PCIDSS4.0 最佳运营实践(包括全局资源类型) - AWS Config

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

PCIDSS4.0 最佳运营实践(包括全局资源类型)

一致性包提供了一个通用的合规框架,旨在使您能够使用托管或自定义 AWS Config 规则和 AWS Config 补救措施来创建安全、运营或成本优化治理检查。作为示例模板,合规包并不是为了完全确保遵守特定的治理或合规标准而设计的。您有责任自行评估自己对服务的使用是否符合适用的法律和监管要求。

以下提供了支付卡行业数据安全标准 (PCIDSS) 4.0(不包括全局资源类型)和 AWS 托管 Config 规则之间的映射示例。每 AWS Config 条规则都适用于特定的 AWS 资源,并与一个或多个PCIDSS控件相关。一个PCIDSS控件可以与多个 Config 规则相关联。有关这些映射的更多详细信息和指导,请参阅下表。

控制 ID 控制描述 AWS Config 规则 指南
1.2.5 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

cloudfront-security-policy-check

确保 Amazon CloudFront 发行版使用最低安全策略和 TLSv1 2.2 或更高版本的密码套件进行查看者连接。如果 CloudFront 分布低于 TLSv1 .2 NON _ COMPLIANT 2018,则此规则 minimumProtocolVersion 为 _。
1.2.5 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

cloudfront-sni-enabled

确保 Amazon CloudFront 分配使用自定义SSL证书,并配置SNI为用于HTTPS处理请求。COMPLIANT如果关联了自定义SSL证书,但SSL支持方法是专用 IP 地址,则规则为 NON _。
1.2.5 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

transfer-family-server-no-ftp

确保使用 Transfer F AWS amily 创建的服务器不FTP用于端点连接。COMPLIANT如果端点连接的服务器协议FTP已启用,则规则为 NON _。
1.2.5 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

cloudfront-no-deprecated-ssl-协议

确保 CloudFront 分发版本不使用已弃用的SSL协议在 CloudFront 边缘站点和自定义源站之间进行HTTPS通信。如果有 “包含 OriginSslProtocolsSSLv3” CloudFront ,则此规则COMPLIANT为 NON _。
1.2.5 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

cloudfront-traffic-to-origin-已加密

确保 Amazon CloudFront 分配正在加密流向自定义来源的流量。COMPLIANT如果''是'仅限'http'或者'是'm OriginProtocolPolicy atch-viewer'而'是'allow-all',则OriginProtocolPolicy规则是 NON _。ViewerProtocolPolicy
1.2.5 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

cloudfront-viewer-policy-https

确保您的 Amazon CloudFront 分销使用HTTPS(直接或通过重定向)。COMPLIANT如果将 DefaultCacheBehavior 或的值设置 ViewerProtocolPolicy 为 “allow-all”,则规则为 NON _。 CacheBehaviors
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

api-gw-endpoint-type-检查

确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。COMPLIANT如果与规则参数中配置的端点类型RESTAPI不匹配,则规则返回 NON _。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

cloudfront-associated-with-waf

确保 Amazon CloudFront 分配与 Web 应用程序防火墙 (WAF) 或WAFv2网络访问控制列表 (ACLs) 关联。COMPLIANT如果 CloudFront 分配未与 WAF Web 关联,则规则为 NON _ ACL。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

netfw-policy-default-action-碎片数据包

确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。COMPLIANT如果碎片数据包的无状态默认操作与用户定义的默认操作不匹配,则规则为 NON _。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

rds-db-security-group-不允许

确保亚马逊关系数据库服务 (AmazonRDS) 数据库安全组是默认安全组。COMPLIANT如果存在不是默认数据库安全组的数据库安全组,则规则为 NON _。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

ec2-transit-gateway-auto-vpc-已禁用附件

确保亚马逊弹性计算云 (AmazonEC2) 传输网关未启用 AutoAcceptSharedAttachments “”。如果 “” 设置为 “启用AutoAcceptSharedAttachments”,则 Transit Gateway 的规则为 NON _ COMPLIANT。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

eks-endpoint-no-public-访问

确保亚马逊 Elastic Kubernetes Servic EKS e(亚马逊)终端节点不可公开访问。COMPLIANT如果端点可公开访问,则规则为 NON _。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

restricted-ssh

注意:对于此规则,规则标识符 (INCOMING_ SSH _DISABLED) 和规则名称 (restricted-ssh) 不同。确保安全组的传入SSH流量可以访问。规则是安全组中传入SSH流量的 IP 地址COMPLIANT是否受到限制(0.0.0.0/0 或:: /0 CIDR 除外)。否则,NON_ COMPLIANT。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

appsync-associated-with-waf

确保 AWS AppSync APIs与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。 AWS AppSync API如果它与网站没有关联,则规则为 NON _ COMPLIANT ACL。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

docdb-cluster-snapshot-public-禁止

确保 Amazon DocumentDB 手动集群快照不是公开的。COMPLIANT如果有任何 Amazon DocumentDB 手动集群快照是公开的,则规则为 NON _。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

codebuild-project-source-repo-url-check

确保 Bitbucket 源存储库是否URLDOESNOT包含登录凭据。如果包含任何登录信息,COMPLIANT如果不URL包含任何登录信息,COMPLIANT则规则为 NON _。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

emr-block-public-access

确保 Amazon 账户EMR已启用封锁公开访问设置。COMPLIANT如果为 false,则规则 BlockPublicSecurityGroupRules 为 NON _,如果为 true,则列出端口 22 以外的端口 PermittedPublicSecurityGroupRuleRanges。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

nacl-no-unrestricted-ssh-rdp

确保网络访问控制列表 (NACLs) 中SSH/RDP入口流量的默认端口受到限制。COMPLIANT如果NACL入站条目允许端口 22 或 3389 的源TCP或UDPCIDR阻塞,则规则为 NON _。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

waf-global-webacl-not-空

确保全WAF球 Web ACL 包含一些WAF规则或规则组。COMPLIANT如果 Web ACL 不包含任何WAF规则或规则组,则此规则为 NON _。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

waf-global-rulegroup-not-空

确保 AWS WAF经典规则组包含一些规则。COMPLIANT如果规则组中没有规则,则规则为 NON _。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

waf-global-rule-not-空

确保 AWS WAF全局规则包含某些条件。COMPLIANT如果WAF全局规则中不存在任何条件,则规则为 NON _。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

ec2-client-vpn-not-authorize-全部

确保 AWS 客户端VPN授权规则不授权所有客户端的连接访问权限。COMPLIANT如果 'AccessAll' 存在且设置为 true,则规则为 NON _。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

internet-gateway-authorized-vpc-只有

确保互联网网关连接到授权的虚拟私有云 (AmazonVPC)。COMPLIANT如果互联网网关连接到未经授权的,则规则为 NON _ VPC。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

