectedNextSnapshotScheduleTimeStatus": "OnTrack",
    "HsmStatus": {
        "HsmClientCertificateIdentifier": "hsmClientCertificateIdentifier",
        "HsmConfigurationIdentifier": "hsmConfigurationIdentifier",
        "Status": "applying"
    },
    "IamRoles": [
        {
             "ApplyStatus": "in-sync",
             "IamRoleArn": "arn:aws:iam::111122223333:role/RedshiftCopyUnload"   
        }
    ],
    "KmsKeyId": "kmsKeyId",
    "LoggingStatus": {
        "BucketName": "amzn-s3-demo-bucket",
        "LastFailureMessage": "test message",
        "LastFailureTime": "2020-08-09T13:00:00.000Z",
        "LastSuccessfulDeliveryTime": "2020-08-08T13:00:00.000Z",
        "LoggingEnabled": true,
        "S3KeyPrefix": "/"
    },
    "MaintenanceTrackName": "current",
    "ManualSnapshotRetentionPeriod": -1,
    "MasterUsername": "awsuser",
    "NextMaintenanceWindowStartTime": "2020-08-09T13:00:00.000Z",
    "NodeType": "dc2.large",
    "NumberOfNodes": 2,
    "PendingActions": [],
    "PendingModifiedValues": {
        "AutomatedSnapshotRetentionPeriod": 0,
        "ClusterIdentifier": "clusterIdentifier",
        "ClusterType": "clusterType",
        "ClusterVersion": "clusterVersion",
        "EncryptionType": "None",
        "EnhancedVpcRouting": false,
        "MaintenanceTrackName": "maintenanceTrackName",
        "MasterUserPassword": "masterUserPassword",
        "NodeType": "dc2.large",
        "NumberOfNodes": 1,
        "PubliclyAccessible": true
    },
    "PreferredMaintenanceWindow": "sun:13:00-sun:13:30",
    "PubliclyAccessible": true,
    "ResizeInfo": {
        "AllowCancelResize": true,
        "ResizeType": "ClassicResize"
    },
    "RestoreStatus": {
        "CurrentRestoreRateInMegaBytesPerSecond": 15,
        "ElapsedTimeInSeconds": 120,
        "EstimatedTimeToCompletionInSeconds": 100,
        "ProgressInMegaBytes": 10,
        "SnapshotSizeInMegaBytes": 1500,
        "Status": "restoring"
    },
    "SnapshotScheduleIdentifier": "snapshotScheduleIdentifier",
    "SnapshotScheduleState": "ACTIVE",
     "VpcId": "vpc-example",
    "VpcSecurityGroups": [
        {
            "Status": "active",
            "VpcSecurityGroupId": "sg-example"
        }
    ]
}
```

# Recursos da AwsRoute53 no ASFF
<a name="asff-resourcedetails-awsroute53"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsRoute53` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsRoute53HostedZone
<a name="asff-resourcedetails-awsroute53hostedzone"></a>

O objeto `AwsRoute53HostedZone` fornece informações sobre uma zona hospedada do Amazon Route 53, incluindo os quatro servidores de nome atribuídos à zona hospedada. Uma zona hospedada representa uma coleção de registros que podem ser gerenciados juntos, pertencentes a um único nome de domínio principal.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsRoute53HostedZone` objeto. Para ver as descrições dos `AwsRoute53HostedZone` atributos, consulte [AwsRoute53 HostedZoneDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRoute53HostedZoneDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsRoute53HostedZone": {
    "HostedZone": {
        "Id": "Z06419652JEMGO9TA2XKL",
        "Name": "asff.testing",
        "Config": {
            "Comment": "This is an example comment."
        }
    },
    "NameServers": [
        "ns-470.awsdns-32.net",
        "ns-1220.awsdns-12.org",
        "ns-205.awsdns-13.com",
        "ns-1960.awsdns-51.co.uk"
    ],
    "QueryLoggingConfig": {
        "CloudWatchLogsLogGroupArn": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:123456789012:log-group:asfftesting:*",
            "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "HostedZoneId": "Z00932193AF5H180PPNZD"
        }
    },
    "Vpcs": [
        {
            "Id": "vpc-05d7c6e36bc03ea76",
            "Region": "us-east-1"
        }
    ]
}
```

# Recursos da AwsS3 no ASFF
<a name="asff-resourcedetails-awss3"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsS3` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsS3AccessPoint
<a name="asff-resourcedetails-awss3accesspoint"></a>

O `AwsS3AccessPoint` fornece informações sobre um ponto de acesso do Amazon S3. Os pontos de acesso do S3 são endpoints de rede nomeados anexados a buckets do S3 que podem ser usados para executar operações de objeto do S3.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsS3AccessPoint` objeto. Para ver as descrições dos `AwsS3AccessPoint` atributos, consulte [awSS3 AccessPointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccessPointDetails.html) na Referência da *AWS Security Hub API*.

**Exemplo**

```
"AwsS3AccessPoint": {
        "AccessPointArn": "arn:aws:s3:us-east-1:123456789012:accesspoint/asff-access-point",
        "Alias": "asff-access-point-hrzrlukc5m36ft7okagglf3gmwluquse1b-s3alias",
        "Bucket": "amzn-s3-demo-bucket",
        "BucketAccountId": "123456789012",
        "Name": "asff-access-point",
        "NetworkOrigin": "VPC",
        "PublicAccessBlockConfiguration": {
            "BlockPublicAcls": true,
            "BlockPublicPolicy": true,
            "IgnorePublicAcls": true,
            "RestrictPublicBuckets": true
        },
        "VpcConfiguration": {
            "VpcId": "vpc-1a2b3c4d5e6f1a2b3"
        }
}
```

## AwsS3AccountPublicAccessBlock
<a name="asff-resourcedetails-awss3accountpublicaccessblock"></a>

O `AwsS3AccountPublicAccessBlock` fornece informações sobre a configuração do Amazon S3 Public Access Block para contas.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsS3AccountPublicAccessBlock` objeto. Para ver as descrições dos `AwsS3AccountPublicAccessBlock` atributos, consulte [awSS3 AccountPublicAccessBlockDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccountPublicAccessBlockDetails.html) na Referência da *AWS Security Hub API*.

**Exemplo**

```
"AwsS3AccountPublicAccessBlock": {
    "BlockPublicAcls": true,
    "BlockPublicPolicy": true,
    "IgnorePublicAcls": false,
    "RestrictPublicBuckets": true
}
```

## AwsS3Bucket
<a name="asff-resourcedetails-awss3bucket"></a>

O objeto `AwsS3Bucket` fornece detalhes sobre um bucket do Amazon DynamoDB.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsS3Bucket` objeto. Para ver as descrições dos `AwsS3Bucket` atributos, consulte [awSS3 BucketDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3BucketDetails.html) na Referência da *AWS Security Hub API*.

**Exemplo**

```
"AwsS3Bucket": {
    "AccessControlList": "{\"grantSet\":null,\"grantList\":[{\"grantee\":{\"id\":\"4df55416215956920d9d056aa8b99803a294ea221222bb668b55a8c6bca81094\",\"displayName\":null},\"permission\":\"FullControl\"},{\"grantee\":\"AllUsers\",\"permission\":\"ReadAcp\"},{\"grantee\":\"AuthenticatedUsers\",\"permission\":\"ReadAcp\"}",,
    "BucketLifecycleConfiguration": {
       "Rules": [
           {
               "AbortIncompleteMultipartUpload": {
                   "DaysAfterInitiation": 5
               },
               "ExpirationDate": "2021-11-10T00:00:00.000Z",
               "ExpirationInDays": 365,
               "ExpiredObjectDeleteMarker": false,
               "Filter": {
                   "Predicate": {
                       "Operands": [
                           {
                               "Prefix": "tmp/",
                               "Type": "LifecyclePrefixPredicate"
                           },
                           {
                               "Tag": {
                                   "Key": "ArchiveAge",
                                   "Value": "9m"
                               },
                               "Type": "LifecycleTagPredicate"
                           }
                       ],
                       "Type": "LifecycleAndOperator"
                   }
               },
               "ID": "Move rotated logs to Glacier",
               "NoncurrentVersionExpirationInDays": -1,
               "NoncurrentVersionTransitions": [
                   {
                       "Days": 2,
                       "StorageClass": "GLACIER"
                   }
               ],
               "Prefix": "rotated/",
               "Status": "Enabled",
               "Transitions": [
                   {
                       "Date": "2020-11-10T00:00:00.000Z",
                       "Days": 100,
                       "StorageClass": "GLACIER"
                   }
               ]
           }
       ]
    },
    "BucketLoggingConfiguration": {
    	"DestinationBucketName": "s3serversideloggingbucket-123456789012",
    	"LogFilePrefix": "buckettestreadwrite23435/"
    },
    "BucketName": "amzn-s3-demo-bucket",
    "BucketNotificationConfiguration": {
    	"Configurations": [{
    		"Destination": "arn:aws:lambda:us-east-1:123456789012:function:s3_public_write",
    		"Events": [
    			"s3:ObjectCreated:Put"
    		],
    		"Filter": {
    			"S3KeyFilter": {
    				"FilterRules": [
    				{
    					"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.PREFIX",
    					"Value": "pre"
    				},
    				{
    					"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.SUFFIX",
    					"Value": "suf"
    				},
    				]
    			}
    		},
    		"Type": "LambdaConfiguration"
    	}]
    },
    "BucketVersioningConfiguration": {
    	"IsMfaDeleteEnabled": true,
    	"Status": "Off"
    },
    "BucketWebsiteConfiguration": {
    	"ErrorDocument": "error.html",
    	"IndexDocumentSuffix": "index.html",
    	"RedirectAllRequestsTo": {
    		"HostName": "example.com",
    		"Protocol": "http"
    	},
    	"RoutingRules": [{
    		"Condition": {
    			"HttpErrorCodeReturnedEquals": "Redirected",
    			"KeyPrefixEquals": "index"
    					},
    		"Redirect": {
    			"HostName": "example.com",
    			"HttpRedirectCode": "401",
    			"Protocol": "HTTP",
    			"ReplaceKeyPrefixWith": "string",
    			"ReplaceKeyWith": "string"
    		}
    	}]
    },
    "CreatedAt": "2007-11-30T01:46:56.000Z",
    "ObjectLockConfiguration": {
    	"ObjectLockEnabled": "Enabled",
    	"Rule": {
    		"DefaultRetention": {
    			"Days": null,
    			"Mode": "GOVERNANCE",
    			"Years": 12
    		},
    	},
    },
    "OwnerId": "AIDACKCEVSQ6C2EXAMPLE",
    "OwnerName": "s3bucketowner",
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "BlockPublicPolicy": true,
        "IgnorePublicAcls": true,
        "RestrictPublicBuckets": true,
    },
    "ServerSideEncryptionConfiguration": {
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "AES256",
                    "KMSMasterKeyID": "12345678-abcd-abcd-abcd-123456789012"
                }
            }
        ]
     }
}
```

## AwsS3Object
<a name="asff-resourcedetails-awss3object"></a>

O objeto `AwsS3Object` fornece informações sobre um objeto Amazon S3.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsS3Object` objeto. Para ver as descrições dos `AwsS3Object` atributos, consulte [awSS3 ObjectDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3ObjectDetails.html) na Referência da *AWS Security Hub API*.

**Exemplo**

```
"AwsS3Object": {
    "ContentType": "text/html",
    "ETag": "\"30a6ec7e1a9ad79c203d05a589c8b400\"",
    "LastModified": "2012-04-23T18:25:43.511Z",
    "ServerSideEncryption": "aws:kms",
    "SSEKMSKeyId": "arn:aws:kms:us-west-2:123456789012:key/4dff8393-e225-4793-a9a0-608ec069e5a7",
    "VersionId": "ws31OurgOOjH_HHllIxPE35P.MELYaYh"
}
```

# Recursos da AwsSageMaker no ASFF
<a name="asff-resourcedetails-awssagemaker"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsSageMaker` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsSageMakerNotebookInstance
<a name="asff-resourcedetails-awssagemakernotebookinstance"></a>

O `AwsSageMakerNotebookInstance` objeto fornece informações sobre uma instância de notebook Amazon SageMaker AI, que é uma instância computacional de aprendizado de máquina executando o aplicativo Jupyter Notebook.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsSageMakerNotebookInstance` objeto. Para ver as descrições dos atributos `AwsSageMakerNotebookInstance`, consulte [AwsSageMakerNotebookInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSageMakerNotebookInstanceDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsSageMakerNotebookInstance": {
    "DirectInternetAccess": "Disabled",
    "InstanceMetadataServiceConfiguration": {
    	"MinimumInstanceMetadataServiceVersion": "1",
    },
    "InstanceType": "ml.t2.medium",
    "LastModifiedTime": "2022-09-09 22:48:32.012000+00:00",
    "NetworkInterfaceId": "eni-06c09ac2541a1bed3",
    "NotebookInstanceArn": "arn:aws:sagemaker:us-east-1:001098605940:notebook-instance/sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm",
    "NotebookInstanceName": "SagemakerNotebookInstanceRootAccessDisabledComplia-8MYjcyofZiXm",
    "NotebookInstanceStatus": "InService",
    "PlatformIdentifier": "notebook-al1-v1",
    "RoleArn": "arn:aws:iam::001098605940:role/sechub-SageMaker-1-scenar-SageMakerCustomExecution-1R0X32HGC38IW",
    "RootAccess": "Disabled",
    "SecurityGroups": [
    	"sg-06b347359ab068745"
    ],
    "SubnetId": "subnet-02c0deea5fa64578e",
    "Url": "sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm.notebook.us-east-1.sagemaker.aws",
    "VolumeSizeInGB": 5
}
```

# Recursos da AwsSecretsManager no ASFF
<a name="asff-resourcedetails-awssecretsmanager"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsSecretsManager` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsSecretsManagerSecret
<a name="asff-resourcedetails-awssecretsmanagersecret"></a>

O objeto `AwsSecretsManagerSecret` fornece detalhes sobre um segredo do Secrets Manager.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsSecretsManagerSecret` objeto. Para ver as descrições dos atributos `AwsSecretsManagerSecret`, consulte [AwsSecretsManagerSecretDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecretsManagerSecretDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsSecretsManagerSecret": {
    "RotationRules": {
        "AutomaticallyAfterDays": 30
    },
    "RotationOccurredWithinFrequency": true,
    "KmsKeyId": "kmsKeyId",
    "RotationEnabled": true,
    "RotationLambdaArn": "arn:aws:lambda:us-west-2:777788889999:function:MyTestRotationLambda",
    "Deleted": false,
    "Name": "MyTestDatabaseSecret",
    "Description": "My test database secret"
}
```

# Recursos da AwsSns no ASFF
<a name="asff-resourcedetails-awssns"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsSns` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsSnsTopic
<a name="asff-resourcedetails-awssnstopic"></a>

O objeto `AwsSnsTopic` contém detalhes sobre um tópico do Amazon Simple Notification Service.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsSnsTopic` objeto. Para ver as descrições dos atributos `AwsSnsTopic`, consulte [AwsSnsTopicDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSnsTopicDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsSnsTopic": {
    "ApplicationSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/ApplicationSuccessFeedbackRoleArn",                        
    "FirehoseFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseFailureFeedbackRoleArn",
    "FirehoseSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseSuccessFeedbackRoleArn",
    "HttpFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpFailureFeedbackRoleArn",
    "HttpSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpSuccessFeedbackRoleArn",                         
    "KmsMasterKeyId": "alias/ExampleAlias",
    "Owner": "123456789012",
    "SqsFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsFailureFeedbackRoleArn",
    "SqsSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsSuccessFeedbackRoleArn",                         
    "Subscription": {
         "Endpoint": "http://sampleendpoint.com",
         "Protocol": "http"
    },
    "TopicName": "SampleTopic"
}
```

# Recursos da AwsSqs no ASFF
<a name="asff-resourcedetails-awssqs"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsSqs` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsSqsQueue
<a name="asff-resourcedetails-awssqsqueue"></a>

O objeto `AwsSqsQueue` contém informações sobre uma fila do Amazon Simple Queue Service.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsSqsQueue` objeto. Para ver as descrições dos atributos `AwsSqsQueue`, consulte [AwsSqsQueueDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSqsQueueDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsSqsQueue": {
    "DeadLetterTargetArn": "arn:aws:sqs:us-west-2:123456789012:queue/target",
    "KmsDataKeyReusePeriodSeconds": 60,,
    "KmsMasterKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "QueueName": "sample-queue"
}
```

# Recursos da AwsSsm no ASFF
<a name="asff-resourcedetails-awsssm"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsSsm` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsSsmPatchCompliance
<a name="asff-resourcedetails-awsssmpatchcompliance"></a>

O objeto `AwsSsmPatchCompliance` fornece informações sobre o estado de um patch em uma instância com base na lista de referência de patches que foi usada para corrigir a instância.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsSsmPatchCompliance` objeto. Para ver as descrições dos atributos `AwsSsmPatchCompliance`, consulte [AwsSsmPatchComplianceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSsmPatchComplianceDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsSsmPatchCompliance": {
    "Patch": {
        "ComplianceSummary": {
            "ComplianceType": "Patch",
            "CompliantCriticalCount": 0,
            "CompliantHighCount": 0,
            "CompliantInformationalCount": 0,
            "CompliantLowCount": 0,
            "CompliantMediumCount": 0,
            "CompliantUnspecifiedCount": 461,
            "ExecutionType": "Command",
            "NonCompliantCriticalCount": 0,
            "NonCompliantHighCount": 0,
            "NonCompliantInformationalCount": 0,
            "NonCompliantLowCount": 0,
            "NonCompliantMediumCount": 0,
            "NonCompliantUnspecifiedCount": 0,
            "OverallSeverity": "UNSPECIFIED",
            "PatchBaselineId": "pb-0c5b2769ef7cbe587",
            "PatchGroup": "ExamplePatchGroup",
            "Status": "COMPLIANT"
        }
    }
}
```

# Recursos da AwsStepFunctions no ASFF
<a name="asff-resourcedetails-awsstepfunctions"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsStepFunctions` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsStepFunctionStateMachine
<a name="asff-resourcedetails-awsstepfunctionstatemachine"></a>

O objeto `AwsStepFunctionStateMachine` fornece informações sobre uma máquina de estado do AWS Step Functions , que é um fluxo de trabalho que consiste em uma série de etapas orientadas por eventos.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsStepFunctionStateMachine` objeto. Para ver as descrições dos atributos `AwsStepFunctionStateMachine`, consulte [AwsStepFunctionStateMachine](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsStepFunctionStateMachineDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsStepFunctionStateMachine": {
    "StateMachineArn": "arn:aws:states:us-east-1:123456789012:stateMachine:StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
    "Name": "StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
    "Status": "ACTIVE",
    "RoleArn": "arn:aws:iam::123456789012:role/teststepfunc-StatesExecutionRole-1PNM71RVO1UKT",
    "Type": "STANDARD",
    "LoggingConfiguration": {
        "Level": "OFF",
        "IncludeExecutionData": false
    },
    "TracingConfiguration": {
        "Enabled": false
    }
}
```

# Recursos da AwsWaf no ASFF
<a name="asff-resourcedetails-awswaf"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsWaf` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsWafRateBasedRule
<a name="asff-resourcedetails-awswafratebasedrule"></a>

O objeto `AwsWafRateBasedRule` contém detalhes sobre uma regra baseada em intervalos do AWS WAF para recursos globais. Uma regra AWS WAF baseada em taxas fornece configurações para indicar quando permitir, bloquear ou contar uma solicitação. As regras baseadas em intervalos incluem o número de solicitações recebidas durante um período especificado.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsWafRateBasedRule` objeto. Para ver as descrições dos atributos `AwsWafRateBasedRule`, consulte [AwsWafRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRateBasedRuleDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsWafRateBasedRule":{
    "MatchPredicates" : [{
        "DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
        "Negated" : "True",
        "Type" : "IPMatch" ,
    }],
    "MetricName" : "MetricName",
    "Name" : "Test",
    "RateKey" : "IP",
    "RateLimit" : 235000,
    "RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```

## AwsWafRegionalRateBasedRule
<a name="asff-resourcedetails-awswafregionalratebasedrule"></a>

O objeto `AwsWafRegionalRateBasedRule` contém detalhes sobre uma regra baseada em intervalos para recursos regionais. Uma regra baseada em intervalos fornece configurações para indicar quando permitir, bloquear ou contar uma solicitação. As regras baseadas em intervalos incluem o número de solicitações recebidas durante um período especificado.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsWafRegionalRateBasedRule` objeto. Para ver as descrições dos atributos `AwsWafRegionalRateBasedRule`, consulte [AwsWafRegionalRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRateBasedRuleDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsWafRegionalRateBasedRule":{
    "MatchPredicates" : [{
        "DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
        "Negated" : "True",
        "Type" : "IPMatch" ,
    }],
    "MetricName" : "MetricName",
    "Name" : "Test",
    "RateKey" : "IP",
    "RateLimit" : 235000,
    "RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```

## AwsWafRegionalRule
<a name="asff-resourcedetails-awswafregionalrule"></a>

O `AwsWafRegionalRule` objeto fornece detalhes sobre uma regra AWS WAF regional. Esta regra identifica as solicitações da web que você deseja permitir, bloquear ou contabilizar.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsWafRegionalRule` objeto. Para ver as descrições dos atributos `AwsWafRegionalRule`, consulte [AwsWafRegionalRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsWafRegionalRule": { 
    "MetricName": "SampleWAF_Rule__Metric_1",
    "Name": "bb-waf-regional-rule-not-empty-conditions-compliant",
    "RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de95fe",
    "PredicateList": [{
        "DataId": "127d9346-e607-4e93-9286-c1296fb5445a",
        "Negated": false,
        "Type": "GeoMatch"
    }]
}
```

## AwsWafRegionalRuleGroup
<a name="asff-resourcedetails-awswafregionalrulegroup"></a>

O objeto `AwsWafRegionalRuleGroup` fornece detalhes sobre um grupo de regras regionais do AWS WAF . Um grupo de regras é uma coleção de regras predefinidas que você adiciona a uma lista de controle de acesso à web (web ACL).

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsWafRegionalRuleGroup` objeto. Para ver as descrições dos atributos `AwsWafRegionalRuleGroup`, consulte [AwsWafRegionalRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleGroupDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsWafRegionalRuleGroup": { 
    "MetricName": "SampleWAF_Metric_1",
    "Name": "bb-WAFClassicRuleGroupWithRuleCompliant",
    "RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
    "Rules": [{
        "Action": {
            "Type": "ALLOW"
        }
    }],
        "Priority": 1,
        "RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
        "Type": "REGULAR"
}
```

## AwsWafRegionalWebAcl
<a name="asff-resourcedetails-awswafregionalwebacl"></a>

`AwsWafRegionalWebAcl`fornece detalhes sobre uma lista AWS WAF regional de controle de acesso à web (Web ACL). Uma web ACL contém as regras que identificam as solicitações que você deseja permitir, bloquear ou contar.

O exemplo a seguir é um exemplo de descoberta `AwsWafRegionalWebAcl` no AWS Formato do Security Finding (ASFF). Para ver as descrições dos atributos `AwsApiGatewayV2Stage`, consulte [AwsWafRegionalWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalWebAclDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsWafRegionalWebAcl": {
    "DefaultAction": "ALLOW",
    "MetricName" : "web-regional-webacl-metric-1",
    "Name": "WebACL_123",
    "RulesList": [
        {
            "Action": {
                "Type": "Block"
            },
            "Priority": 3,
            "RuleId": "24445857-852b-4d47-bd9c-61f05e4d223c",
            "Type": "REGULAR",
            "ExcludedRules": [
                {
                    "ExclusionType": "Exclusion",
                    "RuleId": "Rule_id_1"
                }
            ],
            "OverrideAction": {
                "Type": "OVERRIDE"
            }
        }
    ],
    "WebAclId": "443c76f4-2e72-4c89-a2ee-389d501c1f67"
}
```

## AwsWafRule
<a name="asff-resourcedetails-awswafrule"></a>

`AwsWafRule`fornece informações sobre uma AWS WAF regra. Uma AWS WAF regra identifica as solicitações da web que você deseja permitir, bloquear ou contar.

Veja a seguir um exemplo de `AwsWafRule` descoberta no AWS Security Finding Format (ASFF). Para ver as descrições dos atributos `AwsApiGatewayV2Stage`, consulte [AwsWafRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsWafRule": {
    "MetricName": "AwsWafRule_Metric_1",
    "Name": "AwsWafRule_Name_1",
    "PredicateList": [{
        "DataId": "cdd225da-32cf-4773-1dc2-3bca3ed9c19c",
        "Negated": false,
        "Type": "GeoMatch"
    }],
    "RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de953e"
}
```

## AwsWafRuleGroup
<a name="asff-resourcedetails-awswafrulegroup"></a>

`AwsWafRuleGroup`fornece informações sobre um grupo de AWS WAF regras. Um grupo de regras do AWS WAF é uma coleção de regras predefinidas que você adiciona a uma lista de controle de acesso à web (ACL da web).