s3 access-point-public-access-方块

确保 Amazon S3 接入点已启用封锁公共访问设置。COMPLIANT如果未为 S3 接入点启用阻止公共访问设置,则规则为 NON _。
1.2.8 网络安全控制 (NSCs) 已配置和维护。(PCI-DSS-v4.0)

s3-account-level-public-access-blocks

确保所需的公共访问屏蔽设置是从账户级别配置的。只有COMPLIANT当下面设置的字段与配置项目中的相应字段不匹配时,规则才是 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

api-gw-endpoint-type-检查

确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。COMPLIANT如果与规则参数中配置的端点类型RESTAPI不匹配,则规则返回 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

cloudfront-associated-with-waf

确保 Amazon CloudFront 分配与 Web 应用程序防火墙 (WAF) 或WAFv2网络访问控制列表 (ACLs) 关联。COMPLIANT如果 CloudFront 分配未与 WAF Web 关联,则规则为 NON _ ACL。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

netfw-policy-default-action-碎片数据包

确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。COMPLIANT如果碎片数据包的无状态默认操作与用户定义的默认操作不匹配,则规则为 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

rds-db-security-group-不允许

确保亚马逊关系数据库服务 (AmazonRDS) 数据库安全组是默认安全组。COMPLIANT如果存在不是默认数据库安全组的数据库安全组,则规则为 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

redshift-enhanced-vpc-routing-已启用

确保 Amazon Redshift 集群已启用 “enhancedVpcRouting”。COMPLIANT如果未启用 “enhancedVpcRouting” 或者配置已启用,则规则为 NON _。 enhancedVpcRouting 字段为 “假”。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

ec2-transit-gateway-auto-vpc-已禁用附件

确保亚马逊弹性计算云 (AmazonEC2) 传输网关未启用 AutoAcceptSharedAttachments “”。如果 “” 设置为 “启用AutoAcceptSharedAttachments”,则 Transit Gateway 的规则为 NON _ COMPLIANT。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

eks-endpoint-no-public-访问

确保亚马逊 Elastic Kubernetes Servic EKS e(亚马逊)终端节点不可公开访问。COMPLIANT如果端点可公开访问,则规则为 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

restricted-ssh

注意:对于此规则,规则标识符 (INCOMING_ SSH _DISABLED) 和规则名称 (restricted-ssh) 不同。确保安全组的传入SSH流量可以访问。规则是安全组中传入SSH流量的 IP 地址COMPLIANT是否受到限制(0.0.0.0/0 或:: /0 CIDR 除外)。否则,NON_ COMPLIANT。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

appsync-associated-with-waf

确保 AWS AppSync APIs与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。 AWS AppSync API如果它与网站没有关联,则规则为 NON _ COMPLIANT ACL。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

docdb-cluster-snapshot-public-禁止

确保 Amazon DocumentDB 手动集群快照不是公开的。COMPLIANT如果有任何 Amazon DocumentDB 手动集群快照是公开的,则规则为 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

codebuild-project-source-repo-url-check

确保 Bitbucket 源存储库是否URLDOESNOT包含登录凭据。如果包含任何登录信息,COMPLIANT如果不URL包含任何登录信息,COMPLIANT则规则为 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

emr-block-public-access

确保 Amazon 账户EMR已启用封锁公开访问设置。COMPLIANT如果为 false,则规则 BlockPublicSecurityGroupRules 为 NON _,如果为 true,则列出端口 22 以外的端口 PermittedPublicSecurityGroupRuleRanges。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

nacl-no-unrestricted-ssh-rdp

确保网络访问控制列表 (NACLs) 中SSH/RDP入口流量的默认端口受到限制。COMPLIANT如果NACL入站条目允许端口 22 或 3389 的源TCP或UDPCIDR阻塞,则规则为 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

waf-global-webacl-not-空

确保全WAF球 Web ACL 包含一些WAF规则或规则组。COMPLIANT如果 Web ACL 不包含任何WAF规则或规则组,则此规则为 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

waf-global-rulegroup-not-空

确保 AWS WAF经典规则组包含一些规则。COMPLIANT如果规则组中没有规则,则规则为 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

waf-global-rule-not-空

确保 AWS WAF全局规则包含某些条件。COMPLIANT如果WAF全局规则中不存在任何条件,则规则为 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

ec2-client-vpn-not-authorize-全部

确保 AWS 客户端VPN授权规则不授权所有客户端的连接访问权限。COMPLIANT如果 'AccessAll' 存在且设置为 true,则规则为 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

internet-gateway-authorized-vpc-只有

确保互联网网关连接到授权的虚拟私有云 (AmazonVPC)。COMPLIANT如果互联网网关连接到未经授权的,则规则为 NON _ VPC。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

s3 access-point-public-access-方块

确保 Amazon S3 接入点已启用封锁公共访问设置。COMPLIANT如果未为 S3 接入点启用阻止公共访问设置,则规则为 NON _。
1.3.1 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

s3-account-level-public-access-blocks

确保所需的公共访问屏蔽设置是从账户级别配置的。只有COMPLIANT当下面设置的字段与配置项目中的相应字段不匹配时,规则才是 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

api-gw-endpoint-type-检查

确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。COMPLIANT如果与规则参数中配置的端点类型RESTAPI不匹配,则规则返回 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

cloudfront-associated-with-waf

确保 Amazon CloudFront 分配与 Web 应用程序防火墙 (WAF) 或WAFv2网络访问控制列表 (ACLs) 关联。COMPLIANT如果 CloudFront 分配未与 WAF Web 关联,则规则为 NON _ ACL。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

netfw-policy-default-action-碎片数据包

确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。COMPLIANT如果碎片数据包的无状态默认操作与用户定义的默认操作不匹配,则规则为 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

rds-db-security-group-不允许

确保亚马逊关系数据库服务 (AmazonRDS) 数据库安全组是默认安全组。COMPLIANT如果存在不是默认数据库安全组的数据库安全组,则规则为 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

redshift-enhanced-vpc-routing-已启用

确保 Amazon Redshift 集群已启用 “enhancedVpcRouting”。COMPLIANT如果未启用 “enhancedVpcRouting” 或者配置已启用,则规则为 NON _。 enhancedVpcRouting 字段为 “假”。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

ec2-transit-gateway-auto-vpc-已禁用附件

确保亚马逊弹性计算云 (AmazonEC2) 传输网关未启用 AutoAcceptSharedAttachments “”。如果 “” 设置为 “启用AutoAcceptSharedAttachments”,则 Transit Gateway 的规则为 NON _ COMPLIANT。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