Veja a seguir um exemplo de `AwsWafRuleGroup` descoberta no AWS Security Finding Format (ASFF). Para ver as descrições dos atributos `AwsApiGatewayV2Stage`, consulte [AwsWafRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleGroupDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsWafRuleGroup": {
    "MetricName": "SampleWAF_Metric_1",
    "Name": "bb-WAFRuleGroupWithRuleCompliant",
    "RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
    "Rules": [{
        "Action": {
            "Type": "ALLOW",
        },
        "Priority": 1,
        "RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
        "Type": "REGULAR"
    }]
}
```

## AwsWafv2RuleGroup
<a name="asff-resourcedetails-awswafv2rulegroup"></a>

O `AwsWafv2RuleGroup` objeto fornece detalhes sobre um grupo de regras AWS WAF V2.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsWafv2RuleGroup` objeto. Para ver as descrições dos `AwsWafv2RuleGroup` atributos, consulte [AwsWafv2 RuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2RuleGroupDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsWafv2RuleGroup": {
    "Arn": "arn:aws:wafv2:us-east-1:123456789012:global/rulegroup/wafv2rulegroupasff/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Capacity": 1000,
    "Description": "Resource for ASFF",
    "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Name": "wafv2rulegroupasff",
    "Rules": [{
    	"Action": {
    	"Allow": {
    		"CustomRequestHandling": {
    			"InsertHeaders": [
    				{
    				"Name": "AllowActionHeader1Name",
    				"Value": "AllowActionHeader1Value"
    				},
    				{
    				"Name": "AllowActionHeader2Name",
    				"Value": "AllowActionHeader2Value"
    				}
    			]
    		}
    	},
    	"Name": "RuleOne",
    	"Priority": 1,
    	"VisibilityConfig": {
    		"CloudWatchMetricsEnabled": true,
    		"MetricName": "rulegroupasff",
    		"SampledRequestsEnabled": false
    	}
    }],
    "VisibilityConfig": {
    	"CloudWatchMetricsEnabled": true,
    	"MetricName": "rulegroupasff",
    	"SampledRequestsEnabled": false
    }
}
```

## AwsWafWebAcl
<a name="asff-resourcedetails-awswafwebacl"></a>

O `AwsWafWebAcl` objeto fornece detalhes sobre uma AWS WAF Web ACL.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsWafWebAcl` objeto. Para ver as descrições dos atributos `AwsWafWebAcl`, consulte [AwsWafWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafWebAclDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsWafWebAcl": {
    "DefaultAction": "ALLOW",
    "Name": "MyWafAcl",
    "Rules": [
        {
            "Action": {
                "Type": "ALLOW"
            },
            "ExcludedRules": [
                {
                    "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98"
                }
            ],
            "OverrideAction": {
                "Type": "NONE"
            },
            "Priority": 1,
            "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98",
            "Type": "REGULAR"
        }
    ],
    "WebAclId": "waf-1234567890"
}
```

## AwsWafv2WebAcl
<a name="asff-resourcedetails-awswafv2webacl"></a>

O `AwsWafv2WebAcl` objeto fornece detalhes sobre uma Web AWS WAF ACL V2.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsWafv2WebAcl` objeto. Para ver as descrições dos `AwsWafv2WebAcl` atributos, consulte [AwsWafv2 WebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2WebAclDetails.html) na *Referência AWS Security Hub da API*.

**Exemplo**

```
"AwsWafv2WebAcl": {
    "Arn": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/WebACL-RoaD4QexqSxG/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Capacity": 1326,
    "CaptchaConfig": {
    	"ImmunityTimeProperty": {
    		"ImmunityTime": 500
    	}
    },
    "DefaultAction": {
    	"Block": {}
    },
    "Description": "Web ACL for JsonBody testing",
    "ManagedbyFirewallManager": false,
    "Name": "WebACL-RoaD4QexqSxG",
    "Rules": [{
    	"Action": {
    		"RuleAction": {
    			"Block": {}
    		}
    	},
    	"Name": "TestJsonBodyRule",
    	"Priority": 1,
    	"VisibilityConfig": {
    		"SampledRequestsEnabled": true,
    		"CloudWatchMetricsEnabled": true,
    		"MetricName": "JsonBodyMatchMetric"
    	}
    }],
    "VisibilityConfig": {
    	"SampledRequestsEnabled": true,
    	"CloudWatchMetricsEnabled": true,
    	"MetricName": "TestingJsonBodyMetric"
    }
}
```

# Recursos da AwsXray no ASFF
<a name="asff-resourcedetails-awsxray"></a>

Veja a seguir exemplos da sintaxe do AWS Security Finding Format (ASFF) para `AwsXray` recursos.

AWS Security Hub CSPM normaliza as descobertas de várias fontes no ASFF. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

## AwsXrayEncryptionConfig
<a name="asff-resourcedetails-awsxrayencryptionconfig"></a>

O `AwsXrayEncryptionConfig` objeto contém informações sobre a configuração de criptografia do AWS X-Ray.

O exemplo a seguir mostra o AWS Security Finding Format (ASFF) do `AwsXrayEncryptionConfig` objeto. Para ver as descrições dos atributos `AwsXrayEncryptionConfig`, consulte [AwsXrayEncryptionConfigDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsXrayEncryptionConfigDetails.html)na *Referência da API AWS Security Hub *.

**Exemplo**

```
"AwsXRayEncryptionConfig":{
    "KeyId": "arn:aws:kms:us-east-2:222222222222:key/example-key",
    "Status": "UPDATING",
    "Type":"KMS"
}
```

# Objeto CodeRepository no ASFF
<a name="asff-resourcedetails-coderepository"></a>

O `CodeRepository` objeto fornece informações sobre um repositório de código externo que você conectou aos AWS recursos e configurou o Amazon Inspector para verificar vulnerabilidades.

O exemplo a seguir mostra a sintaxe do AWS Security Finding Format (ASFF) do `CodeRepository` objeto. Para ver as descrições dos atributos `CodeRepository`, consulte [CodeRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CodeRepositoryDetails.html)na *Referência da API AWS Security Hub *. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

**Exemplo**

```
"CodeRepository": {
    "ProviderType": "GITLAB_SELF_MANAGED",
    "ProjectName": "projectName",
    "CodeSecurityIntegrationArn": "arn:aws:inspector2:us-east-1:123456789012:codesecurity-integration/00000000-0000-0000-0000-000000000000"
}
```

# Objeto Container no ASFF
<a name="asff-resourcedetails-container"></a>

O exemplo a seguir mostra a sintaxe do AWS Security Finding Format (ASFF) do `Container` objeto. Para ver as descrições dos atributos `Container`, consulte [ContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ContainerDetails.html)na *Referência da API AWS Security Hub *. Para obter informações contextuais sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

**Exemplo**

```
"Container": {
    "ContainerRuntime": "docker",
    "ImageId": "image12",
    "ImageName": "1111111/knotejs@sha256:372131c9fef111111111111115f4ed3ea5f9dce4dc3bd34ce21846588a3",
    "LaunchedAt": "2018-09-29T01:25:54Z",
    "Name": "knote",
    "Privileged": true,
    "VolumeMounts": [{
        "Name": "vol-03909e9",
        "MountPath": "/mnt/etc"
    }]
}
```

# Objeto Other no ASFF
<a name="asff-resourcedetails-other"></a>

No Formato AWS de descoberta de segurança (ASFF), o `Other` objeto especifica campos e valores personalizados. Para obter mais informações sobre o ASFF, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

Ao usar o objeto `Other`, é possível especificar campos e valores personalizados para um recurso. É possível usar o objeto `Other` para os casos a seguir:
+ O tipo de recurso não tem um objeto `Details` correspondente. Para especificar detalhes de um recurso, use o objeto `Other`.
+ O objeto `Details` do tipo de recurso não inclui todos os atributos que você deseja especificar. Nesse caso, use o objeto `Details` para o tipo de recurso para especificar os atributos disponíveis. Use o objeto `Other` para especificar atributos que não estejam no objeto `Details` específico do tipo.
+ O tipo de recurso não é um dos tipos fornecidos. Nesse caso, defina `Resource.Type` como `Other` e use o objeto `Other` para especificar os detalhes.

**Tipo:** mapa de até 50 pares de chave-valor

Cada par de chave-valor deve atender aos seguintes requisitos.
+ A chave deve conter menos de 128 caracteres.
+ O valor deve conter menos de 1.024 caracteres.

# Visualização de insights no CSPM do Security Hub
<a name="securityhub-insights"></a>

No AWS Security Hub CSPM, um *insight* é uma coleção de descobertas relacionadas. Um insight pode identificar uma área de segurança específica que requer atenção e intervenção. Por exemplo, um insight pode apontar EC2 casos que são objeto de descobertas que detectam práticas de segurança inadequadas. Um insight reúne as descobertas dos provedores de descobertas.

Cada insight é definido por uma instrução group by e filtros opcionais. A instrução group by indica como agrupar as descobertas correspondentes e identifica o tipo de item ao qual o insight se aplica. Por exemplo, se um insight for agrupado por identificador de recurso, ele produzirá uma lista de identificadores de recursos. Os filtros opcionais identificam as descobertas correspondentes para o insight. Por exemplo, talvez você queira ver apenas descobertas de provedores específicos ou descobertas que são associadas a tipos específicos de recursos.

O CSPM do Security Hub oferece vários insights gerenciados internos. Você não pode modificar nem excluir insights gerenciados. Para rastrear problemas de segurança exclusivos de seu AWS ambiente e uso, você pode criar insights personalizados.

A página **Insights** no console CSPM do AWS Security Hub exibe a lista de insights disponíveis.

Por padrão, a lista exibe insights gerenciados e personalizados. Para filtrar a lista de insights com base no tipo de insight, escolha o tipo no menu suspenso ao lado do campo de filtro.
+ Para exibir todos os insights disponíveis, escolha **Todos os insights**. Essa é a opção padrão.
+ Para exibir somente insights gerenciados, escolha **insights gerenciados do CSPM do Security Hub**.
+ Para exibir somente insights personalizados, escolha **Insights personalizados**.

Também é possível filtrar a lista de insights com base no nome do insight. Para isso, no campo de filtro, digite o texto a ser usado para filtrar a lista. O filtro não faz distinção entre letras maiúsculas de minúsculas. O filtro procura insights que contenham o texto em qualquer lugar no nome do insight.

Um insight só retornará resultados se você tiver ativado integrações ou padrões que produzem descobertas correspondentes. Por exemplo, o insight gerenciado **29. Principais recursos por número de verificações de CIS reprovadas** retornará resultados somente se você habilitar o padrão Center for Internet Security (CIS) AWS Foundations Benchmark.

# Análise e ação com base em insights do CSPM do Security Hub
<a name="securityhub-insights-view-take-action"></a>

Para cada insight, o AWS Security Hub CSPM determina primeiro as descobertas que correspondem aos critérios do filtro e, em seguida, usa o atributo de agrupamento para agrupar as descobertas correspondentes.

Na página **Insights** do console, você pode visualizar e agir em relação a resultados e a descobertas.

Se você habilitar a agregação entre regiões, os resultados para insights gerenciados (quando você fez login na região de agregação) incluirão descobertas da região de agregação e das regiões vinculadas. Os resultados de insights personalizados, se o insight não for filtrado por região, incluirão descobertas da região de agregação e das regiões vinculadas (quando você fez login na região de agregação). Em outras regiões, os resultados do insight são somente para aquela região.

Para obter informações sobre agregação entre regiões, consulte [Noções básicas sobre a agregação entre regiões no CSPM do Security Hub](finding-aggregation.md).

## Visualizar e tomar medidas em relação a resultados de insights (console)
<a name="securityhub-insight-results-console"></a>

Os resultados do insight consistem em uma lista agrupada dos resultados para o insight. Por exemplo, se o insight for agrupado por identificadores de recurso, os resultados de insight serão a lista de identificadores de recurso. Cada item na lista de resultados indica o número de descobertas correspondentes para esse item.

Se as descobertas forem agrupadas por identificador de recurso ou tipo de recurso, os resultados incluirão todos os recursos nas descobertas correspondentes. Isso inclui recursos que têm um tipo diferente do tipo de recurso especificado nos critérios de filtro. Por exemplo, um insight identifica descobertas associadas aos buckets do S3. Se uma descoberta correspondente contiver um recurso de bucket do S3 e a um recurso de chave de acesso do IAM, os resultados do insight incluirão ambos os recursos.

No console do CSPM do Security Hub, a lista de resultados é classificada em ordem decrescente por quantidade de descobertas correspondentes. O CSPM do Security Hub só pode exibir 100 resultados. Se houver mais de 100 valores de agrupamento, você verá somente os 100 primeiros.

Além da lista de resultados, os resultados do insight exibem um conjunto de gráficos resumindo o número de descobertas correspondentes para os seguintes atributos.
+ **Rótulo de gravidade** – número de descobertas para cada rótulo de gravidade
+ **Conta da AWS ID** — Os cinco principais IDs responsáveis pelas descobertas correspondentes
+ **Tipo de recurso** – cinco principais tipos de recurso para as descobertas correspondentes
+ **ID do recurso** — Os cinco principais recursos IDs para as descobertas correspondentes
+ **Nome do produto** – cinco principais provedores para as descobertas correspondentes

Se você configurou ações personalizadas, poderá enviar resultados selecionados para uma ação personalizada. A ação deve estar associada a uma CloudWatch regra da Amazon para o tipo de `Security Hub Insight Results` evento. Para obter mais informações, consulte [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md). Se você não configurou ações personalizadas, o menu **Ações** será desabilitado.

------
#### [ Security Hub CSPM console ]

**Para visualizar e agir em relação a resultados de insights (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Insights**.

1. Para exibir a lista de resultados de insight, escolha o nome do insight.

1. Marque a caixa de seleção para cada resultado a ser enviado para a ação personalizada.

1. No menu **Actions (Ações)**, escolha a ação personalizada.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Para visualizar e agir com base nos resultados do insight (API, AWS CLI)**

Para visualizar resultados de insights, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html) da API do CSPM do Security Hub. Se você usar o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)comando.

Para identificar o insight para o qual retornar resultados, você precisa do ARN do insight. Para obter o insight ARNs para insights personalizados, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)da API ou o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)comando.

O exemplo a seguir recupera os resultados para o insight especificado. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Para obter informações sobre como criar ações personalizadas programaticamente, consulte [Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge](securityhub-cwe-custom-actions.md).

------

## Visualizar e tomar medidas em relação às descobertas de um resultado de insight (console)
<a name="securityhub-insight-findings-console"></a>

Na lista de resultados de insights no console do CSPM do Security Hub, é possível exibir a lista de descobertas para cada resultado.

**Como exibir e agir em relação a descobertas de insights (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Insights**.

1. Para exibir a lista de resultados de insight, escolha o nome do insight.

1. Para exibir a lista de descobertas para um resultado de insight, escolha o item na lista de resultados. A lista de descobertas mostra as descobertas ativas para o resultado do insight selecionado com um status de fluxo de trabalho de `NEW` ou `NOTIFIED`.

Na lista de descobertas, você pode realizar as seguintes ações:
+ [Filtragem de descobertas no CSPM do Security Hub](securityhub-findings-manage.md)
+ [Revisar os detalhes e o histórico das descobertas](securityhub-findings-viewing.md#finding-view-details-console)
+ [Definição do status do fluxo de trabalho das descobertas no CSPM do Security Hub](findings-workflow-status.md)
+ [Envio de descobertas a uma ação personalizada do CSPM do Security Hub](findings-custom-action.md)

# Insights gerenciados no CSPM do Security Hub
<a name="securityhub-managed-insights"></a>

AWS O Security Hub CSPM fornece vários insights gerenciados.

Você não pode editar nem excluir insights gerenciados do CSPM do Security Hub. É possível [visualizar e tomar medidas sobre os resultados e as descobertas do insight](securityhub-insights-view-take-action.md). Também é possível [usar um insight gerenciado como base para um novo insight personalizado](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed).

Assim como acontece com todos os insights, um insight gerenciado só retornará resultados se você tiver habilitado integrações de produtos ou padrões de segurança que possam produzir descobertas correspondentes.

Para insights agrupados por identificador de recurso, os resultados incluem os identificadores de todos os recursos nas descobertas correspondentes. Isso inclui recursos que têm um tipo diferente do tipo de recurso nos critérios de filtro. Por exemplo, o insight 2, na lista a seguir, identifica as descobertas associadas aos buckets do Amazon S3. Se uma descoberta correspondente contiver um recurso de bucket do S3 e a um recurso de chave de acesso do IAM, os resultados do insight incluirão ambos os recursos.

O CSPM do Security Hub oferece atualmente os seguintes insights gerenciados:

**1. AWS recursos com o maior número de descobertas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/1`  
**Agrupado por:** identificador de recurso  
**Filtros de descoberta:**  
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**2. Os buckets do S3 com permissões de gravação ou leitura públicas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/10`  
**Agrupado por:** identificador de recurso  
**Filtros de descoberta:**  
+ Tipo começa com `Effects/Data Exposure`
+ O tipo de recurso é `AwsS3Bucket`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**3. AMIs que estão gerando o maior número de descobertas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/3`  
**Agrupado por: ID** da imagem da EC2 instância  
**Filtros de descoberta:**  
+ O tipo de recurso é `AwsEc2Instance`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**4. EC2 instâncias envolvidas em táticas, técnicas e procedimentos conhecidos (TTPs)**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/14`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ Tipo começa com `TTPs`
+ O tipo de recurso é `AwsEc2Instance`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**5. AWS diretores com atividade suspeita de chave de acesso**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/9`  
**Agrupado por:** nome da entidade principal da chave de acesso do IAM  
**Filtros de descoberta:**  
+ O tipo de recurso é `AwsIamAccessKey`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**6. AWS instâncias de recursos que não atendem aos padrões de segurança/melhores práticas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/6`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ O tipo é `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**7. AWS recursos associados à possível exfiltração de dados**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/7`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ O tipo começa com Effects/Data Exfiltração/
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**8. AWS recursos associados ao consumo não autorizado de recursos**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/8`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ Tipo começa com `Effects/Resource Consumption`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**9. Buckets do S3 que não atendem aos padrões de segurança e às práticas recomendadas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/11`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ O tipo de recurso é `AwsS3Bucket`
+ O tipo é `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**10. Os buckets do S3 com dados confidenciais**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/12`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ O tipo de recurso é `AwsS3Bucket`
+ Tipo começa com `Sensitive Data Identifications/`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**11. Credenciais que podem ter vazado**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/13`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ Tipo começa com `Sensitive Data Identifications/Passwords/`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**12. EC2 instâncias que têm patches de segurança ausentes para vulnerabilidades importantes**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/16`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ Tipo começa com `Software and Configuration Checks/Vulnerabilities/CVE`
+ O tipo de recurso é `AwsEc2Instance`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**13. EC2 casos com comportamento geral incomum**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/17`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ Tipo começa com `Unusual Behaviors`
+ O tipo de recurso é `AwsEc2Instance`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**14. EC2 instâncias que têm portas acessíveis pela Internet**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/18`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ Tipo começa com `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ O tipo de recurso é `AwsEc2Instance`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**15. EC2 instâncias que não atendem aos padrões de segurança/melhores práticas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/19`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ O tipo começa com um dos seguintes:
  + `Software and Configuration Checks/Industry and Regulatory Standards/`
  + `Software and Configuration Checks/AWS Security Best Practices`
+ O tipo de recurso é `AwsEc2Instance`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**16. EC2 instâncias que estão abertas à Internet**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/21`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ Tipo começa com `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ O tipo de recurso é `AwsEc2Instance`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**17. EC2 instâncias associadas ao reconhecimento de adversários**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/22`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ O tipo começa com TTPs /Discovery/Recon
+ O tipo de recurso é `AwsEc2Instance`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**18. AWS recursos associados a malware**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/23`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ O tipo começa com um dos seguintes:
  + `Effects/Data Exfiltration/Trojan`
  + `TTPs/Initial Access/Trojan`
  + `TTPs/Command and Control/Backdoor`
  + `TTPs/Command and Control/Trojan`
  + `Software and Configuration Checks/Backdoor`
  + `Unusual Behaviors/VM/Backdoor`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**19. AWS recursos associados a problemas de criptomoeda**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/24`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ O tipo começa com um dos seguintes:
  + `Effects/Resource Consumption/Cryptocurrency`
  + `TTPs/Command and Control/CryptoCurrency`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**20. AWS recursos com tentativas de acesso não autorizado**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/25`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ O tipo começa com um dos seguintes:
  + `TTPs/Command and Control/UnauthorizedAccess`
  + `TTPs/Initial Access/UnauthorizedAccess`
  + `Effects/Data Exfiltration/UnauthorizedAccess`
  + `Unusual Behaviors/User/UnauthorizedAccess`
  + `Effects/Resource Consumption/UnauthorizedAccess`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**21. Indicadores de ameaça Intel com o maior número de acertos na última semana**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/26`  
**Filtros de descoberta:**  
+ Criado nos últimos 7 dias

**22. Principais contas por contagem de descobertas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/27`  
**Agrupado por: ID** Conta da AWS   
**Filtros de descoberta:**  
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**23. Principais produtos por contagem de descobertas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/28`  
**Agrupado por:** Nome do produto  
**Filtros de descoberta:**  
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**24. Gravidade por contagem de descobertas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/29`  
**Agrupado por:** Rótulo de gravidade  
**Filtros de descoberta:**  
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**25. Principais buckets do S3 por contagem de descobertas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/30`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ O tipo de recurso é `AwsS3Bucket`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**26. Principais EC2 instâncias por número de descobertas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/31`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ O tipo de recurso é `AwsEc2Instance`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**27. Top AMIs por número de descobertas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/32`  
**Agrupado por: ID** da imagem da EC2 instância  
**Filtros de descoberta:**  
+ O tipo de recurso é `AwsEc2Instance`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**28. Principais usuários do IAM por contagem de descobertas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/33`  
**Agrupado por:** ID da chave de acesso do IAM  
**Filtros de descoberta:**  
+ O tipo de recurso é `AwsIamAccessKey`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**29. Principais recursos por contagem de verificações de CIS com falha**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/34`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ O ID do gerador começa com `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule`
+ Atualizado no último dia
+ O status de conformidade é `FAILED`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**30. Principais integrações por contagem de descobertas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/35`  
**Agrupado por:** ARN do produto  
**Filtros de descoberta:**  
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**31. Recursos com as verificações de segurança com mais falhas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/36`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ Atualizado no último dia
+ O status de conformidade é `FAILED`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**32. Usuários do IAM com atividades suspeitas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/37`  
**Agrupado por:** Usuário do IAM  
**Filtros de descoberta:**  
+ O tipo de recurso é `AwsIamUser`
+ O estado do registro é `ACTIVE`
+ O status do fluxo de trabalho é `NEW` ou `NOTIFIED`

**33. Recursos com o maior número de AWS Health descobertas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/38`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ `ProductName` igual a `Health`

**34. Recursos com o maior número de AWS Config descobertas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/39`  
**Agrupado por:** ID do recurso  
**Filtros de descoberta:**  
+ `ProductName` igual a `Config`

**35. Aplicações com mais descobertas**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/40`  
**Agrupado por:** ResourceApplicationArn  
**Filtros de descoberta:**  
+ `RecordState` igual a `ACTIVE`
+ `Workflow.Status` é igual a `NEW` ou `NOTIFIED`

# Noções básicas sobre os insights personalizados no CSPM do Security Hub
<a name="securityhub-custom-insights"></a>

Além dos insights gerenciados do AWS Security Hub CSPM, você pode criar insights personalizados no Security Hub CSPM para rastrear problemas específicos do seu ambiente. Os insights personalizados ajudam a rastrear um subconjunto selecionado de problemas.

Aqui estão alguns exemplos de insights personalizados que podem ser úteis configurar:
+ Se você tiver uma conta de administrador, pode configurar uma visão personalizada para rastrear descobertas críticas e de alta gravidade que estão afetando as contas dos membros.
+ Se você confia em um [AWS serviço integrado](securityhub-internal-providers.md) específico, pode configurar uma visão personalizada para rastrear descobertas críticas e de alta gravidade desse serviço.
+ Se você depende de uma [integração de terceiros](securityhub-partner-providers.md), pode configurar um insight personalizado para rastrear descobertas críticas e de alta gravidade desse produto integrado.

É possível criar insights personalizados completamente novos ou começar a partir de um insight personalizado ou gerenciado existente.

Cada insight pode ser configurado com as seguintes opções:
+ **Atributo de agrupamento**: o atributo de agrupamento determina os itens que são exibidos na lista de resultados do insight. Por exemplo, se o atributo de agrupamento for **Nome do produto**, os resultados de insights exibirão o número de descobertas associadas a cada provedor de descobertas.
+ **Filtros opcionais**: os filtros opcionais reduzem as descobertas correspondentes para o insight.

  Uma descoberta será incluída nos resultados do insight somente se corresponder a todos os filtros fornecidos. Por exemplo, se os filtros forem “Nome do produto é GuardDuty” e “Tipo de recurso é `AwsS3Bucket` “, as descobertas correspondentes devem corresponder a esses dois critérios.

  Contudo, o CSPM do Security Hub aplica a lógica booliana OR aos filtros que usam o mesmo atributo, mas valores diferentes. Por exemplo, se os filtros forem “Nome do produto é GuardDuty” e “Nome do produto é Amazon Inspector”, uma descoberta corresponderá se foi gerada pela Amazon GuardDuty ou pelo Amazon Inspector.

Se você usar o identificador ou o tipo de recurso como atributo de agrupamento, os resultados do insight incluirão todos os recursos que estiverem nas descobertas correspondentes. A lista não está limitada aos recursos que correspondem a um filtro de tipo de recurso. Por exemplo, um insight identifica as descobertas associadas aos buckets do S3 e agrupa essas descobertas por identificador de recurso. uma descoberta correspondente contiver um recurso de bucket do S3 e um recurso de chave de acesso do IAM. Os resultados do insight incluem ambos os recursos.

Se você habilitou a [agregação entre regiões](finding-aggregation.md) e depois criou om insight personalizado, o insight se aplicará às descobertas correspondentes na região de agregação e nas regiões vinculadas. A exceção é se o insight incluir um filtro de região.

# Criar um insight personalizado
<a name="securityhub-custom-insight-create-api"></a>

No AWS Security Hub CSPM, insights personalizados podem ser usados para coletar um conjunto específico de descobertas e rastrear problemas exclusivos do seu ambiente. Para obter informações contextuais sobre insights personalizados, consulte [Noções básicas sobre os insights personalizados no CSPM do Security Hub](securityhub-custom-insights.md).

Escolha seu método preferido e siga as etapas para criar um insight personalizado no CSPM do Security Hub

------
#### [ Security Hub CSPM console ]

**Para criar um insight personalizado (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Insights**.

1. Escolha **Criar insight**.

1. Para selecionar o atributo de agrupamento do insight:

   1. Escolha a caixa de pesquisa para exibir as opções de filtro.

   1. Escolha **Agrupar por**.

   1. Selecione o atributo a ser usado para agrupar as descobertas que são associadas a esse insight.

   1. Escolha **Aplicar**.

1. Ou escolha filtros adicionais a serem usados para esse insight. Para cada filtro, defina o critério de filtro e escolha **Aplicar**.

1. Escolha **Criar insight**.

1. Insira um **Nome do insight** e escolha **Criar insight**.

------
#### [ Security Hub CSPM API ]

**Para criar um insight personalizado (API)**

1. Para criar um insight personalizado, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html) da API do CSPM do Security Hub. Se você usar o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html)comando.

1. Preencha o `Name` parâmetro com um nome para seu insight personalizado.

1. Preencha o `Filters` parâmetro para especificar quais descobertas devem ser incluídas no insight.

1. Preencha o `GroupByAttribute` parâmetro para especificar quais atributos são ousados para agrupar as descobertas incluídas no insight.

1. Opcionalmente, preencha o parâmetro `SortCriteria` para classificar as descobertas por um campo específico.

O exemplo a seguir cria um insight personalizado que inclui descobertas críticas com o tipo de recurso `AwsIamRole`. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```

------
#### [ PowerShell ]

**Para criar um insight personalizado (PowerShell)**

1. Use o cmdlet `New-SHUBInsight`.

1. Preencha o `Name` parâmetro com um nome para seu insight personalizado.

1. Preencha o `Filter` parâmetro para especificar quais descobertas devem ser incluídas no insight.

1. Preencha o `GroupByAttribute` parâmetro para especificar quais atributos são ousados para agrupar as descobertas incluídas no insight.

Se você habilitou a [agregação entre regiões](finding-aggregation.md) e usa esse cmdlet desde a região de agregação, o insight se aplica às descobertas correspondentes da agregação e das regiões vinculadas.

**Exemplo**

```
$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```

------

## Criar um insight personalizado baseado em um insight gerenciado (apenas console)
<a name="securityhub-custom-insight-frrom-managed"></a>

Você não pode salvar alterações nem excluir um insight gerenciado. Também é possível usar um insight gerenciado como base para um insight personalizado. Essa é uma opção apenas no console do CSPM do Security Hub.

**Para criar um insight personalizado baseado em um insight gerenciado (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Insights**.

1. Escolha o insight gerenciado no qual trabalhar.

1. Edite a configuração do insight, se necessário.
   + Para alterar o atributo usado para agrupar descobertas no insight:

     1. Para remover o agrupamento existente, escolha o **X** ao lado da configuração **Agrupar por**.

     1. Escolha a caixa Pesquisar.

     1. Selecione o atributo a ser usado para agrupamento.

     1. Escolha **Aplicar**.
   + Para remover um filtro do insight, escolha o **X** circulado ao lado do filtro.
   + Para adicionar um filtro ao insight:

     1. Escolha a caixa Pesquisar.

     1. Selecione o atributo e o valor a serem usados como filtro.

     1. Escolha **Aplicar**.

1. Quando as atualizações estiverem concluídas, escolha **Criar insight**.

1. Quando solicitado, insira um **Nome de insight** e então escolha **Criar insight **.

# Editar um insight personalizado
<a name="securityhub-custom-insight-modify-console"></a>

É possível editar um insight personalizado existente para alterar o valor de agrupamento e os filtros. Depois de fazer as alterações, você pode salvar as atualizações no insight original ou salvar a versão atualizada como um novo insight.

No AWS Security Hub CSPM, insights personalizados podem ser usados para coletar um conjunto específico de descobertas e rastrear problemas exclusivos do seu ambiente. Para obter informações contextuais sobre insights personalizados, consulte [Noções básicas sobre os insights personalizados no CSPM do Security Hub](securityhub-custom-insights.md).

Para editar um insight personalizado, escolha seu método preferido e siga as instruções.

------
#### [ Security Hub CSPM console ]

**Para editar um insight personalizado (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Insights**.

1. Escolha o insight personalizado a ser modificado.

1. Edite a configuração do insight, se necessário.
   + Para alterar o atributo usado para agrupar descobertas no insight:

     1. Para remover o agrupamento existente, escolha o **X** ao lado da configuração **Agrupar por**.

     1. Escolha a caixa Pesquisar.

     1. Selecione o atributo a ser usado para agrupamento.

     1. Escolha **Aplicar**.
   + Para remover um filtro do insight, escolha o **X** circulado ao lado do filtro.
   + Para adicionar um filtro ao insight:

     1. Escolha a caixa Pesquisar.

     1. Selecione o atributo e o valor a serem usados como filtro.

     1. Escolha **Aplicar**.

1. Ao concluir as atualizações, escolha **Salvar insight**.

1. Quando solicitado, siga um destes procedimentos:
   + Para atualizar o insight existente para refletir suas alterações, escolha **Atualizar *<Insight\$1Name>*** e, em seguida, escolha **Salvar insight**.
   + Para criar um insight com as atualizações, escolha **Salvar novo insight**. Insira um **Nome de insight** e então escolha **Salvar insight**.

------
#### [ Security Hub CSPM API ]

**Para editar um insight personalizado (API)**

1. Use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html) da API do CSPM do Security Hub. Se você usar o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html)comando AWS CLI run the.

1. Para identificar o insight personalizado que você deseja atualizar, forneça o nome do recurso da Amazon (ARN) do insight. Para obter o ARN de um insight personalizado, execute a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) ou o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html).

1. Atualizar os parâmetros `Name`, `Filters`, e `GroupByAttribute` conforme necessário.

O exemplo a seguir atualiza insight especificado. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```

------
#### [ PowerShell ]

**Para editar um insight personalizado (PowerShell)**

1. Use o cmdlet `Update-SHUBInsight`.

1. Para identificar o insight personalizado, forneça o nome do recurso da Amazon (ARN) do insight. Para obter o ARN de um insight personalizado, use o cmdlet `Get-SHUBInsight`.

1. Atualizar os parâmetros `Name`, `Filter`, e `GroupByAttribute` conforme necessário.

**Exemplo**

```
$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```

------

# Excluir um insight personalizado
<a name="securityhub-custom-insight-delete-console"></a>

No AWS Security Hub CSPM, insights personalizados podem ser usados para coletar um conjunto específico de descobertas e rastrear problemas exclusivos do seu ambiente. Para obter informações contextuais sobre insights personalizados, consulte [Noções básicas sobre os insights personalizados no CSPM do Security Hub](securityhub-custom-insights.md).

Para excluir um insight personalizado, escolha seu método preferido e siga as instruções. Você não pode excluir um insight gerenciado.

------
#### [ Security Hub CSPM console ]

**Para excluir um insight personalizado (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Insights**.

1. Localize o insight personalizado a ser excluído.

1. Para esse insight, escolha o ícone de mais opções (os três pontos no canto superior direito do cartão).

1. Escolha **Excluir**.

------
#### [ Security Hub CSPM API ]

**Para excluir um insight personalizado (API)**

1. Use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html) da API do CSPM do Security Hub. Se você usar o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html)comando AWS CLI run the.

1. Para identificar o insight personalizado a ser excluído, forneça o ARN do insight. Para obter o ARN de um insight personalizado, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) ou o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html).

O exemplo a seguir exclui o insight especificado. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------
#### [ PowerShell ]

**Para excluir um insight personalizado (PowerShell)**

1. Use o cmdlet `Remove-SHUBInsight`.

1. Para identificar o insight personalizado, forneça o ARN do insight. Para obter o ARN de um insight personalizado, use o cmdlet `Get-SHUBInsight`.

**Exemplo**

```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Modificação e ação automática a partir de descobertas do CSPM do Security Hub
<a name="automations"></a>

AWS O Security Hub CSPM tem recursos que modificam e agem automaticamente com base nas descobertas com base em suas especificações.