eks-endpoint-no-public-访问

确保亚马逊 Elastic Kubernetes Servic EKS e(亚马逊)终端节点不可公开访问。COMPLIANT如果端点可公开访问,则规则为 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

restricted-ssh

注意:对于此规则,规则标识符 (INCOMING_ SSH _DISABLED) 和规则名称 (restricted-ssh) 不同。确保安全组的传入SSH流量可以访问。规则是安全组中传入SSH流量的 IP 地址COMPLIANT是否受到限制(0.0.0.0/0 或:: /0 CIDR 除外)。否则,NON_ COMPLIANT。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

appsync-associated-with-waf

确保 AWS AppSync APIs与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。 AWS AppSync API如果它与网站没有关联,则规则为 NON _ COMPLIANT ACL。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

docdb-cluster-snapshot-public-禁止

确保 Amazon DocumentDB 手动集群快照不是公开的。COMPLIANT如果有任何 Amazon DocumentDB 手动集群快照是公开的,则规则为 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

codebuild-project-source-repo-url-check

确保 Bitbucket 源存储库是否URLDOESNOT包含登录凭据。如果包含任何登录信息,COMPLIANT如果不URL包含任何登录信息,COMPLIANT则规则为 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

emr-block-public-access

确保 Amazon 账户EMR已启用封锁公开访问设置。COMPLIANT如果为 false,则规则 BlockPublicSecurityGroupRules 为 NON _,如果为 true,则列出端口 22 以外的端口 PermittedPublicSecurityGroupRuleRanges。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

nacl-no-unrestricted-ssh-rdp

确保网络访问控制列表 (NACLs) 中SSH/RDP入口流量的默认端口受到限制。COMPLIANT如果NACL入站条目允许端口 22 或 3389 的源TCP或UDPCIDR阻塞,则规则为 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

waf-global-webacl-not-空

确保全WAF球 Web ACL 包含一些WAF规则或规则组。COMPLIANT如果 Web ACL 不包含任何WAF规则或规则组,则此规则为 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

waf-global-rulegroup-not-空

确保 AWS WAF经典规则组包含一些规则。COMPLIANT如果规则组中没有规则,则规则为 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

waf-global-rule-not-空

确保 AWS WAF全局规则包含某些条件。COMPLIANT如果WAF全局规则中不存在任何条件,则规则为 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

ec2-client-vpn-not-authorize-全部

确保 AWS 客户端VPN授权规则不授权所有客户端的连接访问权限。COMPLIANT如果 'AccessAll' 存在且设置为 true,则规则为 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

internet-gateway-authorized-vpc-只有

确保互联网网关连接到授权的虚拟私有云 (AmazonVPC)。COMPLIANT如果互联网网关连接到未经授权的,则规则为 NON _ VPC。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

s3 access-point-public-access-方块

确保 Amazon S3 接入点已启用封锁公共访问设置。COMPLIANT如果未为 S3 接入点启用阻止公共访问设置,则规则为 NON _。
1.3.2 进出持卡人数据环境的网络访问受到限制。(PCI-DSS-v4.0)

s3-account-level-public-access-blocks

确保所需的公共访问屏蔽设置是从账户级别配置的。只有COMPLIANT当下面设置的字段与配置项目中的相应字段不匹配时,规则才是 NON _。
1.4.1 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

api-gw-endpoint-type-检查

确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。COMPLIANT如果与规则参数中配置的端点类型RESTAPI不匹配,则规则返回 NON _。
1.4.1 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

redshift-enhanced-vpc-routing-已启用

确保 Amazon Redshift 集群已启用 “enhancedVpcRouting”。COMPLIANT如果未启用 “enhancedVpcRouting” 或者配置已启用,则规则为 NON _。 enhancedVpcRouting 字段为 “假”。
1.4.1 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

internet-gateway-authorized-vpc-只有

确保互联网网关连接到授权的虚拟私有云 (AmazonVPC)。COMPLIANT如果互联网网关连接到未经授权的,则规则为 NON _ VPC。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

api-gw-endpoint-type-检查

确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。COMPLIANT如果与规则参数中配置的端点类型RESTAPI不匹配,则规则返回 NON _。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

cloudfront-associated-with-waf

确保 Amazon CloudFront 分配与 Web 应用程序防火墙 (WAF) 或WAFv2网络访问控制列表 (ACLs) 关联。COMPLIANT如果 CloudFront 分配未与 WAF Web 关联,则规则为 NON _ ACL。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

netfw-policy-default-action-碎片数据包

确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。COMPLIANT如果碎片数据包的无状态默认操作与用户定义的默认操作不匹配,则规则为 NON _。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

rds-db-security-group-不允许

确保亚马逊关系数据库服务 (AmazonRDS) 数据库安全组是默认安全组。COMPLIANT如果存在不是默认数据库安全组的数据库安全组,则规则为 NON _。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

redshift-enhanced-vpc-routing-已启用

确保 Amazon Redshift 集群已启用 “enhancedVpcRouting”。COMPLIANT如果未启用 “enhancedVpcRouting” 或者配置已启用,则规则为 NON _。 enhancedVpcRouting 字段为 “假”。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

ec2-transit-gateway-auto-vpc-已禁用附件

确保亚马逊弹性计算云 (AmazonEC2) 传输网关未启用 AutoAcceptSharedAttachments “”。如果 “” 设置为 “启用AutoAcceptSharedAttachments”,则 Transit Gateway 的规则为 NON _ COMPLIANT。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

eks-endpoint-no-public-访问

确保亚马逊 Elastic Kubernetes Servic EKS e(亚马逊)终端节点不可公开访问。COMPLIANT如果端点可公开访问,则规则为 NON _。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

restricted-ssh

注意:对于此规则,规则标识符 (INCOMING_ SSH _DISABLED) 和规则名称 (restricted-ssh) 不同。确保安全组的传入SSH流量可以访问。规则是安全组中传入SSH流量的 IP 地址COMPLIANT是否受到限制(0.0.0.0/0 或:: /0 CIDR 除外)。否则,NON_ COMPLIANT。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

appsync-associated-with-waf

确保 AWS AppSync APIs与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。 AWS AppSync API如果它与网站没有关联,则规则为 NON _ COMPLIANT ACL。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

docdb-cluster-snapshot-public-禁止

确保 Amazon DocumentDB 手动集群快照不是公开的。COMPLIANT如果有任何 Amazon DocumentDB 手动集群快照是公开的,则规则为 NON _。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

codebuild-project-source-repo-url-check

确保 Bitbucket 源存储库是否URLDOESNOT包含登录凭据。如果包含任何登录信息,COMPLIANT如果不URL包含任何登录信息,COMPLIANT则规则为 NON _。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