O CSPM do Security Hub oferece suporte atualmente a dois tipos de automações:
+ **Regras de automação**: atualize e suprima automaticamente as descobertas quase em tempo real com base nos critérios definidos por você.
+ **Resposta e remediação automatizadas** — Crie EventBridge regras personalizadas da Amazon que definam ações automáticas a serem tomadas em relação a descobertas e insights específicos.

As regras de automação são úteis quando você deseja atualizar automaticamente os campos de busca no Formato AWS de descoberta de segurança (ASFF). Por exemplo, você pode usar uma regra de automação para atualizar o nível de gravidade ou o status do fluxo de trabalho das descobertas de determinadas integrações de terceiros. Usar a regra de automação elimina a necessidade de atualizar manualmente o nível de gravidade ou o status do fluxo de trabalho de cada descoberta desse produto de terceiros.

EventBridge as regras são úteis quando você deseja realizar ações fora do CSPM do Security Hub com relação a descobertas específicas ou enviar descobertas específicas para ferramentas de terceiros para remediação ou investigação adicional. As regras podem ser usadas para acionar ações compatíveis, como invocar uma AWS Lambda função ou notificar um tópico do Amazon Simple Notification Service (Amazon SNS) sobre uma descoberta específica.

As regras de automação entram em vigor antes que EventBridge as regras sejam aplicadas. Ou seja, as regras de automação são acionadas e atualizam uma descoberta antes de EventBridge receber a descoberta. EventBridge as regras então se aplicam à descoberta atualizada.

Ao configurar automações para controles de segurança, recomendamos filtrar com base no ID do controle, e não no título ou na descrição. Enquanto o Security Hub CSPM ocasionalmente atualiza títulos e descrições de controle, o controle IDs permanece o mesmo.

**Topics**
+ [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md)
+ [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md)

# Noções básicas sobre as regras de automação do CSPM do Security Hub
<a name="automation-rules"></a>

Você pode usar regras de automação para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. À medida que ingere descobertas, o CSPM do Security Hub pode aplicar diversas ações de regra, como suprimir descobertas, alterar a gravidade e adicionar observações. Essas ações de regra modificam as descobertas que correspondem aos critérios que você especificou.

Exemplos de casos de uso de regras de automação incluem:
+ Elevar a gravidade de uma descoberta para `CRITICAL` se o ID do recurso da descoberta se referir a um recurso crítico para os negócios.
+ Elevar a gravidade de uma descoberta de `HIGH` para `CRITICAL` se a descoberta afetar recursos em contas de produção específicas.
+ Atribuir descobertas específicas que tenham um status de fluxo de trabalho com gravidade de `INFORMATIONAL` a `SUPPRESSED`.

Você só pode criar e gerenciar regras de automação em uma conta de administrador do CSPM do Security Hub.

As regras se aplicam às novas descobertas e às descobertas atualizadas. É possível criar uma regra personalizada do zero ou usar um modelo de regra fornecido pelo CSPM do Security Hub. Também é possível começar com um modelo e modificá-lo conforme o necessário.

## Definir os critérios da regra e as ações da regra
<a name="automation-rules-how-it-works"></a>

Em uma conta de administrador do CSPM do Security Hub, é possível criar uma regra de automação definindo um ou mais *critérios* da regra e uma ou mais *ações* da regra. Quando uma descoberta corresponde aos critérios definidos, o CSPM do Security Hub aplica a ela as ações da regra. Para obter mais informações sobre critérios e ações disponíveis, consulte [Critérios de regras e ações de regras disponíveis](#automation-rules-criteria-actions).

Atualmente, o CSPM do Security Hub aceita até 100 regras de automação para cada conta de administrador.

O administrador do CSPM do Security Hub também pode editar, visualizar e excluir as regras de automação. Uma regra se aplica as descobertas correspondentes à conta do administrador e a todas as suas contas de membro. Ao fornecer a conta do membro IDs como critério de regra, os administradores do CSPM do Security Hub também podem usar regras de automação para atualizar ou suprimir descobertas em contas de membros específicas.

Uma regra de automação se aplica somente Região da AWS no local em que foi criada. Para aplicar uma regra em várias regiões, o administrador deve criar a regra em cada uma delas. Isso pode ser feito por meio do console do CSPM do Security Hub, da API do CSPM do Security Hub ou do [AWS CloudFormation](creating-resources-with-cloudformation.md). Também é possível usar um [script de implantação multirregional](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules).

## Critérios de regras e ações de regras disponíveis
<a name="automation-rules-criteria-actions"></a>

Atualmente, os seguintes campos do AWS Security Finding Format (ASFF) são aceitos como critérios para regras de automação:


| Critérios de regras | Operadores de filtro | Tipo de campo | 
| --- | --- | --- | 
| AwsAccountId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| AwsAccountName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| CompanyName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ComplianceAssociatedStandardsId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ComplianceSecurityControlId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ComplianceStatus  | Is, Is Not  | Selecionar: [FAILED, NOT\$1AVAILABLE, PASSED, WARNING]  | 
| Confidence  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Número  | 
| CreatedAt  | Start, End, DateRange  | Data (formatada como 2022-12-01T21:47:39.269Z)  | 
| Criticality  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Número  | 
| Description  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| FirstObservedAt  | Start, End, DateRange  | Data (formatada como 2022-12-01T21:47:39.269Z)  | 
| GeneratorId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| Id  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| LastObservedAt  | Start, End, DateRange  | Data (formatada como 2022-12-01T21:47:39.269Z)  | 
| NoteText  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| NoteUpdatedAt  | Start, End, DateRange  | Data (formatada como 2022-12-01T21:47:39.269Z)  | 
| NoteUpdatedBy  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ProductArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ProductName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| RecordState  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| RelatedFindingsId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| RelatedFindingsProductArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourceApplicationArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourceApplicationName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourceDetailsOther  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Mapa  | 
| ResourceId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourcePartition  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourceRegion  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourceTags  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Mapa  | 
| ResourceType  | Is, Is Not  | Selecione (consulte [Recursos](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) aceitos pelo ASFF)  | 
| SeverityLabel  | Is, Is Not  | Selecione [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL]  | 
| SourceUrl  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| Title  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| Type  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| UpdatedAt  | Start, End, DateRange  | Data (formatada como 2022-12-01T21:47:39.269Z)  | 
| UserDefinedFields  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Mapa  | 
| VerificationState  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| WorkflowStatus  | Is, Is Not  | Selecionar: [NEW, NOTIFIED, RESOLVED, SUPPRESSED]  | 

Para critérios rotulados como campos de string, o uso de diferentes operadores de filtro no mesmo campo afeta a lógica de avaliação. Para obter mais informações, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html) na *Referência de API CSPM do AWS Security Hub*.

Cada critério aceita um número máximo de valores que podem ser usados para filtrar as descobertas correspondentes. Para ver os limites de cada critério, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html) na *Referência de API do CSPM do AWS Security Hub*.

Atualmente, os seguintes campos do ASFF são aceitos como ações para regras de automação:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Para obter mais informações sobre campos do ASFF específicos, consulte a [Sintaxe do Formato de Descobertas de Segurança da AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).

**dica**  
 Se você quiser que o CSPM do Security Hub pare de gerar descobertas para um controle específico, recomendamos desabilitar o controle em vez de usar uma regra de automação. Quando você desabilita um controle, o CSPM do Security Hub para de executar verificações de segurança nele e para de gerar descobertas para ele, para que você não incorra em cobranças por esse controle. Recomendamos o uso de regras de automação para alterar os valores de campos específicos do ASFF para descobertas que correspondam aos critérios definidos. Para obter mais informações sobre como desabilitar controles, consulte [Desabilitação de controles no CSPM do Security Hub](disable-controls-overview.md).

## Descobertas que as regras de automação avaliam
<a name="automation-rules-findings"></a>

Uma regra de automação avalia as descobertas novas e atualizadas que o CSPM do Security Hub gera ou ingere por meio da operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) *depois* que você cria a regra. O CSPM do Security Hub atualiza as descobertas do controle a cada 12 a 24 horas ou quando o recurso associado muda de estado. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).

As regras de automação avaliam as descobertas originais fornecidas por provedores. Os provedores podem fornecer novas descobertas e atualizar as descobertas existentes por meio da operação `BatchImportFindings` da API do CSPM do Security Hub. Se os campos a seguir não existirem na descoberta original, o CSPM do Security Hub preencherá automaticamente os campos e, em seguida, usará os valores preenchidos na avaliação pela regra de automação:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`

Depois de criar uma ou mais regras de automação, as regras não serão acionadas se você atualizar os campos de descoberta usando a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Se você criar uma regra de automação e fizer uma atualização de `BatchUpdateFindings` que afete o mesmo campo de descoberta, a última atualização definirá o valor desse campo. Veja o seguinte exemplo:

1. Você usa a operação `BatchUpdateFindings` para alterar o valor do campo `Workflow.Status` de uma descoberta de `NEW` para `NOTIFIED`.

1. Se você chamar `GetFindings`, o campo `Workflow.Status` passará a ter um valor de `NOTIFIED`.

1. Você cria uma regra de automação que altera o campo `Workflow.Status` da descoberta de `NEW` para `SUPPRESSED`. (Lembre-se de que as regras ignoram as atualizações feitas usando a operação `BatchUpdateFindings`.)

1. O provedor de descobertas usa a operação `BatchImportFindings` para atualizar a descoberta e altera o valor do campo `Workflow.Status` da descoberta para `NEW`.

1. Se você chamar `GetFindings`, o campo `Workflow.Status` passará a ter um valor de `SUPPRESSED`. Esse é o caso, pois a regra de automação foi aplicada e a regra foi a última ação realizada na descoberta.

Quando você cria ou edita uma regra no console do CSPM do Security Hub, o console exibe uma versão beta das descobertas que correspondam aos critérios da regra. Considerando que as regras de automação avaliam as descobertas originais enviadas pelo provedor de descobertas, a visualização beta no console reflete as descobertas em seu estado final, conforme elas seriam mostradas em uma resposta à operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) (ou seja, após as ações das regras ou outras atualizações serem aplicadas à descoberta).

## Como funciona a ordem das regras
<a name="rule-order"></a>

Ao criar regras de automação, você atribui uma ordem a cada regra. Isso determina a ordem na qual o CSPM do Security Hub aplica suas regras de automação e se torna importante quando várias regras estão relacionadas à mesma descoberta ou campo de descoberta.

Quando várias ações de regra estão relacionadas à mesma descoberta ou campo de descoberta, a regra com o maior valor numérico para a ordem das regras se aplica por último e produz o efeito final.

Quando você cria uma regra no console do CSPM do Security Hub, o CSPM do Security Hub atribui automaticamente a ordem das regras com base na ordem de criação da regra. A regra criada mais recentemente tem o menor valor numérico para a ordem das regras e, portanto, se aplica primeiro. O CSPM do Security Hub aplica regras subsequentes em ordem ascendente.

Quando você cria uma regra por meio da API CSPM do Security Hub ou AWS CLI, o Security Hub CSPM aplica a regra com o menor valor numérico para a primeira. `RuleOrder` Em seguida, aplica regras subsequentes em ordem ascendente. Se várias descobertas tiverem a mesma `RuleOrder`, o CSPM do Security Hub aplica uma regra com um valor anterior primeiro para o campo `UpdatedAt` (ou seja, a regra que foi editada mais recentemente se aplica por último).

É possível modificar a ordem das regras a qualquer momento.

**Exemplo de ordem de regras**:

**Regra A (a ordem das regras é `1`)**:
+ Critérios da Regra A
  + `ProductName` = `Security Hub CSPM`
  + `Resources.Type` é `S3 Bucket`
  + `Compliance.Status` = `FAILED`
  + `RecordState` é `NEW`
  + `Workflow.Status` = `ACTIVE`
+ Ações da Regra A
  + Atualizar `Confidence` para `95`
  + Atualizar `Severity` para `CRITICAL`

**Regra B (a ordem das regras é `2`)**:
+ Critérios da Regra B
  + `AwsAccountId` = `123456789012`
+ Ações de Regra B
  + Atualizar `Severity` para `INFORMATIONAL`

As ações da Regra A se aplicam primeiro às descobertas do CSPM do Security Hub que correspondem aos critérios da Regra A. Em seguida, as ações da Regra B se aplicam às descobertas do CSPM do Security Hub com o ID da conta especificado. Neste exemplo, como a Regra B se aplica por último, o valor final de `Severity` nas descobertas do ID da conta especificada é `INFORMATIONAL`. Com base na ação da Regra A, o valor final de `Confidence` nas descobertas correspondentes é `95`.

# Criar regras de automação
<a name="create-automation-rules"></a>

Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. É possível criar uma regra personalizada do zero ou usar um modelo de regra já preenchido no console do CSPM do Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).

É possível criar apenas uma regra de automação por vez. Para criar várias regras de automação, siga os procedimentos do console várias vezes ou chame a API ou o comando várias vezes com os parâmetros desejados.

É necessário criar uma regra de automação em cada região e conta na qual deseja que a regra se aplique às descobertas.

Quando você cria uma regra de automação no console do CSPM do Security Hub, o CSPM do Security Hub mostra uma versão beta das descobertas às quais sua regra se aplica. No momento, não há suporte para a versão beta se os seus critérios de regra incluírem um filtro CONTAINS ou NOT\$1CONTAINS. É possível escolher esses filtros para os tipos de campo de mapa e segmento.

**Importante**  
AWS recomenda que você não inclua informações de identificação pessoal, confidenciais ou sigilosas no nome, na descrição ou em outros campos da regra.

## Criar uma regra de automação personalizada
<a name="create-automation-rules-custom"></a>

Escolha o método de sua preferência e siga as etapas a seguir para criar regras de automação personalizadas.

------
#### [ Console ]

**Para criar uma regra de autorização personalizada (console)**

1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação à esquerda, escolha **Automação**.

1. Escolha **Criar regra**. Em **Tipo de regra**, escolha **Criar regra personalizada**.

1. Na seção **Regra**, forneça um nome de regra exclusivo e uma descrição para sua regra.

1. Em **Critérios**, use os menus suspensos **Chave**, **Operador** e **Valor** para especificar seus critérios de regra. É necessário especificar pelo menos um critério de regra.

   Se houver suporte para os critérios selecionados, o console mostrará uma versão beta das descobertas que correspondam aos seus critérios.

1. Para **Ação automatizada**, use os menus suspensos para especificar quais campos de descoberta devem ser atualizados quando as descobertas corresponderem aos critérios da regra. É necessário especificar pelo menos uma ação de regra.

1. Em **Status da regra**, escolha se você deseja que a regra seja **Habilitada** ou **Desabilitada** depois de criada.

1. (Opcional) Expanda a seção **Configurações adicionais**. Selecione **Ignorar regras subsequentes para descobertas que correspondam a esses critérios** se quiser que essa regra seja a última regra aplicada às descobertas que correspondam aos critérios da regra.

1. (Opcional) Para **Tags**, adicione tags como pares de chave-valor para ajudar você a identificar facilmente a regra.

1. Escolha **Criar regra**.

------
#### [ API ]

**Para criar uma regra de autorização personalizada (API)**

1. Execute o comando [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html) na conta do administrador do CSPM do Security Hub. Essa API cria uma regra com um nome do recurso da Amazon (ARN) específico.

1. Forneça um nome e uma descrição para a regra.

1. Defina o parâmetro `IsTerminal` como `true` se você quiser que essa regra seja a última regra aplicada às descobertas que correspondam aos critérios da regra.

1. Para o parâmetro `RuleOrder`, forneça a ordem da regra. O CSPM do Security Hub aplica regras com um valor numérico menor primeiro para esse parâmetro.

1. Para o parâmetro `RuleStatus`, especifique se você deseja que o CSPM do Security Hub habilite e comece a aplicar a regra às descobertas após a criação. Se nenhum valor for especificado, o padrão será `ENABLED`. Um valor `DISABLED` significa que a regra é pausada após a criação.

1. Para o parâmetro `Criteria`, forneça os critérios que você deseja que o CSPM do Security Hub use para filtrar suas descobertas. A ação da regra se aplicará às descobertas que correspondam aos critérios. Para obter uma lista dos serviços compatíveis, consulte [Critérios de regras e ações de regras disponíveis](automation-rules.md#automation-rules-criteria-actions).

1. Para o parâmetro `Actions`, forneça as ações que você deseja que o CSPM do Security Hub execute quando houver uma correspondência entre uma descoberta e seus critérios definidos. Para ver uma de ações compatíveis, consulte [Critérios de regras e ações de regras disponíveis](automation-rules.md#automation-rules-criteria-actions).

O AWS CLI comando de exemplo a seguir cria uma regra de automação que atualiza o status do fluxo de trabalho e a nota das descobertas correspondentes. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub create-automation-rule \
--actions '[{
 "Type": "FINDING_FIELDS_UPDATE",
 "FindingFieldsUpdate": {
 "Severity": {
 "Label": "HIGH"
 },
 "Note": {
 "Text": "Known issue that is a risk. Updated by automation rules",
 "UpdatedBy": "sechub-automation"
 }
 }
 }]' \
--criteria '{
 "SeverityLabel": [{
 "Value": "INFORMATIONAL",
 "Comparison": "EQUALS"
 }]
 }' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```

------

## Criar uma regra de automação a partir de um modelo (console apenas)
<a name="create-automation-rules-template"></a>

Os modelos de regra refletem casos de uso comuns de regras de automação. Atualmente, somente o console do CSPM do Security Hub oferece suporte a modelos de regras. Conclua as etapas a seguir para criar uma regra de automação a partir de um modelo no console.

**Para criar uma regra de automação a partir de um modelo (console)**

1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação à esquerda, escolha **Automação**.

1. Escolha **Criar regra**. Em **Tipo de regra**, escolha **Criar uma regra a partir do modelo**.

1. Selecione um modelo de regra no menu suspenso.

1. (Opcional) Se necessário para seu caso de uso, modifique as seções **Regra**, **Critérios** e **Ação automatizada**. Especifique pelo menos um critério de regra e uma ação de regra.

   Se houver suporte para os critérios selecionados, o console mostrará uma versão beta das descobertas que correspondam aos seus critérios.

1. Em **Status da regra**, escolha se você deseja que a regra seja **Habilitada** ou **Desabilitada** depois de criada.

1. (Opcional) Expanda a seção **Configurações adicionais**. Selecione **Ignorar regras subsequentes para descobertas que correspondam a esses critérios** se quiser que essa regra seja a última regra aplicada às descobertas que correspondam aos critérios da regra.

1. (Opcional) Para **Tags**, adicione tags como pares de chave-valor para ajudar você a identificar facilmente a regra.

1. Escolha **Criar regra**.

# Visualizar regras de automação
<a name="view-automation-rules"></a>

Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).

Escolha seu método preferido e siga as etapas para visualizar as regras de automação existentes e os detalhes de cada regra.

Para visualizar um histórico de como as regras de automação alteraram suas descobertas, consulte [Análise de detalhes e históricos de descobertas no CSPM do Security Hub](securityhub-findings-viewing.md).

------
#### [ Console ]

**Para visualizar regras de automação (console)**

1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação à esquerda, escolha **Automação**.

1. Escolha um nome de função. Como alternativa, selecione uma regra.

1. Escolha **Ações** e **Visualizar**.

------
#### [ API ]

**Para visualizar regras de automação (API)**

1. Para visualizar as regras de automação da sua conta, execute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html) a partir da conta de administrador do CSPM do Security Hub. Essa API retorna a regra ARNs e outros metadados das suas regras. Nenhum parâmetro de entrada é necessário para essa API, mas você pode fornecer opcionalmente `MaxResults` para limitar o número de resultados e `NextToken` como parâmetro de paginação. O valor inicial de `NextToken` deveria ser `NULL`.

1. Para obter detalhes adicionais da regra, incluindo os critérios e as ações de uma regra, execute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html) a partir da conta de administrador do CSPM do Security Hub. Forneça as regras ARNs de automação das quais você deseja obter detalhes.

   O exemplo seguir recupera os detalhes das regras de automação especificadas. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

   ```
   $ aws securityhub batch-get-automation-rules \
   --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
   --region us-east-1
   ```

------

# Editar regras de automação
<a name="edit-automation-rules"></a>

Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).

Depois de criar uma regra de automação, o administrador delegado do CSPM do Security Hub poderá editá-la. Quando você edita uma regra de automação, as alterações se aplicam às descobertas novas e atualizadas que o CSPM do Security Hub gera ou recebe após a edição da regra.

Escolha seu método preferido e siga as etapas para editar o conteúdo de uma regra de automação. É possível editar uma ou mais regras com uma única solicitação. Para obter instruções sobre como editar a ordem das regras, consulte [Editar a ordem das regras de automação](edit-rule-order.md).

------
#### [ Console ]

**Para editar regras de automação (console)**

1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação à esquerda, escolha **Automação**.

1. Selecione a regra a ser editada. Escolha **Ações** e **Editar**.

1. Altere a regra conforme desejado e escolha **Salvar alterações**.

------
#### [ API ]

**Para editar regras de automação (API)**

1. Execute o comando [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) na conta do administrador do CSPM do Security Hub.

1. Para o parâmetro `RuleArn`, forneça o ARN da(s) regra(s) que você deseja editar.

1. Forneça os novos valores dos parâmetros que você deseja editar. É possível editar qualquer parâmetro, exceto `RuleArn`.

O exemplo a seguir atualiza a regra de automação especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
    {
      "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
          "Note": {
            "Text": "Known issue that is a risk",
            "UpdatedBy": "sechub-automation"
          },
          "Workflow": {
            "Status": "NEW"
          }
        }
      }],
      "Criteria": {
        "SeverityLabel": [{
         "Value": "LOW",
         "Comparison": "EQUALS"
        }]
      },
      "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
      "RuleOrder": 14,
      "RuleStatus": "DISABLED",
    }
  ]' \
--region us-east-1
```

------

# Editar a ordem das regras de automação
<a name="edit-rule-order"></a>

Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).

Depois de criar uma regra de automação, o administrador delegado do CSPM do Security Hub poderá editá-la.

Se quiser manter os critérios e as ações da regra como estão, mas alterar a ordem na qual o CSPM do Security Hub aplica uma regra de automação, será possível editar a ordem da regra. Escolha seu método preferido e siga as etapas para editar a ordem das regras.

Para obter instruções sobre como editar os critérios ou as ações de uma regra de automação, consulte [Editar regras de automação](edit-automation-rules.md).

------
#### [ Console ]

**Para editar a ordem das regras de automação (console)**

1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação à esquerda, escolha **Automação**.

1. Selecione a regra cuja ordem você deseja alterar. Escolha **Editar prioridade**.

1. Escolha **Mover para cima** para aumentar a prioridade da regra em uma unidade. Escolha **Mover para baixo** para diminuir a prioridade da regra em uma unidade. Escolha **Mover para cima** para atribuir à regra uma ordem de **1** (isso dá precedência a essa regra sobre outras regras existentes).

**nota**  
Quando você cria uma regra no console do CSPM do Security Hub, o CSPM do Security Hub atribui automaticamente a ordem das regras com base na ordem de criação da regra. A regra criada mais recentemente tem o menor valor numérico para a ordem das regras e, portanto, se aplica primeiro.

------
#### [ API ]

**Para editar a ordem das regras de automação (API)**

1. Use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) na conta de administrador do CSPM do Security Hub.

1. Para o parâmetro `RuleArn`, forneça o ARN da(s) regra(s) cuja ordem você deseja editar.

1. Modifique o valor do campo `RuleOrder`.

**nota**  
Se várias regras tiverem a mesma `RuleOrder`, o CSPM do Security Hub aplicará uma regra com um valor anterior primeiro para o campo `UpdatedAt` (ou seja, a regra que foi editada mais recentemente se aplica por último).

------

# Excluir ou desabilitar regras de automação
<a name="delete-automation-rules"></a>

Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).

Quando você exclui uma regra de automação, o CSPM do Security Hub a remove da sua conta e não aplica mais a regra às descobertas. Como alternativa à exclusão, você pode *desabilitar* uma regra. Isso retém a regra para uso futuro, mas o CSPM do Security Hub não aplicará a regra a nenhuma descoberta correspondente até que você a habilite.

Escolha seu método preferido e siga as etapas para excluir uma regra de automação. É possível excluir uma ou mais regras em uma única solicitação.

------
#### [ Console ]

**Para excluir ou desabilitar regras de automação (console)**

1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação à esquerda, escolha **Automação**.

1. Selecione a(s) regra(s) que deseja excluir. Escolha **Ação** e **Excluir** (para reter uma regra, mas desabilite-a temporariamente e escolha **Desabilitar**).

1. Confirme a sua decisão e escolha **Delete** (Excluir).

------
#### [ API ]

**Para excluir ou desabilitar regras de automação (API)**

1. Use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html) na conta de administrador do CSPM do Security Hub.

1. Para o parâmetro `AutomationRulesArns`, forneça o ARN da(s) regra(s) que você deseja excluir (para reter uma regra, mas desabilite-a temporariamente e forneça `DISABLED` para o parâmetro `RuleStatus`).

O exemplo a seguir exclui a regra de automação especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```

------

# Exemplos de regras de automação
<a name="examples-automation-rules"></a>

Esta seção fornece exemplos de regras de automação para casos de uso comuns do CSPM do Security Hub. Estes exemplos correspondem aos modelos de regras disponíveis no console do CSPM do Security Hub.

## Eleve a gravidade para Crítica quando um recurso específico, como um bucket S3, estiver em risco
<a name="example-automation-rule-severity-resource"></a>

Neste exemplo, os critérios da regra são combinados quando o `ResourceId` em uma descoberta é um bucket específico do Amazon Simple Storage Service (Amazon S3). A ação da regra é alterar a gravidade das descobertas correspondentes para `CRITICAL`. É possível modificar esse modelo para aplicá-lo a outros recursos.

**Exemplo de solicitação de API**:

```
{
    "IsTerminal": true,
    "RuleName": "Elevate severity of findings that relate to important resources",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub CSPM",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "ResourceId": [{
            "Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "This is a critical resource. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Exemplo de comando da CLI:**

```
$ 
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \

--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

## Eleve a gravidade das descobertas relacionadas aos recursos nas contas de produção
<a name="example-automation-rule-severity-change"></a>

Neste exemplo, os critérios da regra são correspondidos quando uma descoberta de gravidade `HIGH` é gerada em contas de produção específicas. A ação da regra é alterar a gravidade das descobertas correspondentes para `CRITICAL`.

**Exemplo de solicitação de API**:

```
{
    "IsTerminal": false,
    "RuleName": "Elevate severity for production accounts",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub CSPM",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "HIGH",
            "Comparison": "EQUALS"
        }],
        "AwsAccountId": [
        {
            "Value": "111122223333",
            "Comparison": "EQUALS"
        },
        {
            "Value": "123456789012",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "A resource in production accounts is at risk. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Exemplo de comando da CLI:**

```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

## Suprimir descobertas informativas
<a name="example-automation-rule-change-workflow"></a>

Neste exemplo, os critérios da regra são comparados às constatações de `INFORMATIONAL` gravidade enviadas ao Security Hub CSPM da Amazon. GuardDuty A ação da regra é alterar o status do fluxo de trabalho das descobertas correspondentes para `SUPPRESSED`.

**Exemplo de solicitação de API**:

```
{
    "IsTerminal": false,
    "RuleName": "Suppress informational findings",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
    "Criteria": {
        "ProductName": [{
            "Value": "GuardDuty",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "INFORMATIONAL",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Workflow": {
                "Status": "SUPPRESSED"
            },
            "Note": {
                "Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Exemplo de comando da CLI:**

```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

# Usando EventBridge para resposta e remediação automatizadas
<a name="securityhub-cloudwatch-events"></a>

Ao criar regras na Amazon EventBridge, você pode responder automaticamente às descobertas do CSPM do AWS Security Hub. O Security Hub CSPM envia descobertas como *eventos* EventBridge em tempo quase real. É possível escrever regras simples para indicar em quais eventos você está interessado e quais ações automatizadas devem ser executadas quando um evento corresponder a uma regra. Ações que podem ser automaticamente acionadas incluem:
+ Invocando uma função AWS Lambda 
+ Invocação do comando de execução do Amazon EC2
+ Transmitir o evento Amazon Kinesis Data Streams
+ Ativando uma máquina de AWS Step Functions estado
+ Notificar um tópico do Amazon SNS ou uma fila do Amazon SQS
+ Enviar uma descoberta para uma ferramenta criação de tíquetes, chat, SIEM ou gerenciamento e resposta a incidentes de terceiros

O Security Hub CSPM envia automaticamente todas as novas descobertas e todas as atualizações das descobertas existentes EventBridge como EventBridge eventos. Você também pode criar ações personalizadas que permitem enviar descobertas selecionadas e resultados de insights para EventBridge.

Em seguida, você configura EventBridge as regras para responder a cada tipo de evento.

Para obter mais informações sobre o uso EventBridge, consulte o [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html).

**nota**  
Como prática recomendada, certifique-se de que as permissões de acesso concedidas aos seus usuários EventBridge usem políticas de privilégios mínimos AWS Identity and Access Management (IAM) que concedam somente as permissões necessárias.  
Para obter mais informações, consulte [Gerenciamento de identidade e acesso na Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html). 

Um conjunto de modelos para resposta e remediação automatizadas entre contas também está disponível em AWS Soluções. Os modelos utilizam regras de EventBridge eventos e funções Lambda. Você implanta a solução usando CloudFormation AWS Systems Manager e. A solução pode criar ações de resposta e correção totalmente automatizadas. Ela também pode usar ações personalizadas do CSPM do Security Hub para criar ações de resposta e correção acionadas pelo usuário. Para obter detalhes sobre como configurar e usar a solução, consulte a página [Resposta de segurança automatizada em AWS](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/).

**Topics**
+ [Tipos de eventos CSPM do Security Hub em EventBridge](securityhub-cwe-integration-types.md)
+ [EventBridge formatos de eventos para o Security Hub CSPM](securityhub-cwe-event-formats.md)
+ [Configurando uma EventBridge regra para as descobertas do CSPM do Security Hub](securityhub-cwe-all-findings.md)
+ [Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge](securityhub-cwe-custom-actions.md)

# Tipos de eventos CSPM do Security Hub em EventBridge
<a name="securityhub-cwe-integration-types"></a>

O Security Hub CSPM usa os seguintes tipos de EventBridge eventos da Amazon para integração com. EventBridge

No EventBridge painel do Security Hub CSPM, **Todos os eventos** inclui todos esses tipos de eventos.

## Todas as descobertas (Security Hub Findings - Imported)
<a name="securityhub-cwe-integration-types-all-findings"></a>

 O Security Hub CSPM envia automaticamente todas as novas descobertas e todas as atualizações das descobertas existentes EventBridge como **Security Hub Findings - Imported**eventos. Cada evento **Security Hub Findings - Imported**contém uma única descoberta.

Cada solicitação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) e [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) aciona um evento **Security Hub Findings - Imported**.

Para contas de administrador, o feed de eventos EventBridge inclui eventos para descobertas de suas contas e de suas contas de membros.

Em uma região de agregação, o feed de eventos inclui eventos para descobertas da região de agregação e das regiões vinculadas. As descobertas entre regiões são incluídas no feed de eventos quase em tempo real. Para obter informações sobre como configurar a agregação de descoberta, consulte [Noções básicas sobre a agregação entre regiões no CSPM do Security Hub](finding-aggregation.md).

Você pode definir regras EventBridge que encaminhem automaticamente as descobertas para um fluxo de trabalho de remediação, ferramenta de terceiros ou [outro EventBridge alvo compatível](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html). As regras podem incluir filtros que só aplicam a regra se a descoberta tiver valores de atributos específicos.

Você usa esse método para enviar automaticamente todas as descobertas, ou todas as descobertas que possuem características específicas, para um fluxo de trabalho de resposta ou correção.

Consulte [Configurando uma EventBridge regra para as descobertas do CSPM do Security Hub](securityhub-cwe-all-findings.md).

## Descobertas para ações personalizadas (Security Hub Findings - Custom Action)
<a name="securityhub-cwe-integration-types-finding-custom-action"></a>

O CSPM do Security Hub também envia descobertas associadas a ações personalizadas para eventos EventBridge . **Security Hub Findings - Custom Action**

Isso é útil para analistas que trabalhem com o console do CSPM do Security Hub e desejem enviar uma descoberta específica, ou um pequeno conjunto de descobertas, a um fluxo de trabalho de resposta ou correção. É possível selecionar uma ação personalizada para até 20 descobertas por vez. Cada descoberta é enviada EventBridge como um EventBridge evento separado.

Ao criar uma ação personalizada, você atribui a ela uma ID de ação personalizada. Você pode usar essa ID para criar uma EventBridge regra que executa uma ação específica depois de receber uma descoberta associada a essa ID de ação personalizada.

Consulte [Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge](securityhub-cwe-custom-actions.md).

Por exemplo, é possível criar uma ação personalizada no Security Hub chamada `send_to_ticketing`. Em seguida EventBridge, você cria uma regra que é acionada quando EventBridge recebe uma descoberta que inclui o ID da ação `send_to_ticketing` personalizada. A regra inclui a lógica para enviar a descoberta ao sistema de emissão de tíquetes. É possível então selecionar descobertas no CSPM do Security Hub e usar a ação personalizada nele para enviar manualmente as descobertas ao seu sistema de tíquetes.

Para obter exemplos de como enviar as descobertas do CSPM do Security Hub EventBridge para processamento adicional, consulte [Como integrar ações personalizadas do CSPM do AWS Security Hub com PagerDuty e Como habilitar ações personalizadas](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) [no CSPM do AWS Security Hub no blog da AWS Partner Network](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) (APN).

## Resultados de insight para ações personalizadas (Security Hub Insight Results)
<a name="securityhub-cwe-integration-types-insight-custom-action"></a>

Você também pode usar ações personalizadas para enviar conjuntos de resultados de insights EventBridge como **Security Hub Insight Results**eventos. Os resultados do insight são os recursos que combinam com um insight. Observe que quando você envia os resultados do insight para EventBridge, você não está enviando as descobertas para EventBridge. Você está enviando apenas os identificadores de recursos associados aos resultados do insight. É possível enviar até 100 identificadores de recursos de uma vez.

Semelhante às ações personalizadas para descobertas, primeiro você cria a ação personalizada no CSPM do Security Hub e, em seguida, cria uma regra no. EventBridge

Consulte [Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge](securityhub-cwe-custom-actions.md).

Por exemplo, suponha que você veja um resultado interessante de um insight específico que deseja compartilhar com um colega. Nesse caso, você pode usar uma ação personalizada para enviar o resultado do insight para o colega por meio de um sistema de bate-papo ou emissão de tíquetes.

# EventBridge formatos de eventos para o Security Hub CSPM
<a name="securityhub-cwe-event-formats"></a>

Os tipos de eventos **Security Hub Findings - Imported**, **Security Findings - Custom Action**, e **Security Hub Insight Results** usam os formatos de evento a seguir.

O formato do evento é o formato usado quando o Security Hub CSPM envia um evento para. EventBridge

## Security Hub Findings - Imported
<a name="securityhub-cwe-event-formats-findings-imported"></a>

**Security Hub Findings - Imported**eventos que são enviados do Security Hub CSPM para EventBridge usar o seguinte formato.

```
{
   "version":"0",
   "id":"CWE-event-id",
   "detail-type":"Security Hub Findings - Imported",
   "source":"aws.securityhub",
   "account":"111122223333",
   "time":"2019-04-11T21:52:17Z",
   "region":"us-west-2",
   "resources":[
      "arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
   ],
   "detail":{
      "findings": [{
         <finding content>
       }]
   }
}
```

`<finding content>` é o conteúdo, no formato JSON, da descoberta enviada pelo evento. Cada evento envia uma única descoberta.

Para obter uma lista completa de atributos de descoberta, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

Para obter informações sobre como configurar EventBridge regras que são acionadas por esses eventos, consulte[Configurando uma EventBridge regra para as descobertas do CSPM do Security Hub](securityhub-cwe-all-findings.md).

## Security Hub Findings - Custom Action
<a name="securityhub-cwe-event-formats-findings-custom-action"></a>

**Security Hub Findings - Custom Action**eventos que são enviados do Security Hub CSPM para EventBridge usar o seguinte formato. Cada descoberta é enviada em um evento separado.

```
{
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Findings - Custom Action",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2019-04-11T18:43:48Z",
  "region": "us-west-1",
  "resources": [
    "arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
  ],
  "detail": {
    "actionName":"custom-action-name",
    "actionDescription": "description of the action",
    "findings": [
      {
        <finding content>
      }
    ]
  }
}
```

`<finding content>` é o conteúdo, no formato JSON, da descoberta enviada pelo evento. Cada evento envia uma única descoberta.

Para obter uma lista completa de atributos de descoberta, consulte [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md).

Para obter informações sobre como configurar EventBridge regras que são acionadas por esses eventos, consulte[Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge](securityhub-cwe-custom-actions.md).

## Security Hub Insight Results
<a name="securityhub-cwe-event-formats-insight-results"></a>

**Security Hub Insight Results**eventos que são enviados do Security Hub CSPM para EventBridge usar o seguinte formato.

```
{ 
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Insight Results",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2017-12-22T18:43:48Z",
  "region": "us-west-1",
  "resources": [
      "arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
  ],
  "detail": {
    "actionName":"name of the action",
    "actionDescription":"description of the action",
    "insightArn":"ARN of the insight",
    "insightName":"Name of the insight",
    "resultType":"ResourceAwsIamAccessKeyUserName",
    "number of results":"number of results, max of 100",
    "insightResults": [
        {"result 1": 5},
        {"result 2": 6}
    ]
  }
}
```

Para obter informações sobre como criar uma EventBridge regra que é acionada por esses eventos, consulte[Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge](securityhub-cwe-custom-actions.md).

# Configurando uma EventBridge regra para as descobertas do CSPM do Security Hub
<a name="securityhub-cwe-all-findings"></a>

Você pode criar uma regra na Amazon EventBridge que define uma ação a ser tomada quando um **Security Hub Findings - Imported**evento é recebido. **Security Hub Findings - Imported**os eventos são acionados por atualizações [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)das operações [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)e.

Cada regra contém um padrão de evento, que identifica os eventos que acionam a regra. O padrão do evento sempre contém a fonte do evento (`aws.securityhub`) e o tipo de evento (**Security Hub Findings - Imported**). O padrão do evento também pode especificar filtros para identificar as descobertas às quais a regra se aplica.

A regra de eventos então identifica os alvos da regra. Os alvos são as ações a serem tomadas quando EventBridge recebe um evento **Security Hub Findings - Imported** e a descoberta corresponde aos filtros.

As instruções fornecidas aqui usam o EventBridge console. Quando você usa o console, cria EventBridge automaticamente a política baseada em recursos necessária que permite EventBridge gravar no Amazon CloudWatch Logs.

Você também pode usar a [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)operação da EventBridge API. No entanto, se você usar a EventBridge API, deverá criar a política baseada em recursos. Para obter informações sobre a política necessária, consulte [Permissões de CloudWatch registros](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) no *Guia EventBridge do usuário da Amazon*.

## Formato do padrão do evento
<a name="securityhub-cwe-all-findings-rule-format"></a>

O formato do padrão de eventos para os eventos **Security Hub Findings - Imported** é o seguinte:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}
```
+ `source` identifica o CSPM do Security Hub como o serviço que gera o evento.
+ `detail-type` identifica o tipo de evento.
+ `detail` é opcional e fornece os valores do filtro para o padrão do evento. Se o padrão do evento não contiver um campo `detail`, todas as descobertas acionarão a regra.

É possível filtrar as descobertas com base em qualquer atributo de descoberta. Para cada atributo, você fornece uma matriz separada por vírgula de um ou mais valores.

```
"<attribute name>": [ "<value1>", "<value2>"]
```

Se você fornecer mais de um valor para um atributo, esses valores serão unidos por `OR`. Uma descoberta corresponde ao filtro de um atributo individual se a descoberta tiver algum dos valores listados. Por exemplo, se você fornecer ambos `INFORMATIONAL` e `LOW` como valores para `Severity.Label`, a descoberta corresponderá se tiver um rótulo de gravidade de `INFORMATIONAL` ou`LOW`.

Os atributos são unidos por `AND`. Uma descoberta corresponde se atender aos critérios de filtro de todos os atributos fornecidos.

Quando você fornece um valor de atributo, ele deve refletir a localização desse atributo na estrutura do AWS Security Finding Format (ASFF).

**dica**  
Ao filtrar as descobertas do controle, recomendamos usar os [campos do ASFF](securityhub-findings-format.md) `SecurityControlId` ou `SecurityControlArn` como filtros, em vez de `Title` ou `Description`. Os últimos campos podem mudar ocasionalmente, enquanto o ID de controle e o ARN são identificadores estáticos.

No exemplo a seguir, o padrão de evento fornece valores de filtro para `ProductArn` e`Severity.Label`, portanto, uma descoberta corresponde se for gerada pelo Amazon Inspector e tiver um rótulo de gravidade de`INFORMATIONAL` ou `LOW`.

```
{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Security Hub Findings - Imported"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}
```

## Criar uma regra de evento
<a name="securityhub-cwe-all-findings-predefined-pattern"></a>

Você pode usar um padrão de evento predefinido ou um padrão de evento personalizado para criar uma regra em EventBridge. Se você selecionar um padrão predefinido, preenche EventBridge automaticamente e. `source` `detail-type` EventBridge também fornece campos para especificar valores de filtro para os seguintes atributos de descoberta:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`

**Para criar uma EventBridge regra (console)**

1. Abra o EventBridge console da Amazon em [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Usando os valores a seguir, crie uma EventBridge regra que monitore a localização de eventos:
   + Para **Tipo de regra**, escolha **Regra com padrão de evento**.
   + Selecione como criar o padrão do evento.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
   + Para **Tipos de destino**, escolha **AWS serviço** e, para **Selecionar um destino**, escolha um destino, como um tópico ou AWS Lambda função do Amazon SNS. O destino é acionado quando é recebido um evento que corresponde ao padrão de evento definido na regra.

   Para obter detalhes sobre a criação de regras, consulte [Criação de EventBridge regras da Amazon que reagem a eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) no *Guia EventBridge do usuário da Amazon*.

# Usando ações personalizadas para enviar descobertas e resultados de insights para EventBridge
<a name="securityhub-cwe-custom-actions"></a>

Para usar as ações personalizadas do CSPM do AWS Security Hub para enviar descobertas ou resultados de insights para a Amazon EventBridge, primeiro você cria a ação personalizada no CSPM do Security Hub. Em seguida, você pode definir regras EventBridge que se apliquem às suas ações personalizadas.

É possível criar até 50 ações personalizadas.

Se você habilitar a agregação entre regiões e gerenciar as descobertas na região de agregação, crie as ações personalizadas na região de agregação.

A regra em EventBridge usa o Amazon Resource Name (ARN) da ação personalizada.

# Criar uma ação personalizada
<a name="securityhub-cwe-configure"></a>

Ao criar uma ação personalizada no CSPM do AWS Security Hub, você especifica seu nome, descrição e um identificador exclusivo.

Uma ação personalizada especifica quais ações devem ser tomadas quando um EventBridge evento corresponde a uma EventBridge regra. O Security Hub CSPM envia cada descoberta EventBridge como um evento.

Escolha seu método preferido e siga as etapas para criar uma regra personalizada.

------
#### [ Console ]

**Para criar uma ação personalizada no CSPM do Security Hub (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Settings (Configurações)** e **Custom actions (Ações personalizadas)**.

1. Escolha **Create custom action (Criar ação personalizada)**.

1. Forneça um **Name (Nome)**, uma **Description (Descrição)** e um **Custom action ID (ID da ação personalizada)** à ação.

   O **Name (Nome)** deve ter menos de 20 caracteres.

   O **Custom action ID ** deve ser exclusivo para cada conta da AWS .

1. Escolha **Create custom action (Criar ação personalizada)**.

1. Anote o **Custom action ARN (ARN da ação personalizada)**. É necessário usar o ARN ao criar uma regra para associar a essa ação no EventBridge.

------
#### [ API ]

**Para criar uma ação personalizada (API)**

Use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html). Se você estiver usando o AWS CLI, execute o [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)comando.

O exemplo a seguir cria uma ação personalizada para enviar descobertas para uma ferramenta de correção. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```

------

# Definindo uma regra em EventBridge
<a name="securityhub-cwe-define-rule"></a>

Para acionar uma ação personalizada na Amazon EventBridge, você deve criar uma regra correspondente em EventBridge. A definição da regra inclui o nome do recurso da Amazon (ARN) da ação personalizada.

O padrão de evento para um evento **Security Hub Findings - Custom Action** tem o seguinte formato:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

O padrão de evento para um evento **Security Hub Insight Results** tem o seguinte formato:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

Em ambos os padrões, `<custom action ARN>` é o ARN de uma ação personalizada. É possível configurar uma regra que se aplique a mais de uma ação personalizada.

As instruções fornecidas aqui são para o EventBridge console. Quando você usa o console, cria EventBridge automaticamente a política baseada em recursos necessária que permite EventBridge gravar CloudWatch em registros.

Você também pode usar a [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)operação de EventBridge API da API. No entanto, se você usar a EventBridge API, deverá criar a política baseada em recursos. Para obter detalhes sobre a política necessária, consulte [Permissões de CloudWatch registros](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) no *Guia EventBridge do usuário da Amazon*.

**Para definir uma regra em EventBridge (EventBridge console)**

1. Abra o EventBridge console da Amazon em [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. No painel de navegação, escolha **Regras**.

1. Escolha **Create rule**.

1. Insira um nome e uma descrição para a regra.

1. Em **Barramento de Eventos**, escolha o barramento de eventos que você deseja associar a essa regra. Se quiser que essa regra faça a correspondência com eventos provenientes da sua conta, selecione **padrão**. Quando um serviço da AWS em sua conta emite um evento, ele sempre vai para o barramento de eventos padrão da sua conta.

1. Em **Rule type**, escolha **Rule with an event pattern**.

1. Escolha **Próximo**.

1. Em **Origem de eventos**, escolha **Eventos da AWS **.

1. Em **Padrão de evento**, selecione **Formulário de padrão de evento**.

1. Em **Fonte do evento**, selecione **Serviços da AWS **.

1. Para o **AWS serviço**, selecione **Security Hub**.

1. Em **Event type** (Tipo de evento), siga um destes procedimentos:
   + Para criar uma regra a ser aplicada ao enviar descobertas para uma ação personalizada, selecione **Security Hub Findings - Custom Action**.
   + Para criar uma regra a ser aplicada ao enviar os resultados do insight para uma ação personalizada, selecione **Security Hub Insight Results**.

1. Escolha **Ação personalizada específica ARNs** e adicione um ARN de ação personalizada.

   Se a regra se aplicar a várias ações personalizadas, escolha **Adicionar** para adicionar mais ações personalizadas ARNs.

1. Escolha **Próximo**.

1. Em **Adicionar destino**, selecione e configure destino a ser invocado quando essa regra for correspondida.

1. Escolha **Próximo**.

1. (Opcional) Insira uma ou mais tags para a regra. Para obter mais informações, consulte as [ EventBridge tags da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) no *Guia EventBridge do usuário da Amazon*.

1. Escolha **Próximo**.

1. Analise os detalhes da regra e selecione **Criar regra**.

   Quando você executa uma ação personalizada sobre descobertas ou resultados de insights em sua conta, os eventos são gerados em EventBridge.

# Seleção de uma ação personalizada para descobertas e resultados de insights
<a name="securityhub-cwe-send"></a>

Depois de criar as ações personalizadas do AWS Security Hub CSPM e EventBridge as regras da Amazon, você pode enviar descobertas e resultados de insights EventBridge para gerenciamento e processamento automáticos.

Os eventos são enviados EventBridge somente para a conta em que são visualizados. Se você visualizar uma descoberta usando uma conta de administrador, o evento será enviado para EventBridge a conta do administrador.

Para que as chamadas de AWS API sejam efetivas, as implementações do código de destino devem mudar de função para contas de membros. Isso também significa que a função para a qual você muda deve ser distribuída a cada membro onde uma ação for necessária.

**Para enviar descobertas para EventBridge (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Exiba uma lista das descobertas:
   + Em **Descobertas**, você pode visualizar as descobertas de todas as integrações e controles de produtos habilitados.
   + Em **Padrões de segurança**, você pode navegar até uma lista de descobertas geradas de um controle específico. Para obter mais informações, consulte [Análise dos detalhes dos controles no CSPM do Security Hub](securityhub-standards-control-details.md).
   + Em **Integrações**, você pode navegar até uma lista de descobertas geradas por uma integração habilitada. Para obter mais informações, consulte [Visualização de descobertas de uma integração do CSPM do Security Hub](securityhub-integration-view-findings.md).
   + Em **Insights**, você pode navegar até uma lista de descobertas para um resultado de insight. Para obter mais informações, consulte [Análise e ação com base em insights do CSPM do Security Hub](securityhub-insights-view-take-action.md).

1. Selecione as descobertas para as quais enviar EventBridge. É possível selecionar até 20 descobertas por vez.

1. Em **Ações**, escolha a ação personalizada que se alinha à EventBridge regra a ser aplicada.

   O CSPM do Security Hub envia um evento separado **Descobertas do Security Hub - Ação personalizada** para cada descoberta.

**Para enviar resultados de insights para EventBridge (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Insights**.

1. Na página **Insights**, escolha o insight que inclui os resultados para os quais enviar EventBridge.

1. Selecione os resultados do insight para os quais enviar EventBridge. É possível selecionar até 20 descobertas por vez.

1. Em **Ações**, escolha a ação personalizada que se alinha à EventBridge regra a ser aplicada.

# Trabalho com o painel no CSPM do Security Hub
<a name="dashboard"></a>

No console do CSPM do Security Hub, o painel **Resumo** mostra um resumo dos riscos, das sequências de ataque e da cobertura de segurança. Esse painel ajuda você a identificar riscos e sequências de ataque com base na gravidade e na cobertura da conta para diferentes recursos de segurança. Sempre que você abre o painel, ele é atualizado automaticamente. Observe, no entanto, que as pontuações de segurança e os status de controle são atualizados a cada 24 horas. 

É possível personalizar o painel **Resumo** adicionando e removendo diferentes widgets de segurança dele. Também é possível especificar critérios de filtro para recuperar e exibir tipos específicos de dados. Se você personalizar o painel, o Security Hub salvará suas configurações de personalização. Se outros usuários da sua conta personalizarem o painel, suas alterações serão salvas independentemente das suas configurações de personalização. 

Se você configurou a agregação entre regiões no CSPM do Security Hub, o painel **Resumo** mostrará seus dados agregados. Se a sua conta for o administrador delegado de uma organização, os dados incluirão descobertas para sua conta e suas contas de membro. Se a sua conta for uma conta de membro ou uma conta autônoma, os dados incluirão descobertas somente para sua conta.

**Topics**
+ [Widgets disponíveis para o painel Resumo](#available-widgets)
+ [Filtragem do painel](filters-dashboard.md)
+ [Personalizar o painel do](customize-dashboard.md)

## Widgets disponíveis para o painel Resumo
<a name="available-widgets"></a>

O painel de **resumo** inclui widgets que refletem o cenário moderno de ameaças à segurança na nuvem, orientado pelas operações e experiências de segurança dos AWS clientes. Alguns widgets são exibidos por padrão, ao passo que outros não. É possível personalizar sua visualização do painel adicionando ou removendo widgets.

Para adicionar um widget, selecione **Adicionar widget** na parte superior do painel. Em seguida, será possível navegar pela lista de widgets disponíveis ou inserir o título de um widget na barra de pesquisa. Ao encontrar o widget para adicionar, arraste-o até o local em que você deseja que ele apareça no painel. Para obter mais informações, consulte [Personalizar o painel do ](customize-dashboard.md).

### Widgets mostrados por padrão
<a name="widgets-shown-default"></a>

Por padrão, o painel **Resumo** inclui os widgets a seguir.

**Principais sequências de ameaças**  
Exibe as sequências de ameaças de maior gravidade. As descobertas da sequência de ameaças, conhecidas como *descobertas da sequência de ataque* na Amazon GuardDuty, correlacionam vários eventos para identificar possíveis ameaças ao seu AWS ambiente. As sequências de ameaças podem incluir comportamentos de ataque em andamento ou recentes (dentro de uma janela de 24 horas) em seu ambiente, o que, por sua vez, pode levar a um maior comprometimento. Você deve ter GuardDuty o GuardDuty S3 Protection ativado para receber as descobertas da sequência de ameaças no CSPM do Security Hub.

**Principais riscos**  
Exibe um resumo dos principais riscos em seu ambiente. A parte superior do widget mostra a contagem de riscos em cada nível de gravidade. É possível escolher um nível de gravidade para acessar a página **Riscos** com os riscos filtrados para o nível de gravidade selecionado. Os riscos que têm mais ocorrências em seu ambiente aparecem primeiro. Esse widget ajuda você a priorizar que riscos devem ser mitigados.

**Cobertura de segurança**  
Resume a extensão da sua cobertura de segurança com base nas descobertas do controle de cobertura. Os controles de cobertura verificam se um específico AWS service (Serviço da AWS) e seus recursos estão habilitados (por exemplo,[[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1)). Esse widget ajuda a garantir que você tenha descobertas `PASSED` para controles de cobertura. O console do CSPM do Security Hub fornece links desse widget para ajudá-lo a habilitar os recursos de segurança ausentes. Recomendamos usar a configuração central para ativar os recursos de segurança ausentes em vários Contas da AWS Regiões da AWS e. Para obter mais informações, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

**Padrões de segurança**  
Exibe sua pontuação de segurança resumida mais recente e a pontuação de segurança de cada padrão do CSPM do Security Hub. As pontuações de segurança, que variam de 0 a 100 por cento, representam a proporção de controles aprovados em relação a todos os controles habilitados. Para obter mais informações sobre essas pontuações, consulte [Método de cálculo das pontuações de segurança](standards-security-score.md#standard-security-score-calculation). Esse widget ajuda você a entender sua postura geral de segurança.

**Ativos com mais descobertas**  
Fornece uma visão geral dos recursos, contas e aplicações que têm mais descobertas. A lista é classificada em ordem decrescente pelo número de descobertas. No widget, cada guia mostra os seis principais itens dessa categoria, agrupados por gravidade e tipo de recurso. Se você escolher um número na coluna **Total de descobertas**, o CSPM do Security Hub abrirá uma página que mostra as descobertas do ativo. Esse widget ajuda você a identificar rapidamente quais dos seus principais ativos apresentam possíveis ameaças à segurança.

**Descobertas por região**  
Mostra o número total de descobertas, agrupadas por gravidade, em cada Região da AWS em que o CSPM do Security Hub está habilitado. Esse widget ajuda você a identificar problemas de segurança que afetem potencialmente regiões específicas. Se você abrir o painel na sua região de agregação, esse widget ajudará você a monitorar possíveis problemas de segurança em cada região vinculada. 

**Tipos de ameaças mais comuns**  
Fornece um detalhamento dos 10 tipos mais comuns de ameaças em seu AWS ambiente. Isso inclui ameaças como escalonamento de privilégios, uso de credenciais expostas ou comunicação com endereços IP maliciosos.  
Para visualizar esses dados, a [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) deve estar habilitada. Se estiver, escolha um tipo de ameaça nesse widget para abrir o GuardDuty console e analisar as descobertas relacionadas a essa ameaça. Esse widget ajuda você a avaliar possíveis ameaças no contexto de outros problemas de segurança.

**Vulnerabilidades de software com explorações**  
Fornece um resumo das vulnerabilidades de software que existem em seu AWS ambiente e têm explorações conhecidas. Também é possível verificar uma análise das vulnerabilidades que têm e não têm correções disponíveis.  
Para visualizar esses dados, o [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html) deve estar habilitado. Se estiver, escolha uma estatística neste widget para abrir o console do Amazon Inspector e analisar mais detalhes sobre a vulnerabilidade. Esse widget ajuda você a avaliar vulnerabilidades de software no contexto de outros problemas de segurança.

**Novas descobertas ao longo do tempo**  
Mostra tendências no número de novas descobertas diárias nos últimos 90 dias. É possível dividir os dados por gravidade ou por provedor para obter contexto adicional. Esse widget ajuda você a entender se o volume de descobertas aumentou ou diminuiu em horários específicos nos últimos 90 dias.

**Recursos com a maioria das descobertas**  
Fornece um resumo dos recursos que geraram a maioria das descobertas, detalhados pelos seguintes tipos de recursos: buckets do Amazon Simple Storage Service (Amazon S3), instâncias e funções do Amazon Elastic Compute Cloud (Amazon EC2). AWS Lambda   
No widget, cada guia se concentra em um dos tipos de recursos anteriores, listando as 10 instâncias de recursos que geraram mais descobertas. Para analisar as descobertas de um recurso específico, escolha a instância do recurso. Esse widget ajuda você a fazer a triagem das descobertas de segurança associadas a recursos comuns AWS .

### Widgets ocultos por padrão
<a name="widgets-hidden-default"></a>

Os widgets a seguir também estão disponíveis para o painel **Resumo**, mas estão ocultos por padrão.

**AMIs com o maior número de descobertas**  
Fornece uma lista das 10 imagens de máquina da Amazon (AMI) que geraram a maioria das descobertas. Esses dados estarão disponíveis somente se o Amazon EC2 estiver habilitado para sua conta. Ele ajuda você a identificar quais AMIs representam possíveis riscos de segurança.

**Entidades principais do IAM com mais descobertas**  
Fornece uma lista dos 10 usuários AWS Identity and Access Management (IAM) que geraram mais descobertas. Esse widget ajuda a realizar tarefas administrativas e de cobrança. Ele mostra quais usuários contribuem mais para o uso do CSPM do Security Hub.