emr-block-public-access

确保 Amazon 账户EMR已启用封锁公开访问设置。COMPLIANT如果为 false,则规则 BlockPublicSecurityGroupRules 为 NON _,如果为 true,则列出端口 22 以外的端口 PermittedPublicSecurityGroupRuleRanges。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

nacl-no-unrestricted-ssh-rdp

确保网络访问控制列表 (NACLs) 中SSH/RDP入口流量的默认端口受到限制。COMPLIANT如果NACL入站条目允许端口 22 或 3389 的源TCP或UDPCIDR阻塞,则规则为 NON _。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

waf-global-webacl-not-空

确保全WAF球 Web ACL 包含一些WAF规则或规则组。COMPLIANT如果 Web ACL 不包含任何WAF规则或规则组,则此规则为 NON _。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

waf-global-rulegroup-not-空

确保 AWS WAF经典规则组包含一些规则。COMPLIANT如果规则组中没有规则,则规则为 NON _。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

waf-global-rule-not-空

确保 AWS WAF全局规则包含某些条件。COMPLIANT如果WAF全局规则中不存在任何条件,则规则为 NON _。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

ec2-client-vpn-not-authorize-全部

确保 AWS 客户端VPN授权规则不授权所有客户端的连接访问权限。COMPLIANT如果 'AccessAll' 存在且设置为 true,则规则为 NON _。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

internet-gateway-authorized-vpc-只有

确保互联网网关连接到授权的虚拟私有云 (AmazonVPC)。COMPLIANT如果互联网网关连接到未经授权的,则规则为 NON _ VPC。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

s3 access-point-public-access-方块

确保 Amazon S3 接入点已启用封锁公共访问设置。COMPLIANT如果未为 S3 接入点启用阻止公共访问设置,则规则为 NON _。
1.4.2 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

s3-account-level-public-access-blocks

确保所需的公共访问屏蔽设置是从账户级别配置的。只有COMPLIANT当下面设置的字段与配置项目中的相应字段不匹配时,规则才是 NON _。
1.4.3 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

netfw-policy-default-action-碎片数据包

确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。COMPLIANT如果碎片数据包的无状态默认操作与用户定义的默认操作不匹配,则规则为 NON _。
1.4.3 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

netfw-policy-default-action-碎片数据包

确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。COMPLIANT如果碎片数据包的无状态默认操作与用户定义的默认操作不匹配,则规则为 NON _。
1.4.3 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

netfw-policy-default-action-满包

确保 AWS Network Firewall 策略配置为用户定义的针对完整数据包的默认无状态操作。COMPLIANT如果完整数据包的默认无状态操作与用户定义的默认无状态操作不匹配,则此规则为 NON _。
1.4.4 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

api-gw-endpoint-type-检查

确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。COMPLIANT如果与规则参数中配置的端点类型RESTAPI不匹配,则规则返回 NON _。
1.4.4 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

redshift-enhanced-vpc-routing-已启用

确保 Amazon Redshift 集群已启用 “enhancedVpcRouting”。COMPLIANT如果未启用 “enhancedVpcRouting” 或者配置已启用,则规则为 NON _。 enhancedVpcRouting 字段为 “假”。
1.4.4 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

internet-gateway-authorized-vpc-只有

确保互联网网关连接到授权的虚拟私有云 (AmazonVPC)。COMPLIANT如果互联网网关连接到未经授权的,则规则为 NON _ VPC。
1.4.5 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

ecs-task-definition-pid-模式检查

确保将其配置ECSTaskDefinitions为与其亚马逊弹性容器服务 (AmazonECS) 容器共享主机的进程命名空间。COMPLIANT如果 pidMode 参数设置为 “host”,则规则为 NON _。
1.4.5 可信网络和不可信网络之间的网络连接受到控制。(PCI-DSS-v4.0)

ec2-launch-template-public-ip-已禁用

确保未将 Amazon EC2 启动模板设置为为网络接口分配公有 IP 地址。COMPLIANT如果EC2启动模板的默认版本至少有 1 个网络接口,且将 “” 设置为 “trueAssociatePublicIpAddress”,则规则为 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

api-gw-endpoint-type-检查

确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。COMPLIANT如果与规则参数中配置的端点类型RESTAPI不匹配,则规则返回 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

cloudfront-associated-with-waf

确保 Amazon CloudFront 分配与 Web 应用程序防火墙 (WAF) 或WAFv2网络访问控制列表 (ACLs) 关联。COMPLIANT如果 CloudFront 分配未与 WAF Web 关联,则规则为 NON _ ACL。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

netfw-policy-default-action-碎片数据包

确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。COMPLIANT如果碎片数据包的无状态默认操作与用户定义的默认操作不匹配,则规则为 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

rds-db-security-group-不允许

确保亚马逊关系数据库服务 (AmazonRDS) 数据库安全组是默认安全组。COMPLIANT如果存在不是默认数据库安全组的数据库安全组,则规则为 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

ec2-transit-gateway-auto-vpc-已禁用附件

确保亚马逊弹性计算云 (AmazonEC2) 传输网关未启用 AutoAcceptSharedAttachments “”。如果 “” 设置为 “启用AutoAcceptSharedAttachments”,则 Transit Gateway 的规则为 NON _ COMPLIANT。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

eks-endpoint-no-public-访问

确保亚马逊 Elastic Kubernetes Servic EKS e(亚马逊)终端节点不可公开访问。COMPLIANT如果端点可公开访问,则规则为 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

restricted-ssh

注意:对于此规则,规则标识符 (INCOMING_ SSH _DISABLED) 和规则名称 (restricted-ssh) 不同。确保安全组的传入SSH流量可以访问。规则是安全组中传入SSH流量的 IP 地址COMPLIANT是否受到限制(0.0.0.0/0 或:: /0 CIDR 除外)。否则,NON_ COMPLIANT。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

appsync-associated-with-waf

确保 AWS AppSync APIs与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。 AWS AppSync API如果它与网站没有关联,则规则为 NON _ COMPLIANT ACL。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

docdb-cluster-snapshot-public-禁止

确保 Amazon DocumentDB 手动集群快照不是公开的。COMPLIANT如果有任何 Amazon DocumentDB 手动集群快照是公开的,则规则为 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

codebuild-project-source-repo-url-check

确保 Bitbucket 源存储库是否URLDOESNOT包含登录凭据。如果包含任何登录信息,COMPLIANT如果不URL包含任何登录信息,COMPLIANT则规则为 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

emr-block-public-access

确保 Amazon 账户EMR已启用封锁公开访问设置。COMPLIANT如果为 false,则规则 BlockPublicSecurityGroupRules 为 NON _,如果为 true,则列出端口 22 以外的端口 PermittedPublicSecurityGroupRuleRanges。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

nacl-no-unrestricted-ssh-rdp

确保网络访问控制列表 (NACLs) 中SSH/RDP入口流量的默认端口受到限制。COMPLIANT如果NACL入站条目允许端口 22 或 3389 的源TCP或UDPCIDR阻塞,则规则为 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

waf-global-webacl-not-空

确保全WAF球 Web ACL 包含一些WAF规则或规则组。COMPLIANT如果 Web ACL 不包含任何WAF规则或规则组,则此规则为 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

waf-global-rulegroup-not-空

确保 AWS WAF经典规则组包含一些规则。COMPLIANT如果规则组中没有规则,则规则为 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

waf-global-rule-not-空

确保 AWS WAF全局规则包含某些条件。COMPLIANT如果WAF全局规则中不存在任何条件,则规则为 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

ec2-client-vpn-not-authorize-全部

确保 AWS 客户端VPN授权规则不授权所有客户端的连接访问权限。COMPLIANT如果 'AccessAll' 存在且设置为 true,则规则为 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

internet-gateway-authorized-vpc-只有

确保互联网网关连接到授权的虚拟私有云 (AmazonVPC)。COMPLIANT如果互联网网关连接到未经授权的,则规则为 NON _ VPC。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

s3 access-point-public-access-方块

确保 Amazon S3 接入点已启用封锁公共访问设置。COMPLIANT如果未为 S3 接入点启用阻止公共访问设置,则规则为 NON _。
1.5.1 可以同时连接到不可信网络和不可信网络的计算设备所带来的风险CDE得到缓解。CDE(PCI-DSS-v4.0)

s3-account-level-public-access-blocks

确保所需的公共访问屏蔽设置是从账户级别配置的。只有COMPLIANT当下面设置的字段与配置项目中的相应字段不匹配时,规则才是 NON _。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

确保 Amazon API Gateway V2 阶段已启用访问日志功能。COMPLIANT如果舞台配置中不存在 accessLogSettings “”,则规则为 NON _。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudfront-accesslogs-enabled

确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。COMPLIANT如果 CloudFront 分配未配置日志记录,则规则为 NON _。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-启用导出

确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。COMPLIANT如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能,则规则为 NON _。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

ecs-task-definition-log-配置

确保已 logConfiguration 在活动ECS任务定义上设置该选项。COMPLIANT如果活动ECSTaskDefinition没有定义 logConfiguration 资源或者至少一个容器定义中的值为空, logConfiguration 则此规则为 NON _。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudtrail-enabled

注意:对于此规则,规则标识符 (CLOUD_ TRAIL _ENABLED) 和规则名称(已启用 cloudtrail)不同。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。COMPLIANT如果未启用跟踪,则规则为 NON _。或者,该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (AmazonSNS) 主题和 CloudWatch 日志组。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

注意:对于此规则,规则标识符 (MULTIREGIONCLOUD_ TRAIL _ _ENABLED) 和规则名称 (multi-region-cloudtrail-enabled) 不同。确保至少有一个多区域 AWS CloudTrail。COMPLIANT如果轨迹与输入参数不匹配,则规则为 NON _。COMPLIANT如果该 ExcludeManagementEventSources 字段不为空或者配置 AWS CloudTrail 为排除管理事件(例如事件或 Amazon RDS Data AWS KMS API 事件),则规则为 NON _。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

appsync-logging-enabled

确保启用 AWS AppSync API了日志记录。COMPLIANT如果未启用日志记录,则规则为 NON _,或者 fieldLogLevel “” ERROR 既不是ALL。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

waf-classic-logging-enabled

确保在 AWS WAF经典的全局 Web 访问控制列表 (WebACLs) 上启用日志记录。如果全球网站没有启用日志记录ACL,则规则为 NON _ COMPLIANT。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-已启用

确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-log-已启用

确保 Amazon MQ 代理已启用 CloudWatch 审计日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

eks-cluster-logging-enabled

确保亚马逊 Elastic Kubernetes Service (EKSAmazon) 集群配置为启用日志记录。COMPLIANT如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则规则为 NON _。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

elastic-beanstalk-logs-to-云观察

确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch COMPLIANT如果 StreamLogs `的值为假,则规则为 NON _。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

step-functions-state-machine-启用日志功能

确保 AWS Step Functions 计算机已启用日志功能。COMPLIANT如果状态机未启用日志记录或日志配置未达到提供的最低级别,则规则为 NON _。
10.2.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

netfw-logging-enabled

确保 AWS Network Firewall 防火墙已启用日志记录。COMPLIANT如果未配置日志记录类型,则规则为 NON _。您可以指定希望规则检查的日志记录类型。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

确保 Amazon API Gateway V2 阶段已启用访问日志功能。COMPLIANT如果舞台配置中不存在 accessLogSettings “”,则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudfront-accesslogs-enabled

确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。COMPLIANT如果 CloudFront 分配未配置日志记录,则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-启用导出

确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。COMPLIANT如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能,则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

ec2-instance-detailed-monitoring-enabled

确保已为EC2实例启用详细监控。COMPLIANT如果未启用详细监控,则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

ecs-task-definition-log-配置

确保已 logConfiguration 在活动ECS任务定义上设置该选项。COMPLIANT如果活动ECSTaskDefinition没有定义 logConfiguration 资源或者至少一个容器定义中的值为空, logConfiguration 则此规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定任何操作,则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定任何操作,则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定EBS卷、EC2实例、Amazon RDS 集群或 S3 存储桶。规则是指定指标COMPLIANT是否有资源 ID 和 CloudWatch 警报。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudtrail-enabled

注意:对于此规则,规则标识符 (CLOUD_ TRAIL _ENABLED) 和规则名称(已启用 cloudtrail)不同。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。COMPLIANT如果未启用跟踪,则规则为 NON _。或者,该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (AmazonSNS) 主题和 CloudWatch 日志组。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

注意:对于此规则,规则标识符 (MULTIREGIONCLOUD_ TRAIL _ _ENABLED) 和规则名称 (multi-region-cloudtrail-enabled) 不同。确保至少有一个多区域 AWS CloudTrail。COMPLIANT如果轨迹与输入参数不匹配,则规则为 NON _。COMPLIANT如果该 ExcludeManagementEventSources 字段不为空或者配置 AWS CloudTrail 为排除管理事件(例如事件或 Amazon RDS Data AWS KMS API 事件),则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

appsync-logging-enabled

确保启用 AWS AppSync API了日志记录。COMPLIANT如果未启用日志记录,则规则为 NON _,或者 fieldLogLevel “” ERROR 既不是ALL。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

waf-classic-logging-enabled

确保在 AWS WAF经典的全局 Web 访问控制列表 (WebACLs) 上启用日志记录。如果全球网站没有启用日志记录ACL,则规则为 NON _ COMPLIANT。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-已启用