**Contas com o maior número de descobertas (por gravidade)**  
Mostra um gráfico das 10 contas que geraram mais descobertas, agrupadas por gravidade. Esse widget ajuda você a determinar em quais contas concentrar os esforços de análise e correção.

**Contas com mais descobertas (por tipo de recurso)**  
Mostra um gráfico das 10 contas que geraram mais descobertas, agrupadas por tipo de recurso. Esse widget ajuda a determinar quais contas e tipos de recursos priorizar para análise e correção.

**Insights**  
Lista cinco [insights gerenciados pelo CSPM do Security Hub](securityhub-managed-insights.md) e o número de descobertas que eles geraram. Os insights identificam uma área de segurança específica que requer atenção.

**Últimas descobertas das AWS integrações**  
Mostra o número de descobertas que você recebeu no CSPM do Security Hub de [Serviços da AWS integrados](securityhub-internal-providers.md). Também mostra quando você recebeu as descobertas mais recentes de cada serviço integrado. Esse widget fornece dados consolidados de descobertas de vários. Serviços da AWS Para detalhar, escolha um serviço integrado. Em seguida, o CSPM do Security Hub abrirá o console desse serviço.

# Filtragem do painel Resumo no CSPM do Security Hub
<a name="filters-dashboard"></a>

É possível organizar o painel **Resumo** no console do CSPM do Security Hub para que ele inclua somente os dados de segurança mais relevantes para você. Por exemplo, se você for membro de uma equipe de aplicações, poderá criar uma visualização dedicada para uma aplicação essencial em seu ambiente de produção. Se você for membro de uma equipe de segurança, poderá criar uma visualização dedicada que o ajude a se concentrar nas descobertas de alta gravidade.

Para criar essas visualizações organizadas, insira critérios de filtro na caixa de filtro acima do painel. Se você aplicar critérios de filtro, eles serão aplicados a todos os dados e widgets no painel, exceto aos dados nos widgets **Insights** e **Padrões de segurança**. Para obter uma lista dos widgets disponíveis no painel, consulte [Widgets disponíveis para o painel Resumo](dashboard.md#available-widgets).

É possível filtrar os dados usando os campos a seguir:
+ Nome da conta
+ ID da conta
+ ARN da aplicação
+ Nome da aplicação
+ Nome do produto (para um produto AWS service (Serviço da AWS) ou de terceiros que envia descobertas para o Security Hub CSPM)
+ Record state (Estado de registro)
+ Região
+ Recurso de tag
+ Gravidade
+ Status do fluxo de trabalho

Por padrão, os dados do painel são filtrados usando os critérios a seguir: `Workflow.Status` é `NOTIFIED` ou `NEW`, e `RecordState` é `ACTIVE`. Esses critérios aparecem acima do painel, abaixo da caixa de filtro. Para remover esses critérios, escolha **X** no token de filtro para os critérios que você deseja remover.

Se você aplicar regras de filtros que queira usar novamente, poderá salvá-las como um *conjunto de regras*. Um conjunto de regras é um conjunto de critérios de filtro que você cria e salva para reaplicar ao analisar os dados no painel **Resumo**. É possível criar e salvar um conjunto de filtros que use qualquer um dos campos disponíveis, exceto os campos a seguir: ARN da aplicação, nome da aplicação e tag do recurso.

## Criação e salvamento de conjuntos de filtros
<a name="save-filter-set"></a>

Siga estas etapas para criar e salvar um conjunto de filtros.

**Para criar e salvar um conjunto de filtros**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Resumo**.

1. Na caixa de filtro acima do painel **Resumo**, insira os critérios de filtro para o conjunto de filtros.

1. No menu **Limpar filtros**, escolha **Salvar novo conjunto de filtros**.

1. Na caixa de diálogo **Salvar conjunto de filtros**, insira um nome para o conjunto de filtros.

1. (Opcional) Para usar o filtro definido por padrão sempre que você abrir a página **Resumo**, selecione a opção para defini-la como exibição padrão.

1. Escolha **Salvar**.

Para alternar entre os conjuntos de filtros que você criou e salvou, use o menu **Escolher um conjunto de filtros** acima do painel **Resumo**. Quando você seleciona um conjunto de filtros, o CSPM do Security Hub aplica os critérios do conjunto de filtros aos dados no painel.

## Atualização ou exclusão de conjuntos de filtros
<a name="update-delete-filter-set"></a>

Siga estas etapas para atualizar ou excluir um conjunto de filtros existente. Se você excluir um conjunto de filtros atualmente definido como sua exibição padrão do painel **Resumo**, sua exibição padrão será redefinida para a exibição padrão do CSPM do Security Hub.

**Para atualizar ou excluir um conjunto de filtros**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Resumo**.

1. No menu **Escolher um conjunto de filtros**, acima da página **Resumo**, escolha o conjunto de filtros.

1. No menu **Limpar filtros**, execute uma das ações a seguir:
   + Para atualizar o conjunto de filtros, escolha **Atualizar conjunto de filtros atual**. Em seguida, insira suas alterações na caixa de diálogo exibida.
   + Para excluir o conjunto de filtros, escolha **Excluir conjunto de filtros atual**. Em seguida, escolha **Excluir** na caixa de diálogo exibida.

# Personalização do painel Resumo no CSPM do Security Hub
<a name="customize-dashboard"></a>

É possível personalizar o painel **Resumo** no console do CSPM do Security Hub de várias maneiras. Por exemplo, você pode adicionar e remover widgets do painel. Também é possível reorganizar e redimensionar widgets no painel. Para obter uma lista de widgets disponíveis e uma descrição de cada um deles, consulte [Widgets disponíveis para o painel Resumo](dashboard.md#available-widgets).

Se você personalizar o painel, o CSPM do Security Hub aplicará suas alterações imediatamente e salvará as novas configurações do painel. Suas alterações se aplicam à sua visualização do painel em todos Regiões da AWS os navegadores.

**Para personalizar o painel **Resumo****

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Resumo**.

1. Faça o seguinte:
   + Para adicionar um widget, escolha **Adicionar widgets** no canto superior direito da página. Na barra de pesquisa, insira o título do widget a ser adicionado. Em seguida, arraste o widget até o local desejado.
   + Para remover um widget, escolha os três pontos no canto superior direito do widget.
   + Para mover um widget, escolha a alça no canto superior esquerdo do widget e, depois, arraste o widget para o local desejado.
   + Para alterar o tamanho de um widget, escolha a alça de redimensionamento no canto inferior direito do widget. Arraste a borda do widget até que o widget tenha seu tamanho preferido.

Para restaurar posteriormente as configurações originais, escolha **Redefinir o layout padrão** na parte superior da página.

# Limites regionais do CSPM do Security Hub
<a name="securityhub-regions"></a>

Alguns recursos do CSPM do AWS Security Hub estão disponíveis apenas em alguns. Regiões da AWS As seções a seguir especificam esses limites regionais. Para obter uma lista completa de todas as regiões onde o CSPM do Security Hub está disponível no momento, consulte [Endpoints e cotas do AWS Security Hub](https://docs.aws.amazon.com/general/latest/gr/sechub.html) no *Referência geral da AWS*.

## Restrições de agregação entre regiões
<a name="securityhub-regions-finding-aggregation-support"></a>

Em AWS GovCloud (US) Regions, a [agregação entre regiões](finding-aggregation.md) está disponível somente para descobertas, atualizações e insights AWS GovCloud (US) Regions . Especificamente, você pode agregar descobertas, atualizações e insights somente entre as regiões AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA).

Nas regiões da China, a agregação entre regiões está disponível somente para descobertas, atualizações de descobertas e insights das regiões da China. Especificamente, é possível agregar descobertas, atualizações de descobertas e insights somente entre as regiões China (Pequim) e China (Ningxia).

Não é possível usar uma região desabilitada por padrão como sua região de agregação. Para obter uma lista de regiões que estão desativadas por padrão, consulte [Ativar ou desativar Regiões da AWS em sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) no *Guia de AWS Gerenciamento de contas referência*.

## Disponibilidade de integrações por região
<a name="securityhub-regions-integration-support"></a>

Algumas integrações não estão disponíveis em todas Regiões da AWS. No console do CSPM do Security Hub, uma integração não será exibida na página **Integrações** caso não esteja disponível na região em que você estiver conectado no momento.

### Integrações com suporte nas regiões China (Pequim) e China (Ningxia)
<a name="securityhub-regions-integration-support-china"></a>

Nas regiões China (Pequim) e China (Ningxia), o CSPM do Security Hub oferece suporte somente às [integrações com Serviços da AWS](securityhub-internal-providers.md) a seguir:
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Identity and Access Management Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender
+ AWS Systems Manager Explorer
+ AWS Systems Manager OpsCenter
+ AWS Systems Manager Gerenciador de patches

Nas regiões China (Pequim) e China (Ningxia), o CSPM do Security Hub oferece suporte somente às [integrações de terceiros](securityhub-partner-providers.md) a seguir:
+ Cloud Custodian
+ FireEye Helix
+ Helecloud
+ IBM QRadar
+ PagerDuty
+ Palo Alto Networks Cortex XSOAR
+ Palo Alto Networks VM-Series
+ Prowler
+ RSA Archer
+ Splunk Enterprise
+ Splunk Phantom
+ ThreatModeler

### Integrações suportadas nas regiões AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA)
<a name="securityhub-regions-integration-support-govcloud"></a>

[Nas regiões AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA), o Security Hub CSPM suporta somente as seguintes integrações com: Serviços da AWS](securityhub-internal-providers.md)
+ AWS Config
+ Amazon Detective
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Health
+ IAM Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender

[Nas regiões AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA), o CSPM do Security Hub oferece suporte somente às seguintes integrações de terceiros:](securityhub-partner-providers.md)
+ Atlassian Jira Service Management
+ Atlassian Jira Service Management Cloud
+ Atlassian OpsGenie
+ Caveonix Cloud
+ Cloud Custodian
+ Cloud Storage Security Antivirus for Amazon S3
+ CrowdStrike Falcon
+ FireEye Helix
+ Forcepoint CASB
+ Forcepoint DLP
+ Forcepoint NGFW
+ Fugue
+ Kion
+ MicroFocus ArcSight
+ NETSCOUT Cyber Investigator
+ PagerDuty
+ Palo Alto Networks – Prisma Cloud Compute
+ Palo Alto Networks – Prisma Cloud Enterprise
+ Palo Alto Networks – VM-Series(disponível somente em AWS GovCloud (Oeste dos EUA))
+ Prowler
+ Rackspace Technology – Cloud Native Security
+ Rapid7 InsightConnect
+ RSA Archer
+ ServiceNow ITSM
+ Slack
+ ThreatModeler
+ Vectra AI Cognito Detect

## Disponibilidade de padrões por região
<a name="securityhub-regions-standards-support"></a>

O [padrão AWS Control Tower gerenciado por serviços](service-managed-standard-aws-control-tower.md) está disponível somente no Regiões da AWS que AWS Control Tower suporta. Para obter uma lista das regiões que AWS Control Tower atualmente oferecem suporte, consulte [Como Regiões da AWS trabalhar com AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html) no *Guia AWS Control Tower do usuário*.

O [padrão AWS de marcação de recursos](standards-tagging.md) não está disponível na região Ásia-Pacífico (Taipei).

Outros padrões de segurança estão disponíveis em todas as regiões nas quais o Security Hub está disponível no momento.

## Disponibilidade de controles por região
<a name="securityhub-regions-control-support"></a>

Alguns controles CSPM do Security Hub não estão disponíveis em todos. Regiões da AWSPara obter uma lista de controles que não estão disponíveis em cada região, consulte [Limites regionais em controles do CSPM do Security Hub](regions-controls.md).

No console do CSPM do Security Hub, um controle não aparece na lista de controles se não estiver disponível na região em que você estiver conectado no momento. A exceção é uma região de agregação. Se você configurar uma região de agregação e fizer login nessa região, o console mostrará os controles que estão disponíveis na região de agregação ou em uma ou mais regiões vinculadas.

# Limites regionais em controles do CSPM do Security Hub
<a name="regions-controls"></a>

Alguns controles CSPM do AWS Security Hub não estão disponíveis em todos. Regiões da AWS Esta página especifica quais controles não estão disponíveis em regiões específicas.

No console do CSPM do Security Hub, um controle não aparece na lista de controles se não estiver disponível na região em que você estiver conectado no momento. A exceção é uma região de agregação. Se você configurar uma região de agregação e fizer login nessa região, o console mostrará os controles que estão disponíveis na região de agregação ou em uma ou mais regiões vinculadas.

**Topics**
+ [Leste dos EUA (Norte da Virgínia)](#securityhub-control-support-useast1)
+ [Leste dos EUA (Ohio)](#securityhub-control-support-useast2)
+ [Oeste dos EUA (N. da Califórnia)](#securityhub-control-support-uswest1)
+ [Oeste dos EUA (Oregon)](#securityhub-control-support-uswest2)
+ [África (Cidade do Cabo)](#securityhub-control-support-afsouth1)
+ [Ásia-Pacífico (Hong Kong)](#securityhub-control-support-apeast1)
+ [Ásia-Pacífico (Hyderabad)](#securityhub-control-support-apsouth2)
+ [Ásia-Pacífico (Jacarta)](#securityhub-control-support-apsoutheast3)
+ [Ásia-Pacífico (Malásia)](#securityhub-control-support-apsoutheast5)
+ [Ásia-Pacífico (Melbourne)](#securityhub-control-support-apsoutheast4)
+ [Ásia-Pacífico (Mumbai)](#securityhub-control-support-apsouth1)
+ [Ásia-Pacífico (Nova Zelândia)](#securityhub-control-support-apsoutheast6)
+ [Ásia-Pacífico (Osaka)](#securityhub-control-support-apnortheast3)
+ [Ásia-Pacífico (Seul)](#securityhub-control-support-apnortheast2)
+ [Ásia-Pacífico (Singapura)](#securityhub-control-support-apsoutheast1)
+ [Ásia-Pacífico (Sydney)](#securityhub-control-support-apsoutheast2)
+ [Ásia-Pacífico (Taipei)](#securityhub-control-support-apeast2)
+ [Ásia-Pacífico (Tailândia)](#securityhub-control-support-apsoutheast7)
+ [Ásia-Pacífico (Tóquio)](#securityhub-control-support-apnortheast1)
+ [Canadá (Central)](#securityhub-control-support-cacentral1)
+ [Oeste do Canadá (Calgary)](#securityhub-control-support-cawest1)
+ [China (Pequim)](#securityhub-control-support-cnnorth1)
+ [China (Ningxia)](#securityhub-control-support-cnnorthwest1)
+ [Europa (Frankfurt)](#securityhub-control-support-eucentral1)
+ [Europa (Irlanda)](#securityhub-control-support-euwest1)
+ [Europa (Londres)](#securityhub-control-support-euwest2)
+ [Europa (Milão)](#securityhub-control-support-eusouth1)
+ [Europa (Paris)](#securityhub-control-support-euwest3)
+ [Europa (Espanha)](#securityhub-control-support-eusouth2)
+ [Europa (Estocolmo)](#securityhub-control-support-eunorth1)
+ [Europa (Zurique)](#securityhub-control-support-eucentral2)
+ [Israel (Tel Aviv)](#securityhub-control-support-ilcentral1)
+ [México (Centro)](#securityhub-control-support-mxcentral1)
+ [Oriente Médio (Bahrein)](#securityhub-control-support-mesouth1)
+ [Oriente Médio (Emirados Árabes Unidos)](#securityhub-control-support-mecentral1)
+ [América do Sul (São Paulo)](#securityhub-control-support-saeast1)
+ [AWS GovCloud (Leste dos EUA)](#securityhub-control-support-usgoveast1)
+ [AWS GovCloud (Oeste dos EUA)](#securityhub-control-support-usgovwest1)

## Leste dos EUA (Norte da Virgínia)
<a name="securityhub-control-support-useast1"></a>

Não há suporte para os controles a seguir na região Leste dos EUA (Norte da Virgínia).
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 

## Leste dos EUA (Ohio)
<a name="securityhub-control-support-useast2"></a>

Não há suporte para os controles a seguir na região Leste dos EUA (Ohio).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Oeste dos EUA (N. da Califórnia)
<a name="securityhub-control-support-uswest1"></a>

Não há suporte para os controles a seguir na região Oeste dos EUA (N. da Califórnia).
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Oeste dos EUA (Oregon)
<a name="securityhub-control-support-uswest2"></a>

Não há suporte para os controles a seguir na região Oeste dos EUA (Oregon).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## África (Cidade do Cabo)
<a name="securityhub-control-support-afsouth1"></a>

Não há suporte para os controles a seguir na região África (Cidade do Cabo).
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Ásia-Pacífico (Hong Kong)
<a name="securityhub-control-support-apeast1"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Hong Kong).
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Hyderabad)
<a name="securityhub-control-support-apsouth2"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Hyderabad).
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Jacarta)
<a name="securityhub-control-support-apsoutheast3"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Jacarta).
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Malásia)
<a name="securityhub-control-support-apsoutheast5"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Malásia).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.2] os pontos de AWS Backup recuperação devem ser marcados](backup-controls.md#backup-2) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada](ecs-controls.md#ecs-19) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[ES.9] Os domínios do Elasticsearch devem ser marcados](es-controls.md#es-9) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [Os AWS Glue trabalhos [Glue.1] devem ser marcados](glue-controls.md#glue-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito](rds-controls.md#rds-38) 
+  [[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito](rds-controls.md#rds-39) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Melbourne)
<a name="securityhub-control-support-apsoutheast4"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Melbourne).
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Mumbai)
<a name="securityhub-control-support-apsouth1"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Mumbai).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Ásia-Pacífico (Nova Zelândia)
<a name="securityhub-control-support-apsoutheast6"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Nova Zelândia).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] O REST do API Gateway e o registro de execução WebSocket da API devem estar habilitados](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Athena.2] Os catálogos de dados do Athena devem ser marcados](athena-controls.md#athena-2) 
+  [[Athena.3] Os grupos de trabalho do Athena devem ser marcados](athena-controls.md#athena-3) 
+  [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.2] os pontos de AWS Backup recuperação devem ser marcados](backup-controls.md#backup-2) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[EC2.182] Os snapshots do Amazon EBS não devem estar acessíveis ao público](ec2-controls.md#ec2-182) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada](ecs-controls.md#ecs-19) 
+  [[ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma ACL da web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 
+  [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[ES.9] Os domínios do Elasticsearch devem ser marcados](es-controls.md#es-9) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [Os AWS Glue trabalhos [Glue.1] devem ser marcados](glue-controls.md#glue-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets deve ser marcado](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] os GuardDuty detectores devem ser marcados](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito](rds-controls.md#rds-38) 
+  [[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito](rds-controls.md#rds-39) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 
+  [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1) 
+  [[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4) 
+  [[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Os clusters do Redshift devem ser marcados](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 
+  [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WAF.11] O registro de ACL AWS WAF da web deve estar ativado](waf-controls.md#waf-11) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Osaka)
<a name="securityhub-control-support-apnortheast3"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Osaka).
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 
+  [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Seul)
<a name="securityhub-control-support-apnortheast2"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Seul).
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Ásia-Pacífico (Singapura)
<a name="securityhub-control-support-apsoutheast1"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Singapura).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Ásia-Pacífico (Sydney)
<a name="securityhub-control-support-apsoutheast2"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Sydney).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Ásia-Pacífico (Taipei)
<a name="securityhub-control-support-apeast2"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Taipei).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[ACM.3] Os certificados do ACM devem ser marcados](acm-controls.md#acm-3) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] O REST do API Gateway e o registro de execução WebSocket da API devem estar habilitados](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Athena.2] Os catálogos de dados do Athena devem ser marcados](athena-controls.md#athena-2) 
+  [[Athena.3] Os grupos de trabalho do Athena devem ser marcados](athena-controls.md#athena-3) 
+  [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados](autoscaling-controls.md#autoscaling-10) 
+  [[Autoscaling.5] As instâncias da EC2 Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos](autoscaling-controls.md#autoscaling-5) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.2] os pontos de AWS Backup recuperação devem ser marcados](backup-controls.md#backup-2) 
+  [[Backup.3] os AWS Backup cofres devem ser marcados](backup-controls.md#backup-3) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Backup.5] os planos de AWS Backup backup devem ser marcados](backup-controls.md#backup-5) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.2] as CloudFormation pilhas devem ser marcadas](cloudformation-controls.md#cloudformation-2) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.9] CloudTrail trilhas devem ser marcadas](cloudtrail-controls.md#cloudtrail-9) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas](dms-controls.md#dms-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoB.5] As tabelas do DynamoDB devem ser marcadas](dynamodb-controls.md#dynamodb-5) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco](ec2-controls.md#ec2-19) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.33] Os anexos do gateway de trânsito do EC2 devem ser marcados](ec2-controls.md#ec2-33) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.35] As interfaces de rede do EC2 devem ser marcadas](ec2-controls.md#ec2-35) 
+  [[EC2.36] Os gateways dos clientes do EC2 devem ser marcados](ec2-controls.md#ec2-36) 
+  [[EC2.37] Os endereços IP elásticos do EC2 devem ser marcados](ec2-controls.md#ec2-37) 
+  [[EC2.38] As instâncias do EC2 devem ser marcadas](ec2-controls.md#ec2-38) 
+  [[EC2.39] Os gateways da Internet do EC2 devem ser marcados](ec2-controls.md#ec2-39) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.41] A rede ACLs EC2 deve ser marcada](ec2-controls.md#ec2-41) 
+  [[EC2.42] As tabelas de rotas do EC2 devem ser marcadas](ec2-controls.md#ec2-42) 
+  [[EC2.43] Os grupos de segurança do EC2 devem ser marcados](ec2-controls.md#ec2-43) 
+  [[EC2.44] As sub-redes do EC2 devem ser marcadas](ec2-controls.md#ec2-44) 
+  [[EC2.45] Os volumes do EC2 devem ser marcados](ec2-controls.md#ec2-45) 
+  [[EC2.46] Amazon VPCs deve ser etiquetada](ec2-controls.md#ec2-46) 
+  [[EC2.47] Os serviços de endpoint da Amazon VPC devem ser marcados](ec2-controls.md#ec2-47) 
+  [[EC2.48] Os logs de fluxo da Amazon VPC devem ser marcados](ec2-controls.md#ec2-48) 
+  [[EC2.49] As conexões de emparelhamento da Amazon VPC devem ser marcadas](ec2-controls.md#ec2-49) 
+  [[EC2.50] Os gateways de VPN do EC2 devem ser marcados](ec2-controls.md#ec2-50) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.52] Os gateways de trânsito do EC2 devem ser marcados](ec2-controls.md#ec2-52) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[EC2.182] Os snapshots do Amazon EBS não devem estar acessíveis ao público](ec2-controls.md#ec2-182) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário](ecs-controls.md#ecs-1) 
+  [[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente](ecs-controls.md#ecs-2) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.13] Os serviços do ECS devem ser marcados](ecs-controls.md#ecs-13) 
+  [[ECS.14] Os clusters do ECS devem ser marcados](ecs-controls.md#ecs-14) 
+  [[ECS.15] As definições de tarefas do ECS devem ser marcadas](ecs-controls.md#ecs-15) 
+  [[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada](ecs-controls.md#ecs-19) 
+  [[ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.5] Os pontos de acesso do EFS devem ser marcados](efs-controls.md#efs-5) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público](eks-controls.md#eks-1) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.6] Os clusters do EKS devem ser marcados](eks-controls.md#eks-6) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS](elb-controls.md#elb-3) 
+  [[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada](elb-controls.md#elb-7) 
+  [[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config](elb-controls.md#elb-8) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma ACL da web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 
+  [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.](es-controls.md#es-1) 
+  [[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis](es-controls.md#es-2) 
+  [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado](es-controls.md#es-5) 
+  [[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados](es-controls.md#es-6) 
+  [[ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados](es-controls.md#es-7) 
+  [[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente](es-controls.md#es-8) 
+  [[ES.9] Os domínios do Elasticsearch devem ser marcados](es-controls.md#es-9) 
+  [[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados](eventbridge-controls.md#eventbridge-2) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [Os AWS Glue trabalhos [Glue.1] devem ser marcados](glue-controls.md#glue-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets deve ser marcado](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] os GuardDuty detectores devem ser marcados](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados](iam-controls.md#iam-23) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.2] Os fluxos do Kinesis devem ser marcados](kinesis-controls.md#kinesis-2) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.3] não AWS KMS keys deve ser excluído acidentalmente](kms-controls.md#kms-3) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.6] As funções do Lambda devem ser marcadas](lambda-controls.md#lambda-6) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados](networkfirewall-controls.md#networkfirewall-7) 
+  [[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas](networkfirewall-controls.md#networkfirewall-8) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados](rds-controls.md#rds-16) 
+  [[RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots](rds-controls.md#rds-17) 
+  [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) 
+  [[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster](rds-controls.md#rds-19) 
+  [[RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados](rds-controls.md#rds-20) 
+  [[RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados](rds-controls.md#rds-21) 
+  [[RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados](rds-controls.md#rds-22) 
+  [[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados](rds-controls.md#rds-23) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.28] Os clusters de bancos de dados do RDS devem ser marcados](rds-controls.md#rds-28) 
+  [[RDS.29] Os snapshots de cluster de bancos de dados do RDS devem ser marcados](rds-controls.md#rds-29) 
+  [[RDS.30] As instâncias de bancos de dados do RDS devem ser marcadas](rds-controls.md#rds-30) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.32] Os snapshots de banco de dados do RDS devem ser marcados](rds-controls.md#rds-32) 
+  [[RDS.33] Os grupos de sub-redes de banco de dados do RDS devem ser marcados](rds-controls.md#rds-33) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito](rds-controls.md#rds-38) 
+  [[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito](rds-controls.md#rds-39) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 
+  [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1) 
+  [[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4) 
+  [[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Os clusters do Redshift devem ser marcados](redshift-controls.md#redshift-11) 
+  [[Redshift.12] As notificações de assinatura de notificações eventos do Redshift devem ser marcadas](redshift-controls.md#redshift-12) 
+  [[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-13) 
+  [[Redshift.14] Os grupos de sub-redes de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-14) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Remover segredos não utilizados do Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias](secretsmanager-controls.md#secretsmanager-4) 
+  [[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados](secretsmanager-controls.md#secretsmanager-5) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.3] Os tópicos do SNS devem ser marcados](sns-controls.md#sns-3) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 
+  [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] As atividades do Step Functions devem ser marcadas](stepfunctions-controls.md#stepfunctions-2) 
+  [Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WAF.11] O registro de ACL AWS WAF da web deve estar ativado](waf-controls.md#waf-11) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Tailândia)
<a name="securityhub-control-support-apsoutheast7"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Tailândia).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Athena.2] Os catálogos de dados do Athena devem ser marcados](athena-controls.md#athena-2) 
+  [[Athena.3] Os grupos de trabalho do Athena devem ser marcados](athena-controls.md#athena-3) 
+  [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.2] os pontos de AWS Backup recuperação devem ser marcados](backup-controls.md#backup-2) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[EC2.182] Os snapshots do Amazon EBS não devem estar acessíveis ao público](ec2-controls.md#ec2-182) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada](ecs-controls.md#ecs-19) 
+  [[ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[ES.9] Os domínios do Elasticsearch devem ser marcados](es-controls.md#es-9) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [Os AWS Glue trabalhos [Glue.1] devem ser marcados](glue-controls.md#glue-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito](rds-controls.md#rds-38) 
+  [[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito](rds-controls.md#rds-39) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Ásia-Pacífico (Tóquio)
<a name="securityhub-control-support-apnortheast1"></a>

Não há suporte para os controles a seguir na região Ásia-Pacífico (Tóquio).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Canadá (Central)
<a name="securityhub-control-support-cacentral1"></a>

Não há suporte para os controles a seguir na região Canadá (Central).
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Oeste do Canadá (Calgary)
<a name="securityhub-control-support-cawest1"></a>

Não há suporte para os controles a seguir na região Oeste do Canadá (Calgary).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito](rds-controls.md#rds-38) 
+  [[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito](rds-controls.md#rds-39) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade](redshift-controls.md#redshift-16) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## China (Pequim)
<a name="securityhub-control-support-cnnorth1"></a>

Não há suporte para os controles a seguir na região China (Pequim).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.36] Os gateways dos clientes do EC2 devem ser marcados](ec2-controls.md#ec2-36) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 
+  [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.3] GuardDuty IPSets deve ser marcado](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] os GuardDuty detectores devem ser marcados](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados](iam-controls.md#iam-23) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada](rds-controls.md#rds-7) 
+  [[RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS](rds-controls.md#rds-12) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15) 
+  [[RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados](rds-controls.md#rds-16) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.28] Os clusters de bancos de dados do RDS devem ser marcados](rds-controls.md#rds-28) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## China (Ningxia)
<a name="securityhub-control-support-cnnorthwest1"></a>

Não há suporte para os controles a seguir na região China (Ningxia).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.36] Os gateways dos clientes do EC2 devem ser marcados](ec2-controls.md#ec2-36) 
+  [[EC2.50] Os gateways de VPN do EC2 devem ser marcados](ec2-controls.md#ec2-50) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 
+  [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[GuardDuty.3] GuardDuty IPSets deve ser marcado](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] os GuardDuty detectores devem ser marcados](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados](iam-controls.md#iam-23) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1) 
+  [[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis](lambda-controls.md#lambda-2) 
+  [[Lambda.3] As funções do Lambda devem estar em uma VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.6] As funções do Lambda devem ser marcadas](lambda-controls.md#lambda-6) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.2] As atividades do Step Functions devem ser marcadas](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Europa (Frankfurt)
<a name="securityhub-control-support-eucentral1"></a>

Não há suporte para os controles a seguir na região Europa (Frankfurt).
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Europa (Irlanda)
<a name="securityhub-control-support-euwest1"></a>

Não há suporte para os controles a seguir na região Europa (Irlanda).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Europa (Londres)
<a name="securityhub-control-support-euwest2"></a>

Não há suporte para os controles a seguir na região Europa (Londres).
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## Europa (Milão)
<a name="securityhub-control-support-eusouth1"></a>

Não há suporte para os controles a seguir na região Europa (Milão).
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Europa (Paris)
<a name="securityhub-control-support-euwest3"></a>

Não há suporte para os controles a seguir na região Europa (Paris).
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Europa (Espanha)
<a name="securityhub-control-support-eusouth2"></a>

Não há suporte para os controles a seguir na região Europa (Espanha).
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente](ec2-controls.md#ec2-1) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[Lambda.1] As funções do Lambda.1 devem proibir o acesso público](lambda-controls.md#lambda-1) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Europa (Estocolmo)
<a name="securityhub-control-support-eunorth1"></a>

Não há suporte para os controles a seguir na região Europa (Estocolmo).
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Europa (Zurique)
<a name="securityhub-control-support-eucentral2"></a>

Não há suporte para os controles a seguir na região Europa (Zurique).
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Israel (Tel Aviv)
<a name="securityhub-control-support-ilcentral1"></a>

Não há suporte para os controles a seguir na região Israel (Tel Aviv).
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Os snapshots do RDS devem ser privados](rds-controls.md#rds-1) 
+  [[RDS.4] Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso](rds-controls.md#rds-4) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.29] Os snapshots de cluster de bancos de dados do RDS devem ser marcados](rds-controls.md#rds-29) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## México (Centro)
<a name="securityhub-control-support-mxcentral1"></a>

Não há suporte para os controles a seguir na região México (Central).
+  [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1) 
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado](athena-controls.md#athena-4) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.2] os pontos de AWS Backup recuperação devem ser marcados](backup-controls.md#backup-2) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync as tarefas devem ter o registro ativado](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas](ec2-controls.md#ec2-34) 
+  [[EC2.40] Os gateways de NAT do EC2 devem ser marcados](ec2-controls.md#ec2-40) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) 
+  [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve ser configurado com um endpoint de interface para o Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] As conexões de VPN do EC2 devem ter o registro em log habilitado](ec2-controls.md#ec2-171) 
+  [[EC2.172] As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[EC2.182] Os snapshots do Amazon EBS não devem estar acessíveis ao público](ec2-controls.md#ec2-182) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos](ecs-controls.md#ecs-16) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada](ecs-controls.md#ecs-19) 
+  [[ECS.20] As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização](efs-controls.md#efs-6) 
+  [[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados](efs-controls.md#efs-7) 
+  [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes](eks-controls.md#eks-3) 
+  [[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas](eks-controls.md#eks-7) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós](es-controls.md#es-3) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[ES.9] Os domínios do Elasticsearch devem ser marcados](es-controls.md#es-9) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [Os AWS Glue trabalhos [Glue.1] devem ser marcados](glue-controls.md#glue-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10) 
+  [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) 
+  [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) 
+  [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) 
+  [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) 
+  [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) 
+  [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) 
+  [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[IoT.4] os AWS IoT Core autorizadores devem ser marcados](iot-controls.md#iot-4) 
+  [[IoT.5] aliases de AWS IoT Core função devem ser marcados](iot-controls.md#iot-5) 
+  [As AWS IoT Core políticas [IoT.6] devem ser marcadas](iot-controls.md#iot-6) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Os agentes do Amazon MQ devem ser marcados](mq-controls.md#mq-4) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup](rds-controls.md#rds-26) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.36] O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografados em trânsito](rds-controls.md#rds-38) 
+  [[RDS.39] As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito](rds-controls.md#rds-39) 
+  [[RDS.40] O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público](redshift-controls.md#redshift-1) 
+  [[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado](redshift-controls.md#redshift-4) 
+  [[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Os clusters do Redshift devem ser marcados](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões](s3-controls.md#s3-7) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-19) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22) 
+  [[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma organização AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL](ssm-controls.md#ssm-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Oriente Médio (Bahrein)
<a name="securityhub-control-support-mesouth1"></a>

Não há suporte para os controles a seguir na região Oriente Médio (Bahrein).
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host](ecs-controls.md#ecs-17) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx para Windows File Server, os sistemas de arquivos devem ser configurados para implantação Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[NetworkFirewall.10] Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada](networkfirewall-controls.md#networkfirewall-10) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito](rds-controls.md#rds-41) 
+  [[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito](rds-controls.md#rds-44) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet](rds-controls.md#rds-46) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Os namespaces sem servidor do Redshift não devem usar o nome de usuário de administrador padrão](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado](transfer-controls.md#transfer-3) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## Oriente Médio (Emirados Árabes Unidos)
<a name="securityhub-control-support-mecentral1"></a>

Não há suporte para os controles a seguir na região Oriente Médio (Emirados Árabes Unidos).
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso](backup-controls.md#backup-1) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[Detective.1] Os gráficos de comportamento do Detective devem ser marcados](detective-controls.md#detective-1) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.3] As assinaturas de eventos do DMS devem ser marcadas](dms-controls.md#dms-3) 
+  [[DMS.4] As instâncias de replicação do DMS devem ser marcadas](dms-controls.md#dms-4) 
+  [[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados](dms-controls.md#dms-5) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada](dms-controls.md#dms-10) 
+  [[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado](dms-controls.md#dms-12) 
+  [[DMS.13] As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade](dms-controls.md#dms-13) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado](ec2-controls.md#ec2-4) 
+  [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[EC2.180] As interfaces de rede do EC2 devem ter a verificação ativada source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-181) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup](efs-controls.md#efs-2) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas](elb-controls.md#elb-17) 
+  [[ELB.18] Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos](emr-controls.md#emr-1) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty os filtros devem ser marcados](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) 
+  [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) 
+  [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) 
+  [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) 
+  [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-2) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-1) 
+  [[KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] As funções Lambda devem ter o rastreamento ativo ativado AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.4] Os clusters do MSK devem ter acesso público desabilitado](msk-controls.md#msk-4) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado](msk-controls.md#msk-6) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [Os OpenSearch domínios [Opensearch.9] devem ser marcados](opensearch-controls.md#opensearch-9) 
+  [Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada](opensearch-controls.md#opensearch-10) 
+  [Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso](sqs-controls.md#sqs-1) 
+  [[SQS.2] As filas do SQS devem ser marcadas](sqs-controls.md#sqs-2) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada](ssm-controls.md#ssm-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## América do Sul (São Paulo)
<a name="securityhub-control-support-saeast1"></a>

Não há suporte para os controles a seguir na região América do Sul (São Paulo).
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados](iot-controls.md#iot-1) 
+  [[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas](iot-controls.md#iot-2) 
+  [[IoT.3] as AWS IoT Core dimensões devem ser marcadas](iot-controls.md#iot-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 

## AWS GovCloud (Leste dos EUA)
<a name="securityhub-control-support-usgoveast1"></a>

Os controles a seguir não são suportados na região AWS GovCloud (Leste dos EUA).
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas](cognito-controls.md#cognito-2) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado](connect-controls.md#connect-2) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.47] Os serviços de endpoint da Amazon VPC devem ser marcados](ec2-controls.md#ec2-47) 
+  [[EC2.52] Os gateways de trânsito do EC2 devem ser marcados](ec2-controls.md#ec2-52) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 
+  [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso](glue-controls.md#glue-3) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.31] Os grupos de segurança de banco de dados do RDS devem ser marcados](rds-controls.md#rds-31) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] As listas de contatos do SES devem ser marcadas](ses-controls.md#ses-1) 
+  [[SES.2] Os conjuntos de configuração do SES devem ser marcados](ses-controls.md#ses-2) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch](ssm-controls.md#ssm-6) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] As atividades do Step Functions devem ser marcadas](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso](workspaces-controls.md#workspaces-2) 

## AWS GovCloud (Oeste dos EUA)
<a name="securityhub-control-support-usgovwest1"></a>

Os controles a seguir não são suportados na região AWS GovCloud (Oeste dos EUA).
+  [[ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits](acm-controls.md#acm-2) 
+  [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) 
+  [[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] As integrações do API Gateway V2 devem usar HTTPS para conexões privadas](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] As aplicações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-1) 
+  [[Amplify.2] As ramificações do Amplify devem ser marcadas com tags](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] os AWS AppConfig aplicativos devem ser marcados](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] perfis AWS AppConfig de configuração devem ser marcados](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig ambientes devem ser marcados](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] associações AWS AppConfig de extensão devem ser marcadas](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] Os AppFlow fluxos da Amazon devem ser marcados](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Os serviços do App Runner devem ser marcados](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Os conectores VPC do App Runner devem ser marcados](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado](appsync-controls.md#appsync-4) 
+  [[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] As configurações de lançamento em grupo do Auto Scaling devem EC2 configurar as instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento da Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] os planos de AWS Backup relatórios devem ser marcados](backup-controls.md#backup-4) 
+  [[Batch.1] As filas de trabalhos do Batch devem ser marcadas com tags](batch-controls.md#batch-1) 
+  [[Batch.2] As políticas de agendamento do Batch devem ser marcadas com tags](batch-controls.md#batch-2) 
+  [[Batch.3] Ambientes de computação do Batch devem ser marcados com tags](batch-controls.md#batch-3) 
+  [[Batch.4] As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront as distribuições devem ter o registro ativado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] as CloudFront distribuições devem ser marcadas](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositórios devem ser marcados](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Os grupos de CodeGuru criação de perfil do Profiler devem ser marcados](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão](cognito-controls.md#cognito-1) 
+  [[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada](cognito-controls.md#cognito-4) 
+  [[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada](cognito-controls.md#cognito-6) 
+  [[Connect.1] Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags](connect-controls.md#connect-1) 
+  [[DataSync.2] DataSync as tarefas devem ser marcadas](datasync-controls.md#datasync-2) 
+  [[DMS.2] Os certificados do DMS devem ser marcados](dms-controls.md#dms-2) 
+  [[DMS.6] As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada](dms-controls.md#dms-6) 
+  [[DMS.7] As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado](dms-controls.md#dms-7) 
+  [[DMS.8] As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado](dms-controls.md#dms-8) 
+  [[DMS.9] Os endpoints do DMS devem usar SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Os clusters do Amazon DocumentDB devem publicar registros de auditoria no Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) 
+  [[PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos](ec2-controls.md#ec2-22) 
+  [[EC2.23] Os Transit Gateways do Amazon EC2 não devem aceitar automaticamente solicitações de anexos da VPC](ec2-controls.md#ec2-23) 
+  [Os tipos de instância paravirtual do Amazon EC2 não devem ser usados](ec2-controls.md#ec2-24) 
+  [[EC2.25] Os modelos de lançamento do Amazon EC2 não devem atribuir IPs interfaces públicas às de rede](ec2-controls.md#ec2-25) 
+  [[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup](ec2-controls.md#ec2-28) 
+  [[EC2.38] As instâncias do EC2 devem ser marcadas](ec2-controls.md#ec2-38) 
+  [[EC2.58] VPCs deve ser configurado com um endpoint de interface para os contatos do Systems Manager Incident Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Os modelos de execução do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS](ec2-controls.md#ec2-173) 
+  [[EC2.174] Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags](ec2-controls.md#ec2-174) 
+  [[EC2.175] Os modelos de execução do EC2 devem ser marcados com tags](ec2-controls.md#ec2-175) 
+  [[EC2.176] As listas de prefixos do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-176) 
+  [[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-177) 
+  [[EC2.178] Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-178) 
+  [[EC2.179] Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags](ec2-controls.md#ec2-179) 
+  [[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada](ecr-controls.md#ecr-1) 
+  [[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada](ecr-controls.md#ecr-2) 
+  [[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada](ecr-controls.md#ecr-3) 
+  [[ECR.4] Os repositórios públicos do ECR devem ser marcados](ecr-controls.md#ecr-4) 
+  [[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Os contêineres ECS devem ser executados sem privilégios](ecs-controls.md#ecs-4) 
+  [[ECS.5] As definições de tarefas do ECS devem configurar os contêineres para serem limitados ao acesso somente de leitura aos sistemas de arquivos raiz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner](ecs-controls.md#ecs-8) 
+  [[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log](ecs-controls.md#ecs-9) 
+  [[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Os clusters do ECS devem usar Container Insights](ecs-controls.md#ecs-12) 
+  [[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz](efs-controls.md#efs-3) 
+  [[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário](efs-controls.md#efs-4) 
+  [[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes](eks-controls.md#eks-2) 
+  [[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado](eks-controls.md#eks-8) 
+  [[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade](elb-controls.md#elb-10) 
+  [[ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-12) 
+  [[ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade](elb-controls.md#elb-13) 
+  [O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso](elb-controls.md#elb-14) 
+  [[ELB.21] Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados](elb-controls.md#elb-21) 
+  [[ELB.22] Os grupos-alvo do ELB devem usar protocolos de transporte criptografados](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grupos de replicação de versões anteriores devem ter o Redis OSS AUTH ativado](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso](emr-controls.md#emr-3) 
+  [[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito](emr-controls.md#emr-4) 
+  [[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado](es-controls.md#es-4) 
+  [[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx para sistemas de arquivos OpenZFS, devem ser configurados para copiar tags para backups e volumes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] A proteção contra GuardDuty malware para EC2 deve estar ativada](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] O monitoramento de tempo de execução do GuardDuty EC2 deve estar ativado](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) 
+  [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) 
+  [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21) 
+  [[IAM.24] Os perfis do IAM devem ser marcados](iam-controls.md#iam-24) 
+  [[IAM.25] Os usuários do IAM devem ser marcados](iam-controls.md#iam-25) 
+  [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) 
+  [[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] As entradas de AWS IoT Events devem ser marcadas](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Os modelos de detectores de eventos de AWS IoT devem ser marcados](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Os modelos de alarme AWS do IoT Events devem ser marcados](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Os modelos de ativos de AWS IoT devem ser SiteWise marcados](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Os painéis de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Os gateways de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Os portais de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Projetos de AWS SiteWise IoT devem ser marcados](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Os trabalhos de sincronização de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Os espaços de trabalho de AWS IoT devem ser TwinMaker marcados](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] As cenas de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] As entidades de AWS TwinMaker IoT devem ser marcadas](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Os grupos multicast AWS do IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Os perfis do serviço AWS IoT Wireless devem ser marcados](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] As tarefas do AWS IoT FUOTA devem ser marcadas](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Os pares de chaves de reprodução do IVS devem ser marcados com tags](ivs-controls.md#ivs-1) 
+  [[IVS.2] As configurações de gravação IVS devem ser marcadas com tags](ivs-controls.md#ivs-2) 
+  [[IVS.3] Os canais do IVS devem ser marcados com tags](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Os espaços de chaves do Amazon Keyspaces devem ser marcados com tags](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] As chaves do KMS não devem estar acessíveis ao público](kms-controls.md#kms-5) 
+  [[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade](lambda-controls.md#lambda-5) 
+  [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada](macie-controls.md#macie-2) 
+  [[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente](msk-controls.md#msk-1) 
+  [[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado](msk-controls.md#msk-2) 
+  [[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito](msk-controls.md#msk-3) 
+  [[MSK.5] Os conectores do MSK devem ter o registro em log habilitado](msk-controls.md#msk-5) 
+  [[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Os clusters de banco de dados do Neptune devem ser implantados em várias zonas de disponibilidade](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada](networkfirewall-controls.md#networkfirewall-9) 
+  [Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada](opensearch-controls.md#opensearch-1) 
+  [Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público](opensearch-controls.md#opensearch-2) 
+  [Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós](opensearch-controls.md#opensearch-3) 
+  [O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado](opensearch-controls.md#opensearch-4) 
+  [Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado](opensearch-controls.md#opensearch-5) 
+  [Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados](opensearch-controls.md#opensearch-6) 
+  [Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente](opensearch-controls.md#opensearch-8) 
+  [[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada](pca-controls.md#pca-1) 
+  [[PCA.2] As autoridades de certificação de CA AWS privadas devem ser marcadas](pca-controls.md#pca-2) 
+  [[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado](rds-controls.md#rds-14) 
+  [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15) 
+  [[RDS.24] Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-24) 
+  [[RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado](rds-controls.md#rds-25) 
+  [[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso](rds-controls.md#rds-27) 
+  [[RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada](rds-controls.md#rds-35) 
+  [[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões](rds-controls.md#rds-43) 
+  [[RDS.45] Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado](rds-controls.md#rds-45) 
+  [[RDS.47] Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-47) 
+  [[RDS.48] Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots](rds-controls.md#rds-48) 
+  [[RDS.50] Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido](rds-controls.md#rds-50) 
+  [[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Os clusters do Redshift devem ser marcados](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Os snapshots de cluster do Redshift devem ser marcados](redshift-controls.md#redshift-13) 
+  [[Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Os grupos de trabalho sem servidor do Amazon Redshift devem usar o roteamento de VPC aprimorado](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] As verificações de integridade do Route 53 devem ser marcadas](route53-controls.md#route53-1) 
+  [[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11) 
+  [[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3](s3-controls.md#s3-12) 
+  [[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) 
+  [[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas](s3-controls.md#s3-24) 
+  [[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida](s3-controls.md#s3-25) 
+  [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker as imagens devem ser marcadas](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails](ses-controls.md#ses-3) 
+  [[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público](sns-controls.md#sns-4) 
+  [[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público](sqs-controls.md#sqs-3) 
+  [[SSM.4] Os documentos SSM não devem ser públicos](ssm-controls.md#ssm-4) 
+  [[SSM.5] Os documentos do SSM devem ser marcados com tags](ssm-controls.md#ssm-5) 
+  [[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] As atividades do Step Functions devem ser marcadas](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Os contratos do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Os certificados do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Os conectores do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Os perfis do Transfer Family devem ser marcados com tags](transfer-controls.md#transfer-7) 
+  [[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado](waf-controls.md#waf-1) 
+  [[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-2) 
+  [[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-3) 
+  [[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-4) 
+  [[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição](waf-controls.md#waf-6) 
+  [[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra](waf-controls.md#waf-7) 
+  [[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras](waf-controls.md#waf-10) 
+  [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12) 

# Criando recursos CSPM do Security Hub com CloudFormation
<a name="creating-resources-with-cloudformation"></a>

AWS O Security Hub CSPM se integra ao AWS CloudFormation, que é um serviço que ajuda você a modelar e configurar seus AWS recursos para que você possa gastar menos tempo criando e gerenciando seus recursos e infraestrutura. Você cria um modelo que descreve todos os AWS recursos que você deseja (como regras de automação) e CloudFormation provisiona e configura esses recursos para você.

Ao usar CloudFormation, você pode reutilizar seu modelo para configurar seus recursos CSPM do Security Hub de forma consistente e repetida. Descreva seus recursos uma vez e, em seguida, provisione os mesmos recursos repetidamente em várias Contas da AWS regiões. 

## CSPM e modelos do Security Hub CloudFormation
<a name="working-with-templates"></a>

Para provisionar e configurar recursos para o CSPM do Security Hub e serviços relacionados, você precisa entender como os [modelos do CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html) funcionam. Os modelos são arquivos de texto no formato JSON ou YAML. Esses modelos descrevem os recursos que você deseja provisionar em suas CloudFormation pilhas.

Se você não estiver familiarizado com JSON ou YAML, você pode usar o CloudFormation Designer para ajudá-lo a começar a usar modelos. CloudFormation Para obter mais informações, consulte [O que é CloudFormation Designer?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html) no *Guia do AWS CloudFormation usuário*.

Você pode criar CloudFormation modelos para os seguintes tipos de recursos CSPM do Security Hub:
+ Habilitação do CSPM do Security Hub
+ Designação do administrador delegado do CSPM do Security Hub para uma organização
+ Especifique a forma na qual sua organização é configurada no CSPM do Security Hub
+ Habilitar um padrão de segurança
+ Habilitar a agregação entre regiões
+ Criar uma política de configuração central e associá-la às contas, à unidade organizacional (OUs) ou à raiz
+ Criar um insight personalizado
+ Criar uma regra de automação
+ Personalização de parâmetros de controle
+ Assinar uma integração de produtos de terceiros

Para obter mais informações, incluindo exemplos de modelos JSON e YAML para os recursos, consulte a [Referência de tipo de recurso do CSPM do AWS Security Hub](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SecurityHub.html) no *Guia do usuário do AWS CloudFormation *.

## Saiba mais sobre CloudFormation
<a name="learn-more-cloudformation"></a>

Para saber mais sobre isso CloudFormation, consulte os seguintes recursos:
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation Guia do usuário](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation API Reference](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation Guia do usuário da interface de linha de comando](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)

# Assinatura de anúncios do CSPM do Security Hub com o Amazon SNS
<a name="securityhub-announcements"></a>

Esta seção fornece informações sobre a assinatura dos anúncios do CSPM do AWS Security Hub com o Amazon Simple Notification Service (Amazon SNS) para receber notificações sobre o CSPM do Security Hub. 

Depois de se inscrever, você receberá notificações sobre os seguintes eventos (anote o `AnnouncementType` correspondente para cada evento):
+ `GENERAL`: notificações gerais sobre o serviço CSPM do Security Hub.
+ `UPCOMING_STANDARDS_CONTROLS`: os controles ou padrões específicos do CSPM do Security Hub serão lançados em breve. Esse tipo de anúncio ajuda você a preparar fluxos de trabalho de resposta e correção antes do lançamento.
+ `NEW_REGIONS`: o suporte para o CSPM do Security Hub está disponível em um novo Região da AWS.
+ `NEW_STANDARDS_CONTROLS`: novos controles ou padrões do CSPM do Security Hub foram adicionados.
+ `UPDATED_STANDARDS_CONTROLS`: os controles ou padrões existentes do CSPM do Security Hub foram atualizados.
+ `RETIRED_STANDARDS_CONTROLS`: os controles ou padrões existentes do CSPM do Security Hub foram descontinuados.
+ `UPDATED_ASFF`— A sintaxe, os campos ou os valores do AWS Security Finding Format (ASFF) foram atualizados.
+ `NEW_INTEGRATION`— Novas integrações com outros AWS serviços ou produtos de terceiros estão disponíveis.
+ `NEW_FEATURE`: novos atributos do CSPM do Security Hub estão disponíveis.
+ `UPDATED_FEATURE`: os atributos existentes do CSPM do Security Hub foram atualizados.

As notificações estão disponíveis em todos os formatos compatíveis com o Amazon SNS. É possível assinar os anúncios do CSPM do Security Hub em todas as [Regiões da AWS em que o CSPM do Security Hub estiver disponível](https://docs.aws.amazon.com/general/latest/gr/sechub.html).

Um usuário deve ter permissões de `Subscribe` para se inscrever em um tópico do Amazon SNS. É possível conseguir isso com as políticas do Amazon SNS, políticas do IAM ou ambas. Para obter mais informações, consulte [Políticas do IAM e do Amazon SNS juntas](https://docs.aws.amazon.com/sns/latest/dg/sns-using-identity-based-policies.html#iam-and-sns-policies) no *Guia do desenvolvedor do Amazon Simple Notification Service*.

**nota**  
O CSPM do Security Hub envia anúncios do Amazon SNS sobre atualizações do serviço CSPM do Security Hub para qualquer Conta da AWS assinante. Para receber notificações sobre as descobertas do CSPM do Security Hub, consulte [Análise de detalhes e históricos de descobertas no CSPM do Security Hub](securityhub-findings-viewing.md).

É possível se inscrever em uma fila do Amazon Simple Queue Service (Amazon SQS) para um tópico do Amazon SNS, mas deve usar o nome do recurso da Amazon (ARN) de tópico do Amazon SNS que esteja na mesma região. Para obter mais informações, consulte [Assinatura de uma fila para um tópico do Amazon SNS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-subscribe-queue-sns-topic.html) no *Guia do desenvolvedor do Amazon Simple Queue Service*.

Você também pode usar uma AWS Lambda função para invocar eventos ao receber notificações. Para obter mais informações, incluindo um exemplo de código de função, consulte [Tutorial: Usando AWS Lambda com o Amazon Simple Notification Service](https://docs.aws.amazon.com/lambda/latest/dg/with-sns-example.html) no *Guia do AWS Lambda desenvolvedor*.

Os tópicos do Amazon SNS ARNs para cada região são os seguintes.


| Região da AWS | Tópico ARN do Amazon SNS | 
| --- | --- | 
| Leste dos EUA (Ohio) | arn:aws:sns:us-east-2:291342846459:SecurityHubAnnouncements | 
| Leste dos EUA (Norte da Virgínia) | arn:aws:sns:us-east-1:088139225913:SecurityHubAnnouncements | 
| Oeste dos EUA (N. da Califórnia) | arn:aws:sns:us-west-1:137690824926:SecurityHubAnnouncements | 
| Oeste dos EUA (Oregon) | arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements | 
| África (Cidade do Cabo) | arn:aws:sns:af-south-1:463142546776:SecurityHubAnnouncements | 
| Ásia-Pacífico (Hong Kong) | arn:aws:sns:ap-east-1:464812404305:SecurityHubAnnouncements | 
| Ásia-Pacífico (Hyderabad) | arn:aws:sns:ap-south-2:849907286123:SecurityHubAnnouncements | 
| Ásia-Pacífico (Jacarta) | arn:aws:sns:ap-southeast-3:627843640627:SecurityHubAnnouncements | 
| Ásia-Pacífico (Mumbai) | arn:aws:sns:ap-south-1:707356269775:SecurityHubAnnouncements | 
| Ásia-Pacífico (Osaka) | arn:aws:sns:ap-northeast-3:633550238216:SecurityHubAnnouncements | 
| Ásia-Pacífico (Seul) | arn:aws:sns:ap-northeast-2:374299265323:SecurityHubAnnouncements | 
| Ásia-Pacífico (Singapura) | arn:aws:sns:ap-southeast-1:512267288502:SecurityHubAnnouncements | 
| Ásia-Pacífico (Sydney) | arn:aws:sns:ap-southeast-2:475730049140:SecurityHubAnnouncements | 
| Ásia-Pacífico (Tóquio) | arn:aws:sns:ap-northeast-1:592469075483:SecurityHubAnnouncements | 
| Canadá (Central) | arn:aws:sns:ca-central-1:137749997395:SecurityHubAnnouncements | 
| China (Pequim) | arn:aws-cn:sns:cn-north-1:672341567257:SecurityHubAnnouncements | 
| China (Ningxia) | arn:aws-cn:sns:cn-northwest-1:672534482217:SecurityHubAnnouncements | 
| Europa (Frankfurt) | arn:aws:sns:eu-central-1:871975303681:SecurityHubAnnouncements | 
| Europa (Irlanda) | arn:aws:sns:eu-west-1:705756202095:SecurityHubAnnouncements | 
| Europa (Londres) | arn:aws:sns:eu-west-2:883600840440:SecurityHubAnnouncements | 
| Europa (Milão) | arn:aws:sns:eu-south-1:151363035580:SecurityHubAnnouncements | 
| Europe (Paris) | arn:aws:sns:eu-west-3:313420042571:SecurityHubAnnouncements | 
| Europa (Espanha) | arn:aws:sns:eu-south-2:777487947751:SecurityHubAnnouncements | 
| Europa (Estocolmo) | arn:aws:sns:eu-north-1:191971010772:SecurityHubAnnouncements | 
| Europa (Zurique) | arn:aws:sns:eu-central-2:704347005078:SecurityHubAnnouncements | 
| Israel (Tel Aviv) | arn:aws:sns:il-central-1:726652212146:SecurityHubAnnouncements | 
| Oriente Médio (Barém) | arn:aws:sns:me-south-1:585146626860:SecurityHubAnnouncements | 
| Oriente Médio (Emirados Árabes Unidos) | arn:aws:sns:me-central-1:431548502100:SecurityHubAnnouncements | 
| América do Sul (São Paulo) | arn:aws:sns:sa-east-1:359811883282:SecurityHubAnnouncements | 
| AWS GovCloud (Leste dos EUA) | arn:aws-us-gov:sns:us-gov-east-1:239368469855:SecurityHubAnnouncements | 
| AWS GovCloud (Oeste dos EUA) | arn:aws-us-gov:sns:us-gov-west-1:239334163374:SecurityHubAnnouncements | 

Normalmente, as mensagens são as mesmas em todas as regiões de uma [partição](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), então você pode se inscrever em uma região de cada partição para receber anúncios que afetam todas as regiões dessa partição. Os anúncios associados às contas de membro não são replicados na conta do administrador. Como resultado, cada conta, incluindo a conta de administrador, terá apenas uma cópia de cada anúncio. É possível decidir qual conta deseja usar para assinar os anúncios do CSPM do Security Hub.