确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-log-已启用

确保 Amazon MQ 代理已启用 CloudWatch 审计日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

eks-cluster-logging-enabled

确保亚马逊 Elastic Kubernetes Service (EKSAmazon) 集群配置为启用日志记录。COMPLIANT如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

elastic-beanstalk-logs-to-云观察

确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch COMPLIANT如果 StreamLogs `的值为假,则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

确保已启用 AWS WAFv2规则组上的 Amazon CloudWatch 安全指标收集。COMPLIANT如果是 ',则规则是 NON _ VisibilityConfig。 CloudWatchMetricsEnabled'字段设置为 false。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

sns-topic-message-delivery-启用通知

确保已启用 Amazon 简单通知服务 (SNS) 日志记录发送到终端节点主题的通知消息的发送状态。COMPLIANT如果未启用邮件的传送状态通知,则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

step-functions-state-machine-启用日志功能

确保 AWS Step Functions 计算机已启用日志功能。COMPLIANT如果状态机未启用日志记录或日志配置未达到提供的最低级别,则规则为 NON _。
10.2.1.1 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

netfw-logging-enabled

确保 AWS Network Firewall 防火墙已启用日志记录。COMPLIANT如果未配置日志记录类型,则规则为 NON _。您可以指定希望规则检查的日志记录类型。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

确保 Amazon API Gateway V2 阶段已启用访问日志功能。COMPLIANT如果舞台配置中不存在 accessLogSettings “”,则规则为 NON _。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudfront-accesslogs-enabled

确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。COMPLIANT如果 CloudFront 分配未配置日志记录,则规则为 NON _。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-启用导出

确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。COMPLIANT如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能,则规则为 NON _。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

ecs-task-definition-log-配置

确保已 logConfiguration 在活动ECS任务定义上设置该选项。COMPLIANT如果活动ECSTaskDefinition没有定义 logConfiguration 资源或者至少一个容器定义中的值为空, logConfiguration 则此规则为 NON _。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudtrail-enabled

注意:对于此规则,规则标识符 (CLOUD_ TRAIL _ENABLED) 和规则名称(已启用 cloudtrail)不同。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。COMPLIANT如果未启用跟踪,则规则为 NON _。或者,该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (AmazonSNS) 主题和 CloudWatch 日志组。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

注意:对于此规则,规则标识符 (MULTIREGIONCLOUD_ TRAIL _ _ENABLED) 和规则名称 (multi-region-cloudtrail-enabled) 不同。确保至少有一个多区域 AWS CloudTrail。COMPLIANT如果轨迹与输入参数不匹配,则规则为 NON _。COMPLIANT如果该 ExcludeManagementEventSources 字段不为空或者配置 AWS CloudTrail 为排除管理事件(例如事件或 Amazon RDS Data AWS KMS API 事件),则规则为 NON _。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

appsync-logging-enabled

确保启用 AWS AppSync API了日志记录。COMPLIANT如果未启用日志记录,则规则为 NON _,或者 fieldLogLevel “” ERROR 既不是ALL。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

waf-classic-logging-enabled

确保在 AWS WAF经典的全局 Web 访问控制列表 (WebACLs) 上启用日志记录。如果全球网站没有启用日志记录ACL,则规则为 NON _ COMPLIANT。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-已启用

确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-log-已启用

确保 Amazon MQ 代理已启用 CloudWatch 审计日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

eks-cluster-logging-enabled

确保亚马逊 Elastic Kubernetes Service (EKSAmazon) 集群配置为启用日志记录。COMPLIANT如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则规则为 NON _。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

elastic-beanstalk-logs-to-云观察

确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch COMPLIANT如果 StreamLogs `的值为假,则规则为 NON _。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

step-functions-state-machine-启用日志功能

确保 AWS Step Functions 计算机已启用日志功能。COMPLIANT如果状态机未启用日志记录或日志配置未达到提供的最低级别,则规则为 NON _。
10.2.1.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

netfw-logging-enabled

确保 AWS Network Firewall 防火墙已启用日志记录。COMPLIANT如果未配置日志记录类型,则规则为 NON _。您可以指定希望规则检查的日志记录类型。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

确保 Amazon API Gateway V2 阶段已启用访问日志功能。COMPLIANT如果舞台配置中不存在 accessLogSettings “”,则规则为 NON _。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudfront-accesslogs-enabled

确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。COMPLIANT如果 CloudFront 分配未配置日志记录,则规则为 NON _。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-启用导出

确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。COMPLIANT如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能,则规则为 NON _。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

ecs-task-definition-log-配置

确保已 logConfiguration 在活动ECS任务定义上设置该选项。COMPLIANT如果活动ECSTaskDefinition没有定义 logConfiguration 资源或者至少一个容器定义中的值为空, logConfiguration 则此规则为 NON _。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudtrail-enabled

注意:对于此规则,规则标识符 (CLOUD_ TRAIL _ENABLED) 和规则名称(已启用 cloudtrail)不同。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。COMPLIANT如果未启用跟踪,则规则为 NON _。或者,该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (AmazonSNS) 主题和 CloudWatch 日志组。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

注意:对于此规则,规则标识符 (MULTIREGIONCLOUD_ TRAIL _ _ENABLED) 和规则名称 (multi-region-cloudtrail-enabled) 不同。确保至少有一个多区域 AWS CloudTrail。COMPLIANT如果轨迹与输入参数不匹配,则规则为 NON _。COMPLIANT如果该 ExcludeManagementEventSources 字段不为空或者配置 AWS CloudTrail 为排除管理事件(例如事件或 Amazon RDS Data AWS KMS API 事件),则规则为 NON _。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

appsync-logging-enabled

确保启用 AWS AppSync API了日志记录。COMPLIANT如果未启用日志记录,则规则为 NON _,或者 fieldLogLevel “” ERROR 既不是ALL。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

waf-classic-logging-enabled

确保在 AWS WAF经典的全局 Web 访问控制列表 (WebACLs) 上启用日志记录。如果全球网站没有启用日志记录ACL,则规则为 NON _ COMPLIANT。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-已启用

确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-log-已启用

确保 Amazon MQ 代理已启用 CloudWatch 审计日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

eks-cluster-logging-enabled

确保亚马逊 Elastic Kubernetes Service (EKSAmazon) 集群配置为启用日志记录。COMPLIANT如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则规则为 NON _。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

elastic-beanstalk-logs-to-云观察

确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch COMPLIANT如果 StreamLogs `的值为假,则规则为 NON _。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

step-functions-state-machine-启用日志功能

确保 AWS Step Functions 计算机已启用日志功能。COMPLIANT如果状态机未启用日志记录或日志配置未达到提供的最低级别,则规则为 NON _。
10.2.1.3 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

netfw-logging-enabled

确保 AWS Network Firewall 防火墙已启用日志记录。COMPLIANT如果未配置日志记录类型,则规则为 NON _。您可以指定希望规则检查的日志记录类型。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