Para obter informações sobre o custo da assinatura dos anúncios do CSPM do Security Hub, consulte a [definição de preços do Amazon SNS.](https://aws.amazon.com/sns/pricing/)

**Assinatura de anúncios do CSPM do Security Hub (console)**

1. [Abra o console do Amazon SNS em https://console.aws.amazon.com/sns/ v3/home.](https://console.aws.amazon.com/sns/v3/home)

1. Na lista de regiões, selecione a região na qual você deseja assinar os anúncios do CSPM do Security Hub. Este exemplo usa a região `us-west-2`.

1. No painel de navegação, escolha **Subscriptions (Assinaturas)** e, depois, selecione **Create subscription (Criar assinatura)**.

1. Insira o **ARN do tópico** na caixa com mesmo nome. Por exemplo, .`arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements`

1. Em **Protocolo**, escolha como você deseja receber os anúncios do CSPM do Security Hub. Se você escolher **E-mail**, em **Endpoint**, insira o endereço de e-mail que você deseja usar para receber anúncios.

1. Selecione **Criar assinatura**.

1. Confirmar a assinatura. Por exemplo, se você escolher o protocolo de e-mail, o Amazon SNS enviará uma mensagem de confirmação de assinatura ao e-mail que você forneceu.

**Assinatura de anúncios do CSPM do Security Hub (AWS CLI)**

1. Execute este comando: .

   ```
    aws  sns --region us-west-2 subscribe --topic-arn arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements --protocol email --notification-endpoint your_email@your_domain.com
   ```

1. Confirmar a assinatura. Por exemplo, se você escolher o protocolo de e-mail, o Amazon SNS enviará uma mensagem de confirmação de assinatura ao e-mail que você forneceu.

## Formato de mensagem do Amazon SNS
<a name="securityhub-announcements-example"></a>

Os exemplos a seguir mostram os anúncios do CSPM do Security Hub do Amazon SNS sobre a introdução de novos controles de segurança. O conteúdo da mensagem varia de acordo com o tipo de anúncio, mas o formato é o mesmo para todos os tipos de anúncio. Opcionalmente, um campo `Link` que fornece detalhes sobre o anúncio pode ser incluído.

**Exemplo: anúncio do CSPM do Security Hub para novos controles (protocolo de e-mail)**

```
{
"AnnouncementType":"NEW_STANDARDS_CONTROLS",
"Title":"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard",
"Description":"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9), 
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured Security Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. "
}
```

**Exemplo: anúncio do CSPM do Security Hub para novos controles (protocolo de e-mail JSON)**

```
{
  "Type" : "Notification",
  "MessageId" : "d124c9cf-326a-5931-9263-92a92e7af49f",
  "TopicArn" : "arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements",
  "Message" : "{\"AnnouncementType\":\"NEW_STANDARDS_CONTROLS\",\"Title\":\"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard\",\"Description\":\"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9), 
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured SSecurity Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. \"}",
  "Timestamp" : "2022-08-04T19:11:12.652Z",
  "SignatureVersion" : "1",
  "Signature" : "HTHgNFRYMetCvisulgLM4CVySvK9qCXFPHQDxYl9tuCFQuIrd7YO4m4YFR28XKMgzqrF20YP+EilipUm2SOTpEEtOTekU5bn74+YmNZfwr4aPFx0vUuQCVOshmHl37hjkiLjhCg/t53QQiLfP7MH+MTXIUPR37k5SuFCXvjpRQ8ynV532AH3Wpv0HmojDLMg+eg51V1fUsOG8yiJVCBEJhJ1yS+gkwJdhRk2UQab9RcAmE6COK3hRWcjDwqTXz5nR6Ywv1ZqZfLIl7gYKslt+jsyd/k+7kOqGmOJRDr7qhE7H+7vaGRLOptsQnbW8VmeYnDbahEO8FV+Mp1rpV+7Qg==",
  "SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-56e67fcb41f6fec09b0196692625d385.pem",
  "UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements:9d0230d7-d582-451d-9f15-0c32818bf61f"
}
```

# Desabilitação do CSPM do Security Hub
<a name="securityhub-disable"></a>

Você pode desativar o CSPM do AWS Security Hub usando o console CSPM do Security Hub ou a API do Security Hub. Se você desabilitar o CSPM do Security Hub, será possível habilitá-lo novamente mais tarde.

Se sua organização usa a configuração central, o administrador delegado do CSPM do Security Hub pode criar políticas de configuração que desabilitem o CSPM do Security Hub para contas e unidades organizacionais específicas () e OUs mantenham o CSPM do Security Hub ativado para outras pessoas. As políticas de configuração afetam a região inicial e todas as regiões vinculadas. Para obter mais informações, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Se você desabilitar o CSPM do Security Hub para uma conta, ocorre o seguinte:
+ Todos os padrões e controles do CSPM do Security Hub são desabilitados para a conta.
+ O CSPM do Security Hub para de gerar, atualizar e ingerir descobertas para a conta.
+ Depois de 30 dias, o CSPM do Security Hub exclui permanentemente todas as descobertas arquivadas existentes da conta. As descobertas não poderão ser recuperadas usando o CSPM do Security Hub.
+ Depois de 90 dias, o CSPM do Security Hub exclui permanentemente todas as descobertas ativas existentes da conta. As descobertas não poderão ser recuperadas usando o CSPM do Security Hub.
+ Depois de 90 dias, o CSPM do Security Hub exclui permanentemente todos os insights existentes e as definições de configuração do CSPM do Security Hub da conta. Os dados e as configurações não poderão ser recuperados.

Para reter as descobertas existentes, é possível exportá-las para um bucket do S3 antes de desabilitar o CSPM do Security Hub. Você pode fazer isso usando uma ação personalizada com uma EventBridge regra da Amazon. Para obter mais informações, consulte [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md).

Se você reabilitar o CSPM do Security Hub dentro de 90 dias após desabilitá-lo para uma conta, você recuperará o acesso às descobertas ativas existentes, bem como aos insights e às configurações do CSPM do Security Hub para a conta. Se você reabilitar o CSPM do Security Hub em 30 dias, também recuperará o acesso às descobertas arquivadas existentes da conta. No entanto, as descobertas existentes podem ser imprecisas porque refletirão o estado do seu AWS ambiente quando você desativou o CSPM do Security Hub. Além disso, à medida que você reativa padrões e controles individuais, o CSPM do Security Hub pode inicialmente gerar descobertas duplicadas para AWS recursos específicos, dependendo dos padrões e controles que você habilitar. Por esses motivos, recomendamos que você faça o seguinte:
+ Altere o status do fluxo de trabalho de todas as descobertas existentes para `RESOLVED` antes de desabilitar o CSPM do Security Hub. Para obter mais informações, consulte [Definir o status do fluxo de trabalho das descobertas](findings-workflow-status.md).
+ Desabilite todos os padrões pelo menos seis dias antes de desabilitar o CSPM do Security Hub. Em seguida, o CSPM do Security Hub arquivará todas as descobertas existentes com base em melhor esforço, normalmente dentro de três a cinco dias. Para obter mais informações, consulte [Desabilitar um padrão](disable-standards.md).

Você não pode desabilitar o CSPM do Security Hub nos casos a seguir:
+ Sua conta é uma conta de administrador do CSPM do Security Hub delegado para sua organização. Se você usar a configuração central, não poderá associar uma política de configuração que desabilite o CSPM do Security Hub à conta do administrador delegado. A associação pode ser ter êxito para outras contas, mas o CSPM do Security Hub não aplica a política à conta do administrador delegado.
+ Sua a conta é uma conta de administrador do CSPM do Security Hub por convite, e você tem contas de membro. Antes de poder desabilitar o CSPM do Security Hub, será necessário desassociar todas as contas de membro. Para saber como, consulte [Desassociação de contas de membro no CSPM do Security Hub](securityhub-disassociate-members.md).

Antes que o proprietário de uma conta de membro possa desabilitar o CSPM do Security Hub, a conta deverá ser desassociada da sua conta de administrador. Para uma conta da organização, somente a conta do administrador pode desassociar as contas de membros. Para obter mais informações, consulte [Desassociação das contas de membro do CSPM do Security Hub da sua organização](accounts-orgs-disassociate.md). Para uma conta convidada manualmente, a conta do administrador ou a conta de membro podem desassociar a conta. Para acessar mais informações, consulte [Desassociação de contas de membro no CSPM do Security Hub](securityhub-disassociate-members.md) ou [Desassociação de uma conta de administrador do CSPM do Security Hub](securityhub-disassociate-from-admin.md). A desassociação não será necessária se você usar a configuração central, pois o administrador do CSPM do Security Hub pode criar uma política que desabilite o CSPM do Security Hub em contas de membro específicas.

Quando você desativa o CSPM do Security Hub para uma conta, ela é desativada somente na atual. Região da AWS Entretanto, se você usar a configuração central para desabilitar o CSPM do Security Hub em contas específicas, ele será desabilitado na região inicial e em todas as regiões vinculadas.

Para desabilitar o CSPM do Security Hub, escolha seu método preferido e siga as etapas.

------
#### [ Security Hub CSPM console ]

Para desabilitar o CSPM do Security Hub usando o console, siga estas etapas.

**Para desabilitar o CSPM do Security Hub**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, em **Configurações**, selecione **Geral**.

1. Na seção **Desabilitar o CSPM do Security Hub**, escolha **Desabilitar o CSPM do Security Hub**.

1. Quando a confirmação for solicitada, escolha **Desabilitar o CSPM do Security Hub**.

------
#### [ Security Hub API ]

Para desativar o CSPM do Security Hub programaticamente, use a [DisableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableSecurityHub.html)operação da API do Security Hub AWS . Ou, se você estiver usando o AWS CLI, execute o [disable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-security-hub.html)comando. Por exemplo, o comando a seguir desativa o CSPM do Security Hub no atual: Região da AWS

```
$ aws securityhub disable-security-hub
```

------

# Segurança em AWS Security Hub CSPM
<a name="security"></a>

A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.

A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos [programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao AWS Security Hub CSPM, consulte [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.

Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Security Hub CSPM. Os tópicos a seguir mostram como configurar o CSPM do Security Hub para atender aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos CSPM do Security Hub.

**Topics**
+ [Proteção de dados em AWS Security Hub CSPM](data-protection.md)
+ [AWS Identity and Access Management para Security Hub CSPM](security-iam.md)
+ [Validação de conformidade para AWS Security Hub CSPM](securityhub-compliance.md)
+ [Resiliência no AWS Security Hub](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura em AWS Security Hub CSPM](infrastructure-security.md)
+ [AWS Security Hub CSPM e endpoints VPC de interface ()AWS PrivateLink](security-vpc-endpoints.md)

# Proteção de dados em AWS Security Hub CSPM
<a name="data-protection"></a>

O modelo de [responsabilidade AWS compartilhada modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados em AWS Security Hub CSPM. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.

Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o Security Hub CSPM ou outro Serviços da AWS usando o console, a API ou. AWS CLI AWS SDKs Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.

O Security Hub CSPM é uma oferta de serviço multilocatário. Para garantir a proteção dos dados, o Security Hub CSPM criptografa os dados em repouso e os dados em trânsito entre os serviços de componentes.

# AWS Identity and Access Management para Security Hub CSPM
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (fazer login) e *autorizado* (ter permissões) para usar recursos do Security Hub. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.

**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Security Hub funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
+ [Funções vinculadas a serviços para AWS Security Hub CSPM](using-service-linked-roles.md)
+ [AWS políticas gerenciadas para o Security Hub](security-iam-awsmanpol.md)
+ [Solução de problemas AWS Security Hub CSPM de identidade e acesso](security_iam_troubleshoot.md)

## Público
<a name="security_iam_audience"></a>

A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas AWS Security Hub CSPM de identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Security Hub funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md))

## Autenticação com identidades
<a name="security_iam_authentication"></a>

A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS

Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.

Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.

### Conta da AWS usuário root
<a name="security_iam_authentication-rootuser"></a>

 Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*. 

### Identidade federada
<a name="security_iam_authentication-federated"></a>

Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.

Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.

Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

### Usuários e grupos do IAM
<a name="security_iam_authentication-iamuser"></a>

Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.

Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.

### Perfis do IAM
<a name="security_iam_authentication-iamrole"></a>

Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.

Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

## Gerenciar o acesso usando políticas
<a name="security_iam_access-manage"></a>

Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.

Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.

Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.

### Políticas baseadas em identidade
<a name="security_iam_access-manage-id-based-policies"></a>

As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.

As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.

### Políticas baseadas em recursos
<a name="security_iam_access-manage-resource-based-policies"></a>

Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.

Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.

### Outros tipos de política
<a name="security_iam_access-manage-other-policies"></a>

AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.

### Vários tipos de política
<a name="security_iam_access-manage-multiple-policies"></a>

Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.

# Como o Security Hub funciona com o IAM
<a name="security_iam_service-with-iam"></a>

Antes de usar o AWS Identity and Access Management (IAM) para gerenciar o acesso AWS Security Hub CSPM, saiba quais recursos do IAM estão disponíveis para uso com o CSPM do Security Hub.


**Recursos do IAM que você pode usar com AWS Security Hub CSPM**  

| Recurso do IAM | Suporte ao CSPM do Security Hub | 
| --- | --- | 
|  [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies)  |   Sim  | 
|  [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies)  |   Não   | 
|  [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions)  |   Sim  | 
|  [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources)  |   Não   | 
|  [Chaves de condição de políticas](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sim  | 
|  [Listas de controle de acesso (ACLs)](#security_iam_service-with-iam-acls)  |   Não   | 
|  [Controle de acesso por atributo (ABAC): tags em políticas](#security_iam_service-with-iam-tags)  |   Sim  | 
|  [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds)  |   Sim  | 
|  [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Sim  | 
|  [Perfis de serviço](#security_iam_service-with-iam-roles-service)  |   Não   | 
|  [Perfis vinculados ao serviço](#security_iam_service-with-iam-roles-service-linked)  |   Sim  | 

Para uma visão de alto nível de como o Security Hub CSPM e outros Serviços da AWS funcionam com a maioria dos recursos do IAM, veja Serviços da AWS como [trabalhar com o IAM no Guia do](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) usuário do *IAM*.

## Políticas baseadas em identidade para o Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Compatível com políticas baseadas em identidade:** sim

As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.

Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.

O Security Hub CSPM oferece suporte a políticas baseadas em identidade. Para obter mais informações, consulte [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Políticas baseadas em recursos para o Security Hub CSPM
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Compatibilidade com políticas baseadas em recursos:** não 

Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS

Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

O Security Hub CSPM não oferece suporte a políticas baseadas em recursos. Você não pode anexar uma política do IAM diretamente a um recurso CSPM do Security Hub.

## Ações políticas para o Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Compatível com ações de políticas:** sim

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.

As ações de política no Security Hub CSPM usam o seguinte prefixo antes da ação:

```
securityhub:
```

Por exemplo, para conceder permissão a um usuário para habilitar o CSPM do Security Hub, que é uma ação que corresponde à `EnableSecurityHub` operação da API CSPM do Security Hub, inclua a `securityhub:EnableSecurityHub` ação em sua política. As instruções de política devem incluir um elemento `Action` ou `NotAction`. O Security Hub CSPM define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.

```
"Action": "securityhub:EnableSecurityHub"
```

Para especificar várias ações em uma única declaração, separe-as com vírgulas. Por exemplo:

```
"Action": [
      "securityhub:EnableSecurityHub",
      "securityhub:BatchEnableStandards"
```

Também é possível especificar várias ações usando curingas (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Get`, inclua a seguinte ação:

```
"Action": "securityhub:Get*"
```

No entanto, como prática recomendada, é necessário criar políticas que sigam o princípio de privilégio mínimo. Em outras palavras, é necessário criar políticas que incluem somente as permissões necessárias para executar uma tarefa específica.

O usuário deve ter acesso à operação `DescribeStandardsControl` para ter acesso a `BatchGetSecurityControls`, `BatchGetStandardsControlAssociations` e `ListStandardsControlAssociations`.

O usuário deve ter acesso à operação `UpdateStandardsControls` para ter acesso a `BatchUpdateStandardsControlAssociations` e `UpdateSecurityControl`.

Para obter uma lista das ações do CSPM do Security Hub, consulte [Ações definidas por AWS Security Hub CSPM na Referência](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) de *Autorização de Serviço*. Para obter exemplos de políticas que especificam ações de CSPM do Security Hub, consulte. [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)

## Recursos de política para o Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Oferece compatibilidade com recursos de políticas:** não 

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.

```
"Resource": "*"
```

O Security Hub CSPM define os seguintes tipos de recursos:
+ Hub
+ Produto
+ Agregador de descobertas, também conhecido como *agregador entre regiões*
+ Regra de automação
+ Política de configuração

Você pode especificar esses tipos de recursos nas políticas usando ARNs.

*Para obter uma lista dos tipos de recursos CSPM do Security Hub e a sintaxe do ARN de cada um, consulte [Tipos de recursos definidos por AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-resources-for-iam-policies) na Referência de Autorização de Serviço.* Para saber quais ações você pode especificar para cada tipo de recurso, consulte [Ações definidas pelo AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) na *Referência de autorização do serviço*. Para obter exemplos de políticas que especificam os recursos, consulte [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Chaves de condição de política para o Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Compatível com chaves de condição de política específicas de serviço:** sim

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.

Para obter uma lista das chaves de condição CSPM do Security Hub, consulte [Chaves de condição AWS Security Hub CSPM na Referência de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys) *Autorização de Serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas pelo AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions). Para obter exemplos de políticas que usam chaves de condição, consulte [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Listas de controle de acesso (ACLs) no Security Hub CSPM
<a name="security_iam_service-with-iam-acls"></a>

**Suportes ACLs:** Não 

As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.

O Security Hub CSPM não oferece suporte ACLs, o que significa que você não pode anexar uma ACL a um recurso CSPM do Security Hub.

## Controle de acesso baseado em atributos (ABAC) com o Security Hub CSPM
<a name="security_iam_service-with-iam-tags"></a>

**Compatível com ABAC (tags em políticas):** sim

O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.

Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.

Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**

Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.

Você pode anexar tags aos recursos CSPM do Security Hub. Também é possível controlar o acesso a esses recursos fornecendo informações de tag no elemento `Condition` de uma política.

Para obter informações sobre a marcação de recursos CSPM do Security Hub, consulte. [Marcar recursos do Security Hub](tagging-resources.md) Para obter um exemplo de uma política baseada em identidade que controla o acesso a um recurso com base em tags, consulte [Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Usando credenciais temporárias com o Security Hub CSPM
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Compatível com credenciais temporárias:** sim

As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.

É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html). 

O Security Hub CSPM suporta o uso de credenciais temporárias.

## Sessões de acesso direto para o Security Hub CSPM
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim

 As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

Por exemplo, o Security Hub CSPM faz solicitações de FAS para downstream Serviços da AWS quando você integra o CSPM do Security Hub com AWS Organizations e quando designa a conta delegada de administrador do CSPM do Security Hub para uma organização em Organizations.

Para outras tarefas, o Security Hub CSPM usa uma função vinculada ao serviço para realizar ações em seu nome. Para obter detalhes sobre esse perfil, consulte [Funções vinculadas a serviços para AWS Security Hub CSPM](using-service-linked-roles.md).

## Funções de serviço para o Security Hub CSPM
<a name="security_iam_service-with-iam-roles-service"></a>

O CSPM do Security Hub não assume nem usa funções de serviço. Para realizar ações em seu nome, o Security Hub CSPM usa uma função vinculada ao serviço. Para obter detalhes sobre esse perfil, consulte [Funções vinculadas a serviços para AWS Security Hub CSPM](using-service-linked-roles.md).

**Atenção**  
Alterar as permissões de uma função de serviço pode criar problemas operacionais com o uso do CSPM do Security Hub. Edite as funções de serviço somente quando o CSPM do Security Hub fornecer orientação para fazer isso.

## Funções vinculadas ao serviço para o Security Hub CSPM
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Compatibilidade com perfis vinculados a serviços:** sim

 Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço. 

O Security Hub CSPM usa uma função vinculada ao serviço para realizar ações em seu nome. Para obter detalhes sobre esse perfil, consulte [Funções vinculadas a serviços para AWS Security Hub CSPM](using-service-linked-roles.md).

# Exemplos de políticas baseadas em identidade para AWS Security Hub CSPM
<a name="security_iam_id-based-policy-examples"></a>

Por padrão, usuários e funções não têm permissão para criar ou modificar recursos CSPM do Security Hub. Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS AWS CLI, ou. Um administrador deve criar as políticas do IAM que concedam aos usuários e aos perfis permissões para executar operações de API específicas nos recursos especificados que precisam. O administrador deve anexar essas políticas aos usuários ou grupos que exigem essas permissões.

Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.

**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o console CSPM do Security Hub](#security_iam_id-based-policy-examples-console)
+ [Exemplo: permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Exemplo: permitir que os usuários criem e gerenciem uma política de configuração](#security_iam_id-based-policy-examples-create-configuration-policy)
+ [Exemplo: permitir que os usuários revisem descobertas](#security_iam_id-based-policy-examples-view-findings)
+ [Exemplo: permitir que os usuários criem e gerenciem regras de automação](#security_iam_id-based-policy-examples-create-automation-rule)

## Práticas recomendadas de política
<a name="security_iam_service-with-iam-policy-best-practices"></a>

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Security Hub em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.

Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

## Usando o console CSPM do Security Hub
<a name="security_iam_id-based-policy-examples-console"></a>

Para acessar o AWS Security Hub CSPM console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos CSPM do Security Hub em seu. Conta da AWS Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.

Para garantir que esses usuários e funções possam usar o console CSPM do Security Hub, anexe também a seguinte política AWS gerenciada à entidade. Para obter mais informações, consulte [Adição de permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## Exemplo: permitir que os usuários visualizem suas próprias permissões
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Exemplo: permitir que os usuários criem e gerenciem uma política de configuração
<a name="security_iam_id-based-policy-examples-create-configuration-policy"></a>

Este exemplo mostra como você pode criar uma política do IAM que permite que um usuário crie, visualize, atualize e exclua políticas de configuração. Este exemplo de política também permite que o usuário inicie, interrompa e visualize as associações da política. Para que essa política do IAM funcione, o usuário deve ser o administrador delegado do CSPM do Security Hub de uma organização.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAndUpdateConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:CreateConfigurationPolicy",
                "securityhub:UpdateConfigurationPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetConfigurationPolicy",
                "securityhub:ListConfigurationPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:DeleteConfigurationPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewConfigurationPolicyAssociation",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchGetConfigurationPolicyAssociations",
                "securityhub:GetConfigurationPolicyAssociation",
                "securityhub:ListConfigurationPolicyAssociations"
            ],
            "Resource": "*"
        },
        {
            "Sid": "UpdateConfigurationPolicyAssociation",
            "Effect": "Allow",
            "Action": [
                "securityhub:StartConfigurationPolicyAssociation",
                "securityhub:StartConfigurationPolicyDisassociation"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Exemplo: permitir que os usuários revisem descobertas
<a name="security_iam_id-based-policy-examples-view-findings"></a>

Este exemplo mostra como você pode criar uma política do IAM que permita ao usuário visualizar as descobertas do CSPM do Security Hub.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReviewFindings",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetFindings"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Exemplo: permitir que os usuários criem e gerenciem regras de automação
<a name="security_iam_id-based-policy-examples-create-automation-rule"></a>

Este exemplo mostra como você pode criar uma política do IAM que permite que um usuário crie, visualize, atualize e exclua as regras de automação do CSPM do Security Hub. Para que essa política do IAM funcione, o usuário deve ser administrador do CSPM do Security Hub. Para limitar as permissões, por exemplo, para permitir que um usuário apenas visualize as regras de automação, você pode remover as permissões de criar, atualizar e excluir.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAndUpdateAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:CreateAutomationRule",
                "securityhub:BatchUpdateAutomationRules"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchGetAutomationRules",
                "securityhub:ListAutomationRules"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchDeleteAutomationRules"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Funções vinculadas a serviços para AWS Security Hub CSPM
<a name="using-service-linked-roles"></a>

AWS Security Hub CSPM usa uma [função vinculada ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM) chamada. `AWSServiceRoleForSecurityHub` Essa função vinculada ao serviço é uma função do IAM vinculada diretamente ao CSPM do Security Hub. É predefinido pelo CSPM do Security Hub e inclui todas as permissões que o CSPM do Security Hub exige para chamar outras pessoas Serviços da AWS e monitorar AWS recursos em seu nome. O CSPM do Security Hub usa essa função vinculada ao serviço em todos os locais em que o CSPM do Security Regiões da AWS Hub está disponível.

Uma função vinculada ao serviço facilita a configuração do CSPM do Security Hub porque você não precisa adicionar manualmente as permissões necessárias. O CSPM do Security Hub define as permissões de sua função vinculada ao serviço e, a menos que seja definido de outra forma, somente o CSPM do Security Hub pode assumir a função. As permissões definidas incluem a política de confiança e a política de permissões, a qual não pode ser anexada a nenhuma outra entidade do IAM.

Para revisar os detalhes da função vinculada ao serviço, você pode usar o console CSPM do Security Hub. No painel de navegação, escolha **Geral** em **Configurações**. Em seguida, na seção **Permissões do serviço**, escolha **Exibir permissões do serviço**.

Você pode excluir a função vinculada ao serviço CSPM do Security Hub somente depois de desativar o CSPM do Security Hub em todas as regiões em que ela está habilitada. Isso protege seus recursos CSPM do Security Hub porque você não pode remover inadvertidamente as permissões para acessá-los.

Para obter informações sobre outros serviços que ofereçam suporte a perfis vinculados ao serviço, consulte [Serviços da AWS que trabalham com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM* e procure pelos serviços com **Sim** na coluna **Perfis vinculados a serviços**. Escolha um **Sim** com um link para revisar a documentação da função vinculada a esse serviço.

**Topics**
+ [Permissões de função vinculadas ao serviço para o Security Hub CSPM](#slr-permissions)
+ [Criação de uma função vinculada ao serviço para o Security Hub CSPM](#create-slr)
+ [Editando uma função vinculada ao serviço para o Security Hub CSPM](#edit-slr)
+ [Excluindo uma função vinculada ao serviço para o Security Hub CSPM](#delete-slr)
+ [Função vinculada ao serviço para o AWS Security Hub V2](#slr-permissions-v2)

## Permissões de função vinculadas ao serviço para o Security Hub CSPM
<a name="slr-permissions"></a>

O Security Hub CSPM usa a função vinculada ao serviço chamada. `AWSServiceRoleForSecurityHub` É uma função vinculada ao serviço necessária AWS Security Hub CSPM para acessar seus recursos. Essa função vinculada ao serviço permite que o CSPM do Security Hub execute tarefas como receber descobertas de outras pessoas Serviços da AWS e configurar a AWS Config infraestrutura necessária para executar verificações de segurança dos controles. O perfil vinculado ao serviço `AWSServiceRoleForSecurityHub` confia no serviço `securityhub.amazonaws.com` para presumir o perfil.

A função vinculada ao serviço `AWSServiceRoleForSecurityHub` usa a política gerenciada [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy).

É necessário conceder permissões para permitir que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função `AWSServiceRoleForSecurityHub` vinculada ao serviço seja criada com sucesso, a identidade do IAM que você usa para acessar o CSPM do Security Hub deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## Criação de uma função vinculada ao serviço para o Security Hub CSPM
<a name="create-slr"></a>

A função `AWSServiceRoleForSecurityHub` vinculada ao serviço é criada automaticamente quando você ativa o CSPM do Security Hub pela primeira vez ou ativa o CSPM do Security Hub em uma região onde não a habilitou anteriormente. Também é possível criar o perfil vinculado ao serviço `AWSServiceRoleForSecurityHub` manualmente usando o console do IAM, a CLI do IAM ou a API do IAM. Para mais informações sobre a criação da função manualmente, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.

**Importante**  
A função vinculada ao serviço criada para uma conta de administrador do CSPM do Security Hub não se aplica às contas associadas de membros do CSPM do Security Hub.

## Editando uma função vinculada ao serviço para o Security Hub CSPM
<a name="edit-slr"></a>

O CSPM do Security Hub não permite que você edite a função vinculada ao `AWSServiceRoleForSecurityHub` serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluindo uma função vinculada ao serviço para o Security Hub CSPM
<a name="delete-slr"></a>

Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida.

Quando você desabilita o CSPM do Security Hub, o CSPM do Security Hub não exclui automaticamente a função vinculada ao `AWSServiceRoleForSecurityHub` serviço para você. Se você habilitar o Security Hub CSPM novamente, o serviço poderá começar a usar a função vinculada ao serviço existente novamente. Se você não precisar mais usar o CSPM do Security Hub, poderá excluir manualmente a função vinculada ao serviço.

**Importante**  
Antes de excluir a função `AWSServiceRoleForSecurityHub` vinculada ao serviço, você deve primeiro desabilitar o CSPM do Security Hub em todas as regiões em que ela está habilitada. Para obter mais informações, consulte [Desabilitação do CSPM do Security Hub](securityhub-disable.md). Se o CSPM do Security Hub não estiver desativado quando você tentar excluir a função vinculada ao serviço, a exclusão falhará.