确保 Amazon API Gateway V2 阶段已启用访问日志功能。COMPLIANT如果舞台配置中不存在 accessLogSettings “”,则规则为 NON _。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudfront-accesslogs-enabled

确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。COMPLIANT如果 CloudFront 分配未配置日志记录,则规则为 NON _。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-启用导出

确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。COMPLIANT如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能,则规则为 NON _。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

ecs-task-definition-log-配置

确保已 logConfiguration 在活动ECS任务定义上设置该选项。COMPLIANT如果活动ECSTaskDefinition没有定义 logConfiguration 资源或者至少一个容器定义中的值为空, logConfiguration 则此规则为 NON _。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudtrail-enabled

注意:对于此规则,规则标识符 (CLOUD_ TRAIL _ENABLED) 和规则名称(已启用 cloudtrail)不同。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。COMPLIANT如果未启用跟踪,则规则为 NON _。或者,该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (AmazonSNS) 主题和 CloudWatch 日志组。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

注意:对于此规则,规则标识符 (MULTIREGIONCLOUD_ TRAIL _ _ENABLED) 和规则名称 (multi-region-cloudtrail-enabled) 不同。确保至少有一个多区域 AWS CloudTrail。COMPLIANT如果轨迹与输入参数不匹配,则规则为 NON _。COMPLIANT如果该 ExcludeManagementEventSources 字段不为空或者配置 AWS CloudTrail 为排除管理事件(例如事件或 Amazon RDS Data AWS KMS API 事件),则规则为 NON _。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

appsync-logging-enabled

确保启用 AWS AppSync API了日志记录。COMPLIANT如果未启用日志记录,则规则为 NON _,或者 fieldLogLevel “” ERROR 既不是ALL。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

waf-classic-logging-enabled

确保在 AWS WAF经典的全局 Web 访问控制列表 (WebACLs) 上启用日志记录。如果全球网站没有启用日志记录ACL,则规则为 NON _ COMPLIANT。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-已启用

确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-log-已启用

确保 Amazon MQ 代理已启用 CloudWatch 审计日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

eks-cluster-logging-enabled

确保亚马逊 Elastic Kubernetes Service (EKSAmazon) 集群配置为启用日志记录。COMPLIANT如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则规则为 NON _。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

elastic-beanstalk-logs-to-云观察

确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch COMPLIANT如果 StreamLogs `的值为假,则规则为 NON _。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

step-functions-state-machine-启用日志功能

确保 AWS Step Functions 计算机已启用日志功能。COMPLIANT如果状态机未启用日志记录或日志配置未达到提供的最低级别,则规则为 NON _。
10.2.1.4 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

netfw-logging-enabled

确保 AWS Network Firewall 防火墙已启用日志记录。COMPLIANT如果未配置日志记录类型,则规则为 NON _。您可以指定希望规则检查的日志记录类型。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

确保 Amazon API Gateway V2 阶段已启用访问日志功能。COMPLIANT如果舞台配置中不存在 accessLogSettings “”,则规则为 NON _。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudfront-accesslogs-enabled

确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。COMPLIANT如果 CloudFront 分配未配置日志记录,则规则为 NON _。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-启用导出

确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。COMPLIANT如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能,则规则为 NON _。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

ecs-task-definition-log-配置

确保已 logConfiguration 在活动ECS任务定义上设置该选项。COMPLIANT如果活动ECSTaskDefinition没有定义 logConfiguration 资源或者至少一个容器定义中的值为空, logConfiguration 则此规则为 NON _。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudtrail-enabled

注意:对于此规则,规则标识符 (CLOUD_ TRAIL _ENABLED) 和规则名称(已启用 cloudtrail)不同。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。COMPLIANT如果未启用跟踪,则规则为 NON _。或者,该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (AmazonSNS) 主题和 CloudWatch 日志组。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

注意:对于此规则,规则标识符 (MULTIREGIONCLOUD_ TRAIL _ _ENABLED) 和规则名称 (multi-region-cloudtrail-enabled) 不同。确保至少有一个多区域 AWS CloudTrail。COMPLIANT如果轨迹与输入参数不匹配,则规则为 NON _。COMPLIANT如果该 ExcludeManagementEventSources 字段不为空或者配置 AWS CloudTrail 为排除管理事件(例如事件或 Amazon RDS Data AWS KMS API 事件),则规则为 NON _。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

appsync-logging-enabled

确保启用 AWS AppSync API了日志记录。COMPLIANT如果未启用日志记录,则规则为 NON _,或者 fieldLogLevel “” ERROR 既不是ALL。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

waf-classic-logging-enabled

确保在 AWS WAF经典的全局 Web 访问控制列表 (WebACLs) 上启用日志记录。如果全球网站没有启用日志记录ACL,则规则为 NON _ COMPLIANT。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-已启用

确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-log-已启用

确保 Amazon MQ 代理已启用 CloudWatch 审计日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

eks-cluster-logging-enabled

确保亚马逊 Elastic Kubernetes Service (EKSAmazon) 集群配置为启用日志记录。COMPLIANT如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则规则为 NON _。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

elastic-beanstalk-logs-to-云观察

确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch COMPLIANT如果 StreamLogs `的值为假,则规则为 NON _。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

step-functions-state-machine-启用日志功能

确保 AWS Step Functions 计算机已启用日志功能。COMPLIANT如果状态机未启用日志记录或日志配置未达到提供的最低级别,则规则为 NON _。
10.2.1.5 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

netfw-logging-enabled

确保 AWS Network Firewall 防火墙已启用日志记录。COMPLIANT如果未配置日志记录类型,则规则为 NON _。您可以指定希望规则检查的日志记录类型。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

确保 Amazon API Gateway V2 阶段已启用访问日志功能。COMPLIANT如果舞台配置中不存在 accessLogSettings “”,则规则为 NON _。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudfront-accesslogs-enabled

确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。COMPLIANT如果 CloudFront 分配未配置日志记录,则规则为 NON _。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-启用导出

确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。COMPLIANT如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能,则规则为 NON _。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

ecs-task-definition-log-配置

确保已 logConfiguration 在活动ECS任务定义上设置该选项。COMPLIANT如果活动ECSTaskDefinition没有定义 logConfiguration 资源或者至少一个容器定义中的值为空, logConfiguration 则此规则为 NON _。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudtrail-enabled

注意:对于此规则,规则标识符 (CLOUD_ TRAIL _ENABLED) 和规则名称(已启用 cloudtrail)不同。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。COMPLIANT如果未启用跟踪,则规则为 NON _。或者,该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (AmazonSNS) 主题和 CloudWatch 日志组。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