Para excluir o perfil vinculado ao serviço `AWSServiceRoleForSecurityHub`, é possível usar o console do IAM, a CLI do IAM ou a API do IAM. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Função vinculada ao serviço para o AWS Security Hub V2
<a name="slr-permissions-v2"></a>

 usa a função vinculada ao serviço chamada. `AWSServiceRoleForSecurityHubV2` Essa função vinculada ao serviço permite gerenciar AWS Config regras e recursos para sua organização e em seu nome. O perfil vinculado ao serviço `AWSServiceRoleForSecurityHubV2` confia no serviço `securityhub.amazonaws.com` para presumir o perfil.

O perfil vinculado ao serviço `AWSServiceRoleForSecurityHubV2` usa a política gerenciada [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy).

**Detalhes de permissões**  
 Esta política inclui as seguintes permissões: 
+  `cloudwatch`— Permite que a função recupere dados de métricas para apoiar os recursos de medição. 
+  `config`— Permite que a função gerencie gravadores de configuração vinculados a serviços para recursos, incluindo suporte para gravadores globais. AWS Config 
+  `ecr`— Permite que a função recupere informações sobre imagens e repositórios do Amazon Elastic Container Registry para oferecer suporte aos recursos de medição. 
+  `iam`— permite que a função crie a função vinculada ao serviço AWS Config e recupere informações da conta para oferecer suporte aos recursos de medição. 
+  `lambda`— Permite que a função recupere informações da AWS Lambda função para apoiar os recursos de medição. 
+  `organizations`— Permite que a função recupere informações da conta e da unidade organizacional (OU) de uma organização. 
+  `securityhub`— Permite que a função gerencie a configuração. 
+  `tag`— Permite que a função recupere informações sobre tags de recursos. 

É necessário conceder permissões para permitir que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço seja criada com sucesso, a identidade do IAM que você usa para acessar deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

### Criação de uma função vinculada ao serviço para o AWS Security Hub V2
<a name="create-slr-v2"></a>

A função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço é criada automaticamente quando você a ativa pela primeira vez ou em uma região na qual não a ativou anteriormente. Também é possível criar o perfil vinculado ao serviço `AWSServiceRoleForSecurityHubV2` manualmente usando o console do IAM, a CLI do IAM ou a API do IAM. Para mais informações sobre a criação da função manualmente, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.

**Importante**  
A função vinculada ao serviço criada para uma conta de administrador não se aplica às contas de membros associadas.

### Editando uma função vinculada ao serviço para o AWS Security Hub V2
<a name="edit-slr-v2"></a>

 não permite que você edite a função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

### Excluindo uma função vinculada ao serviço para o Security Hub AWS V2
<a name="delete-slr-v2"></a>

Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida.

Quando você desativa, não exclui automaticamente a função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço para você. Se você ativar novamente, o serviço poderá começar a usar a função vinculada ao serviço existente novamente. Se você não precisar mais usar, poderá excluir manualmente a função vinculada ao serviço.

**Importante**  
Antes de excluir a função `AWSServiceRoleForSecurityHubV2` vinculada ao serviço, você deve primeiro desativá-la em todas as regiões em que ela está ativada. Para obter mais informações, consulte [Desabilitação do CSPM do Security Hub](securityhub-disable.md). Se o não estiver desabilitado quando você tentar excluir a função vinculada ao serviço, haverá falha na exclusão.

Para excluir o perfil vinculado ao serviço `AWSServiceRoleForSecurityHubV2`, é possível usar o console do IAM, a CLI do IAM ou a API do IAM. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

# AWS políticas gerenciadas para o Security Hub
<a name="security-iam-awsmanpol"></a>

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.



## AWS política gerenciada: AWSSecurityHubFullAccess
<a name="security-iam-awsmanpol-awssecurityhubfullaccess"></a>

É possível anexar a política `AWSSecurityHubFullAccess` às suas identidades do IAM.

Essa política concede permissões administrativas que oferecem às entidades principais acesso total a todas as ações do CSPM do Security Hub. Essa política deve ser anexada a uma entidade principal antes que ele habilite o CSPM do Security Hub manualmente para sua conta. Por exemplo, entidades principais com essas permissões podem visualizar e atualizar o status das descobertas. Elas também podem configurar insights personalizados, habilitar integrações e habilitar e desabilitar padrões e controles. As entidades principais de uma conta de administrador também podem gerenciar contas de membro.

**Detalhes de permissões**

Esta política inclui as seguintes permissões:
+ `securityhub`: permite que as entidades principais acessem totalmente todas as ações do CSPM do Security Hub.
+ `guardduty`— Permite que os diretores realizem o gerenciamento completo do ciclo de vida de um detector, o gerenciamento administrativo da organização, o gerenciamento da conta dos membros e a configuração de toda a organização na Amazon. GuardDuty Isso inclui ações de API: GetDetector ListDetector,, CreateDetector, UpdateDetector, DeleteDetector, EnableOrganizationAdminAccount, ListOrganizationAdminAccounts, CreateMembers, UpdateOrganizationConfiguration, DescribeOrganizationConfiguration. 
+ `iam`— Permite que os diretores criem uma função vinculada a serviços para o Security Hub CSPM e o Security Hub e obtenham funções, políticas e versões de políticas.
+ `inspector`— Permite que os diretores obtenham informações sobre o status da conta, ativem ou desativem, deleguem o gerenciamento administrativo e realizem o gerenciamento da configuração da organização no Amazon Inspector. Isso inclui ações de API: BatchGetAccountStatus, Ativar, Desativar EnableDelegatedAdminAccount, DisableDelegatedAdminAccount, ListDelegatedAdminAccounts,, UpdateOrganizationConfiguration, DescribeOrganizationConfiguration.
+ `pricing`— Permite que os diretores obtenham uma lista de preços Serviços da AWS e produtos.
+ `account`— Permite que os diretores obtenham informações sobre as regiões da conta para apoiar o gerenciamento da região no Security Hub.

Para verificar as permissões para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html) no *Guia de referência de políticas gerenciadas pela AWS *.

## AWS política gerenciada: AWSSecurityHubReadOnlyAccess
<a name="security-iam-awsmanpol-awssecurityhubreadonlyaccess"></a>

É possível anexar a política `AWSSecurityHubReadOnlyAccess` às suas identidades do IAM.

Essa política concede permissões de acesso somente para leitura que permitem que os usuários visualizem informações no CSPM do Security Hub. As entidades principais com esta política anexada não podem fazer nenhuma atualização no CSPM do Security Hub. Por exemplo, entidades principais com essas permissões podem ver a lista de descobertas associadas à conta, mas não podem alterar o status de uma descoberta. Elas podem ver os resultados dos insights, mas não podem criar ou configurar insights personalizados. Também não podem configurar controles ou integrações de produtos.

**Detalhes de permissões**

Esta política inclui as seguintes permissões:
+ `securityhub`: permite que os usuários realizem ações que retornem uma lista de itens ou detalhes sobre um item. Isso inclui operações de API que começam com `Get`, `List` ou `Describe`.

Para verificar as permissões para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html) no *Guia de referência de políticas gerenciadas pela AWS *.

## AWS política gerenciada: AWSSecurityHubOrganizationsAccess
<a name="security-iam-awsmanpol-awssecurityhuborganizationsaccess"></a>

 É possível anexar a política `AWSSecurityHubOrganizationsAccess` às suas identidades do IAM. 

Esta política concede permissões administrativas para habilitar e gerenciar o Security Hub, o Security Hub CSPM, o Amazon GuardDuty e o Amazon Inspector para uma organização em. AWS Organizations As permissões para esta política permitem que a conta de gerenciamento da organização designe a conta de administrador delegado para o Security Hub, o Security Hub CSPM, o Amazon e o GuardDuty Amazon Inspector. Elas também permitem que a conta de administrador delegado habilite outras contas da organização como sendo contas de membro. 

Essa política só fornece permissões para AWS Organizations. A conta gerencial da organização e a conta de administrador delegado também exigem permissões para as ações associadas. Essas permissões podem ser concedidas usando a política gerenciada do `AWSSecurityHubFullAccess`. 

Criar ou atualizar uma política de administrador delegado em uma conta de gerenciamento requer permissões adicionais que não são fornecidas nesta política. Para realizar essas ações, é recomendável adicionar permissões `organizations:PutResourcePolicy` ou anexar a AWSOrganizations FullAccess política. 

**Detalhes de permissões**

Esta política inclui as seguintes permissões:
+ `organizations:ListAccounts`: permite que as entidades principais recuperem a lista de contas que sejam parte de uma organização.
+ `organizations:DescribeOrganization`: permite que as entidades principais recuperem informações sobre a organização.
+ `organizations:ListRoots`: permite que as entidades principais listem a raiz de uma organização.
+ `organizations:ListDelegatedAdministrators`: permite que as entidades principais listem o administrador delegado de uma organização.
+ `organizations:ListAWSServiceAccessForOrganization`— Permite que os diretores listem o Serviços da AWS que uma organização usa.
+ `organizations:ListOrganizationalUnitsForParent`: permite que as entidades principais listem as unidades organizacionais (UO) filha de uma UO pai.
+ `organizations:ListAccountsForParent`: permite que as entidades principais listem as contas filhas de uma UO pai.
+  `organizations:ListParents`— Lista as unidades raiz ou organizacionais (OUs) que servem como mãe imediata da OU ou conta secundária especificada. 
+ `organizations:DescribeAccount`: permite que as entidades principais recuperem informações sobre uma conta na organização.
+ `organizations:DescribeOrganizationalUnit`: permite que as entidades principais recuperem informações sobre uma UO na organização.
+  `organizations:ListPolicies`: recupera a lista de todas as políticas de um tipo especificado de uma organização. 
+  `organizations:ListPoliciesForTarget`: lista as políticas que são anexadas diretamente à raiz do destino, unidade organizacional (UO) ou conta especificada. 
+  `organizations:ListTargetsForPolicy`— Lista todas as raízes, unidades organizacionais (OUs) e contas às quais a política especificada está anexada. 
+ `organizations:EnableAWSServiceAccess`: permite que as entidades principais habilitem a integração com o Organizations.
+ `organizations:RegisterDelegatedAdministrator`: permite que as entidades principais designem a conta de administrador delegado.
+ `organizations:DeregisterDelegatedAdministrator`: permite que as entidades principais removam a conta de administrador delegado.
+  `organizations:DescribePolicy`: recupera as informações sobre uma política. 
+  `organizations:DescribeEffectivePolicy`: retorna o conteúdo da política efetiva para o tipo de política e conta especificados. 
+  `organizations:CreatePolicy`— Cria uma política de um tipo específico que você pode anexar a uma raiz, a uma unidade organizacional (OU) ou a uma AWS conta individual. 
+  `organizations:UpdatePolicy`: atualiza uma política existente com um novo nome, descrição ou conteúdo. 
+  `organizations:DeletePolicy`: exclui a política especificada de sua organização. 
+  `organizations:AttachPolicy`: anexa uma política a uma raiz, uma unidade organizacional (UO) ou uma conta individual. 
+  `organizations:DetachPolicy`: desanexa uma política de uma raiz, de uma unidade organizacional (UO) ou de uma conta de destino. 
+  `organizations:EnablePolicyType`: habilita um tipo de política em uma raiz. 
+  `organizations:DisablePolicyType`: desabilita um tipo de política organizacional em uma raiz. 
+  `organizations:TagResource`: adiciona uma ou mais tags a um recurso especificado. 
+  `organizations:UntagResource`: remove todas as tags com as chaves especificadas de um recurso especificado. 
+  `organizations:ListTagsForResource`: lista as tags que estão anexadas a um recurso especificado. 
+  `organizations:DescribeResourcePolicy`— Recupera informações sobre uma política de recursos. 

Para verificar as permissões para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html) no *Guia de referência de políticas gerenciadas pela AWS *.

## AWS política gerenciada: AWSSecurityHubServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubservicerolepolicy"></a>

Não é possível anexar a `AWSSecurityHubServiceRolePolicy` às entidades do IAM. Essa política é anexada a um perfil vinculado ao serviço que permite que o CSPM do Security Hub realize ações em seu nome. Para obter mais informações, consulte [Funções vinculadas a serviços para AWS Security Hub CSPM](using-service-linked-roles.md).

Essa política concede permissões administrativas que permitem que o perfil vinculado ao serviço execute tarefas como executar verificações de segurança dos controles do CSPM Security Hub.

**Detalhes de permissões**

Esta política inclui as seguintes permissões:
+ `cloudtrail`— Recupere informações sobre CloudTrail trilhas.
+ `cloudwatch`— Recupere os CloudWatch alarmes atuais.
+ `logs`— Recupere filtros métricos para CloudWatch registros.
+ `sns`: recupera a lista de assinaturas de um tópico do SNS.
+ `config`— recupere informações sobre gravadores de configuração, recursos e AWS Config regras. Também permite que a função vinculada ao serviço crie e exclua regras do AWS Config e execute avaliações com base nas regras.
+ `iam`: recupera e gera relatórios de credenciais para contas.
+ `organizations`: recupera as informações da conta e da unidade organizacional (UO) de uma organização.
+ `securityhub`: recupera informações sobre como o serviço, os padrões e os controles do CSPM do Security Hub estão configurados.
+ `tag`: recupera informações sobre tags de recursos.

Para verificar as permissões para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS *.

## AWS política gerenciada: AWSSecurityHubV2ServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubv2servicerolepolicy"></a>

**nota**  
 O Security Hub está em uma versão de pré-visualização, sujeito à alterações. 

Essa política permite que o Security Hub gerencie AWS Config regras e recursos do Security Hub para sua organização e em seu nome. Essa política é vinculada a uma função associada a um serviço, o que possibilita que este serviço execute ações em seu próprio nome. Não é possível anexar essa política às suas identidades do IAM. Para obter mais informações, consulte [Funções vinculadas a serviços para AWS Security Hub CSPM](using-service-linked-roles.md). 

**Detalhes de permissões**  
 Esta política inclui as seguintes permissões: 
+  `cloudwatch`— Recupere dados de métricas para oferecer suporte aos recursos de medição dos recursos do Security Hub. 
+  `config`— gerencie gravadores de configuração vinculados a serviços para recursos do Security Hub, incluindo suporte para gravadores globais do Config. 
+  `ecr`— Recupere informações sobre imagens e repositórios do Amazon Elastic Container Registry para oferecer suporte aos recursos de medição. 
+  `iam`— crie a função vinculada ao serviço AWS Config e recupere as informações da conta para apoiar os recursos de medição. 
+  `lambda`— Recupere informações da AWS Lambda função para oferecer suporte aos recursos de medição. 
+  `organizations`: recupera as informações da conta e da unidade organizacional (UO) de uma organização. 
+  `securityhub`: gerencia a configuração do Security Hub. 
+  `tag`: recupera informações sobre tags de recursos. 

Para verificar as permissões para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS *.

## Atualizações do Security Hub para políticas AWS gerenciadas
<a name="security-iam-awsmanpol-updates"></a>

A tabela a seguir fornece detalhes sobre as atualizações das políticas AWS gerenciadas do AWS Security Hub e do Security Hub CSPM desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre atualizações dessas políticas, inscreva-se no feed RSS na página [Histórico de documentos do Security Hub](doc-history.md).








| Alteração | Descrição | Data | 
| --- | --- | --- | 
|   [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess): política atualizada   |  O Security Hub atualizou a política para adicionar permissões para descrever as políticas de recursos para oferecer suporte aos recursos do Security Hub. O Security Hub está em uma versão de pré-visualização, sujeito à alterações.   | 12 de novembro de 2025 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess): política atualizada   |  O Security Hub atualizou a política para adicionar recursos de gerenciamento GuardDuty, Amazon Inspector e gerenciamento de contas para oferecer suporte aos recursos do Security Hub. O Security Hub está em uma versão de pré-visualização, sujeito à alterações.   | 17 de novembro de 2025 | 
|   [AWSSecurityHubV2 ServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) — Política atualizada   |  O Security Hub atualizou a política para adicionar recursos de medição para o Amazon Elastic Container Registry, Amazon AWS Lambda CloudWatch, e AWS Identity and Access Management para oferecer suporte aos recursos do Security Hub. A atualização também adicionou suporte para AWS Config gravadores globais. O Security Hub está em uma versão de pré-visualização, sujeito à alterações.   | 5 de novembro de 2025 | 
|  [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – atualização para uma política existente  | O Security Hub adicionou novas permissões à política. As permissões permitem que o gerenciamento da organização habilite e gerencie o Security Hub e o CSPM do Security Hub para uma organização.  | 17 de junho de 2025 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – atualização para uma política existente  |  O CSPM do Security Hub adicionou novas permissões que permitem que as entidades principais criem um perfil vinculado ao serviço para o Security Hub.  | 17 de junho de 2025 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Atualização de uma política existente  | O Security Hub CSPM atualizou a política para obter detalhes de preços Serviços da AWS e produtos.  | 24 de abril de 2024 | 
| [AWSSecurityHubReadOnlyAccess](#security-iam-awsmanpol-awssecurityhubreadonlyaccess)— Atualização de uma política existente  | O CSPM do Security Hub atualizou essa política gerenciada adicionando um campo Sid.  | 22 de fevereiro de 2024 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Atualização de uma política existente  | O Security Hub CSPM atualizou a política para determinar se a Amazon GuardDuty e o Amazon Inspector estão habilitados em uma conta. Isso ajuda os clientes a reunir informações relacionadas à segurança de várias. Serviços da AWS | 16 de novembro de 2023 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Atualização de uma política existente  | O CSPM do Security Hub atualizou a política para conceder permissões adicionais para permitir acesso somente para leitura à funcionalidade do administrador delegado do AWS Organizations . Isso inclui detalhes como raiz, unidades organizacionais (OUs), contas, estrutura organizacional e acesso ao serviço.  | 16 de novembro de 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente  | O CSPM do Security Hub adicionou as permissões BatchGetSecurityControls, DisassociateFromAdministratorAccount e UpdateSecurityControl para ler e atualizar propriedades de controle de segurança personalizáveis.  | 26 de novembro de 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente  | O CSPM do Security Hub adicionou a permissão tag:GetResources para ler tags de recursos relacionadas às descobertas.  | 7 de novembro de 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente  | O CSPM do Security Hub adicionou a permissão BatchGetStandardsControlAssociations para obter informações sobre o status de habilitação de um controle em um padrão.  | 27 de setembro de 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente  | O Security Hub CSPM adicionou novas permissões para obter AWS Organizations dados, ler e atualizar as configurações do Security Hub CSPM, incluindo padrões e controles.  | 20 de setembro de 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente  | O CSPM do Security Hub moveu a permissão config:DescribeConfigRuleEvaluationStatus existente para uma declaração diferente dentro da política. A permissão config:DescribeConfigRuleEvaluationStatus agora é aplicada a todos os recursos.  | 17 de março de 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente  |  O CSPM do Security Hub moveu a permissão config:PutEvaluations existente para uma declaração diferente dentro da política. A permissão config:PutEvaluations agora é aplicada a todos os recursos.  | 14 de julho de 2021 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – atualização para uma política existente  | O CSPM do Security Hub adicionou uma nova permissão para permitir que o perfil vinculado ao serviço forneça resultados de avaliação para o AWS Config.  | 29 de junho de 2021 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy)— Adicionado à lista de políticas gerenciadas  | Foram adicionadas informações sobre a política gerenciada AWSSecurityHubServiceRolePolicy, que é usada pela função vinculada ao serviço CSPM do Security Hub.  | 11 de junho de 2021 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Nova política  | O CSPM do Security Hub adicionou uma nova política que concede as permissões necessárias para a integração do CSPM do Security Hub com o Organizations.  | 15 de março de 2021 | 
| O CSPM do Security Hub começou a monitorar alterações  | O Security Hub CSPM começou a monitorar as mudanças em suas políticas AWS gerenciadas.  | 15 de março de 2021 | 

# Solução de problemas AWS Security Hub CSPM de identidade e acesso
<a name="security_iam_troubleshoot"></a>

Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com AWS Security Hub CSPM um IAM.

**Topics**
+ [Não estou autorizado a realizar uma ação no Security Hub CSPM](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero acesso programático ao Security Hub CSPM](#security_iam_troubleshoot-access-keys)
+ [Sou administrador e quero permitir que outras pessoas acessem o CSPM do Security Hub](#security_iam_troubleshoot-admin-delegate)
+ [Quero permitir que pessoas de fora da minha acessem meus Conta da AWS recursos CSPM do Security Hub](#security_iam_troubleshoot-cross-account-access)

## Não estou autorizado a realizar uma ação no Security Hub CSPM
<a name="security_iam_troubleshoot-no-permissions"></a>

Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. Caso seu administrador seja a pessoa que forneceu suas credenciais de início de sessão.

O exemplo de erro a seguir ocorre quando o usuário `mateojackson` tenta usar o console para ver detalhes sobre um*widget*, mas não tem `securityhub:GetWidget` permissões.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget
```

Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `my-example-widget` usando a ação `securityhub:GetWidget`.

## Não estou autorizado a realizar iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Se você receber uma mensagem de erro informando que não tem autorização para executar a ação `iam:PassRole`, suas políticas deverão ser atualizadas para permitir a passagem de um perfil para o Security Hub.

Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.

O erro de exemplo a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para executar uma ação no Security Hub. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.

Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.

## Quero acesso programático ao Security Hub CSPM
<a name="security_iam_troubleshoot-access-keys"></a>

Os usuários precisam de acesso programático se quiserem interagir com pessoas AWS fora do Console de gerenciamento da AWS. A forma de conceder acesso programático depende do tipo de usuário que está acessando AWS.

Para conceder acesso programático aos usuários, selecione uma das seguintes opções:


****  

| Qual usuário precisa de acesso programático? | Para | Por | 
| --- | --- | --- | 
| IAM | (Recomendado) Use as credenciais do console como credenciais temporárias para assinar solicitações programáticas para o AWS CLI, AWS SDKs ou. AWS APIs |  Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 
|  Identidade da força de trabalho (Usuários gerenciados no Centro de Identidade do IAM)  | Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs |  Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 
| IAM | Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs | Siga as instruções em [Como usar credenciais temporárias com AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) no Guia do usuário do IAM. | 
| IAM | (Não recomendado)Use credenciais de longo prazo para assinar solicitações programáticas para o AWS CLI, AWS SDKs, ou. AWS APIs |  Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 

## Sou administrador e quero permitir que outras pessoas acessem o CSPM do Security Hub
<a name="security_iam_troubleshoot-admin-delegate"></a>

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:

  Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:

  Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
  + Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
  + (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.

## Quero permitir que pessoas de fora da minha acessem meus Conta da AWS recursos CSPM do Security Hub
<a name="security_iam_troubleshoot-cross-account-access"></a>

É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.

Para saber mais, consulte:
+ Para saber se o Security Hub é compatível com esses recursos, consulte [Como o Security Hub funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

# Validação de conformidade para AWS Security Hub CSPM
<a name="securityhub-compliance"></a>

Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .

Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).

# Resiliência no AWS Security Hub
<a name="disaster-recovery-resiliency"></a>

A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. As regiões fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, que são conectadas com baixa latência, alta throughput e redes altamente redundantes. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.

Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).

# Segurança da infraestrutura em AWS Security Hub CSPM
<a name="infrastructure-security"></a>

Como serviço gerenciado, AWS Security Hub CSPM é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.

Você usa chamadas de API AWS publicadas para acessar o CSPM do Security Hub pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

# AWS Security Hub CSPM e endpoints VPC de interface ()AWS PrivateLink
<a name="security-vpc-endpoints"></a>

Você pode estabelecer uma conexão privada entre sua VPC e criar uma AWS Security Hub CSPM interface *VPC* endpoint. Os endpoints de interface são alimentados por [AWS PrivateLink](https://aws.amazon.com/privatelink)uma tecnologia que permite acessar de forma privada o Security Hub CSPM APIs sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão Direct Connect. AWS As instâncias em sua VPC não precisam de endereços IP públicos para se comunicar com o CSPM do Security Hub. APIs O tráfego entre sua VPC e o CSPM do Security Hub não sai da rede Amazon. 

Cada endpoint de interface é representado por uma ou mais [Interfaces de Rede Elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nas sub-redes. Para obter mais informações, consulte [Acessar e AWS service (Serviço da AWS) usar uma interface VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) no Guia da *Amazon Virtual Private Cloud*. 

## Considerações sobre endpoints VPC CSPM do Security Hub
<a name="vpc-endpoint-considerations"></a>

[Antes de configurar uma interface VPC endpoint para o Security Hub CSPM, certifique-se de revisar os pré-requisitos e outras informações no Guia da Amazon Virtual Private Cloud.](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) 

O Security Hub CSPM oferece suporte para fazer chamadas para todas as ações da API a partir da sua VPC. 

## Criação de uma interface VPC endpoint para o Security Hub CSPM
<a name="vpc-endpoint-create"></a>

Você pode criar um VPC endpoint para o serviço CSPM do Security Hub usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte [Criação de um endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) no *Guia do usuário da Amazon Virtual Private Cloud*.

Crie um VPC endpoint para o Security Hub CSPM usando o seguinte nome de serviço:

`com.amazonaws.region.securityhub` 

Onde *region* está o código da região aplicável Região da AWS.

Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API ao CSPM do Security Hub usando seu nome DNS padrão para a região, por exemplo, `securityhub.us-east-1.amazonaws.com` para a região Leste dos EUA (Norte da Virgínia). 

## Criação de uma política de VPC endpoint para o Security Hub CSPM
<a name="vpc-endpoint-policy"></a>

Você pode anexar uma política de endpoint ao seu VPC endpoint que controla o acesso ao CSPM do Security Hub. Essa política especifica as seguintes informações:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.

Para obter mais informações, consulte [Controle de acesso aos endpoints da VPC usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do usuário do Amazon Virtual Private Cloud*. 

**Exemplo: política de VPC endpoint para ações de CSPM do Security Hub**  
Veja a seguir um exemplo de uma política de endpoint para o Security Hub CSPM. Quando anexada a um endpoint, essa política concede acesso às ações listadas do CSPM do Security Hub para todos os diretores em todos os recursos.

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}
```

## Sub-redes compartilhadas
<a name="sh-vpc-endpoint-shared-subnets"></a>

Você não pode criar, descrever, modificar ou excluir endpoints da VPC em sub-redes que são compartilhadas com você. No entanto, é possível usar os endpoints da VPC em sub-redes que são compartilhadas com você. Para obter informações sobre compartilhamento de VPC, consulte [Compartilhamento da sua VPC com outras contas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) no *Guia do usuário do Amazon Virtual Private Cloud*.

# Registrando chamadas da API do Security Hub com CloudTrail
<a name="securityhub-ct"></a>

AWS O Security Hub CSPM é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço no Security Hub CSPM. CloudTrail captura chamadas de API para o CSPM do Security Hub como eventos. As chamadas capturadas incluem as do console do CSPM do Security Hub e as de código para as operações de API do CSPM do Security Hub. Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para o Security Hub CSPM. Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações CloudTrail coletadas, você pode determinar a solicitação que foi feita ao Security Hub CSPM, o endereço IP a partir do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais. 

Para saber mais CloudTrail, inclusive como configurá-lo e ativá-lo, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).

## Informações do CSPM do Security Hub em CloudTrail
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail é ativado no seu Conta da AWS quando você cria a conta. **Quando a atividade de evento suportada ocorre no CSPM do Security Hub, essa atividade é registrada em um CloudTrail evento junto com outros eventos de AWS serviço no histórico de eventos.** É possível visualizar, pesquisar e baixar eventos recentes em sua conta. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). 

Para obter um registro contínuo de eventos em sua conta, incluindo eventos para o CSPM do Security Hub, crie uma trilha. Uma *trilha* permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões do AWS . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para saber mais, consulte: 
+ [Visão geral da criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail serviços e integrações suportados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [Recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

O Security Hub CSPM suporta o registro de todas as ações da API CSPM do Security Hub como eventos em registros. CloudTrail Para visualizar uma lista de operações do CSPM do Security Hub, consulte a [Referência de API do CSPM do Security Hub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).

Quando a atividade das ações a seguir é registrada CloudTrail, o valor de `responseElements` é definido como. `null` Isso garante que informações confidenciais não sejam incluídas nos CloudTrail registros.
+ `BatchImportFindings`
+ `GetFindings`
+ `GetInsights`
+ `GetMembers`
+ `UpdateFindings`

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte: 
+ Se a solicitação foi feita com credenciais de usuário root ou AWS Identity and Access Management (IAM)
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado
+ Se a solicitação foi feita por outro AWS serviço

Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

## Exemplo: entradas de arquivo de log do CSPM do Security Hub
<a name="understanding-service-name-entries"></a>

Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.

O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `CreateInsight` ação. Neste exemplo, um insight chamado `Test Insight` será criado. O atributo `ResourceId` é especificado como o agregador **Group by (Agrupar por)** e nenhum filtro opcional para esse insight é especificado. Para obter mais informações sobre insights, consulte [Visualização de insights no CSPM do Security Hub](securityhub-insights.md).

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJK6U5DS22IAVUI7BW",
        "arn": "arn:aws:iam::012345678901:user/TestUser",
        "accountId": "012345678901",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "TestUser"
    },
    "eventTime": "2018-11-25T01:02:18Z",
    "eventSource": "securityhub.amazonaws.com",
    "eventName": "CreateInsight",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
    "requestParameters": {
        "Filters": {},
        "ResultField": "ResourceId",
        "Name": "Test Insight"
    },
    "responseElements": {
        "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
    },
    "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
    "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}
```