注意:对于此规则,规则标识符 (MULTIREGIONCLOUD_ TRAIL _ _ENABLED) 和规则名称 (multi-region-cloudtrail-enabled) 不同。确保至少有一个多区域 AWS CloudTrail。COMPLIANT如果轨迹与输入参数不匹配,则规则为 NON _。COMPLIANT如果该 ExcludeManagementEventSources 字段不为空或者配置 AWS CloudTrail 为排除管理事件(例如事件或 Amazon RDS Data AWS KMS API 事件),则规则为 NON _。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

appsync-logging-enabled

确保启用 AWS AppSync API了日志记录。COMPLIANT如果未启用日志记录,则规则为 NON _,或者 fieldLogLevel “” ERROR 既不是ALL。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

waf-classic-logging-enabled

确保在 AWS WAF经典的全局 Web 访问控制列表 (WebACLs) 上启用日志记录。如果全球网站没有启用日志记录ACL,则规则为 NON _ COMPLIANT。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-已启用

确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-log-已启用

确保 Amazon MQ 代理已启用 CloudWatch 审计日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

eks-cluster-logging-enabled

确保亚马逊 Elastic Kubernetes Service (EKSAmazon) 集群配置为启用日志记录。COMPLIANT如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则规则为 NON _。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

elastic-beanstalk-logs-to-云观察

确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch COMPLIANT如果 StreamLogs `的值为假,则规则为 NON _。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

step-functions-state-machine-启用日志功能

确保 AWS Step Functions 计算机已启用日志功能。COMPLIANT如果状态机未启用日志记录或日志配置未达到提供的最低级别,则规则为 NON _。
10.2.1.6 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

netfw-logging-enabled

确保 AWS Network Firewall 防火墙已启用日志记录。COMPLIANT如果未配置日志记录类型,则规则为 NON _。您可以指定希望规则检查的日志记录类型。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

确保 Amazon API Gateway V2 阶段已启用访问日志功能。COMPLIANT如果舞台配置中不存在 accessLogSettings “”,则规则为 NON _。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudfront-accesslogs-enabled

确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。COMPLIANT如果 CloudFront 分配未配置日志记录,则规则为 NON _。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-启用导出

确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。COMPLIANT如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能,则规则为 NON _。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

ecs-task-definition-log-配置

确保已 logConfiguration 在活动ECS任务定义上设置该选项。COMPLIANT如果活动ECSTaskDefinition没有定义 logConfiguration 资源或者至少一个容器定义中的值为空, logConfiguration 则此规则为 NON _。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudtrail-enabled

注意:对于此规则,规则标识符 (CLOUD_ TRAIL _ENABLED) 和规则名称(已启用 cloudtrail)不同。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。COMPLIANT如果未启用跟踪,则规则为 NON _。或者,该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (AmazonSNS) 主题和 CloudWatch 日志组。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

注意:对于此规则,规则标识符 (MULTIREGIONCLOUD_ TRAIL _ _ENABLED) 和规则名称 (multi-region-cloudtrail-enabled) 不同。确保至少有一个多区域 AWS CloudTrail。COMPLIANT如果轨迹与输入参数不匹配,则规则为 NON _。COMPLIANT如果该 ExcludeManagementEventSources 字段不为空或者配置 AWS CloudTrail 为排除管理事件(例如事件或 Amazon RDS Data AWS KMS API 事件),则规则为 NON _。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

appsync-logging-enabled

确保启用 AWS AppSync API了日志记录。COMPLIANT如果未启用日志记录,则规则为 NON _,或者 fieldLogLevel “” ERROR 既不是ALL。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

waf-classic-logging-enabled

确保在 AWS WAF经典的全局 Web 访问控制列表 (WebACLs) 上启用日志记录。如果全球网站没有启用日志记录ACL,则规则为 NON _ COMPLIANT。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-已启用

确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-log-已启用

确保 Amazon MQ 代理已启用 CloudWatch 审计日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

eks-cluster-logging-enabled

确保亚马逊 Elastic Kubernetes Service (EKSAmazon) 集群配置为启用日志记录。COMPLIANT如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则规则为 NON _。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

elastic-beanstalk-logs-to-云观察

确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch COMPLIANT如果 StreamLogs `的值为假,则规则为 NON _。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

step-functions-state-machine-启用日志功能

确保 AWS Step Functions 计算机已启用日志功能。COMPLIANT如果状态机未启用日志记录或日志配置未达到提供的最低级别,则规则为 NON _。
10.2.1.7 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

netfw-logging-enabled

确保 AWS Network Firewall 防火墙已启用日志记录。COMPLIANT如果未配置日志记录类型,则规则为 NON _。您可以指定希望规则检查的日志记录类型。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

确保 Amazon API Gateway V2 阶段已启用访问日志功能。COMPLIANT如果舞台配置中不存在 accessLogSettings “”,则规则为 NON _。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudfront-accesslogs-enabled

确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。COMPLIANT如果 CloudFront 分配未配置日志记录,则规则为 NON _。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-启用导出

确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。COMPLIANT如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能,则规则为 NON _。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

ecs-task-definition-log-配置

确保已 logConfiguration 在活动ECS任务定义上设置该选项。COMPLIANT如果活动ECSTaskDefinition没有定义 logConfiguration 资源或者至少一个容器定义中的值为空, logConfiguration 则此规则为 NON _。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

cloudtrail-enabled

注意:对于此规则,规则标识符 (CLOUD_ TRAIL _ENABLED) 和规则名称(已启用 cloudtrail)不同。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。COMPLIANT如果未启用跟踪,则规则为 NON _。或者,该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (AmazonSNS) 主题和 CloudWatch 日志组。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

注意:对于此规则,规则标识符 (MULTIREGIONCLOUD_ TRAIL _ _ENABLED) 和规则名称 (multi-region-cloudtrail-enabled) 不同。确保至少有一个多区域 AWS CloudTrail。COMPLIANT如果轨迹与输入参数不匹配,则规则为 NON _。COMPLIANT如果该 ExcludeManagementEventSources 字段不为空或者配置 AWS CloudTrail 为排除管理事件(例如事件或 Amazon RDS Data AWS KMS API 事件),则规则为 NON _。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

appsync-logging-enabled

确保启用 AWS AppSync API了日志记录。COMPLIANT如果未启用日志记录,则规则为 NON _,或者 fieldLogLevel “” ERROR 既不是ALL。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

waf-classic-logging-enabled

确保在 AWS WAF经典的全局 Web 访问控制列表 (WebACLs) 上启用日志记录。如果全球网站没有启用日志记录ACL,则规则为 NON _ COMPLIANT。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-已启用

确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

mq-cloudwatch-audit-log-已启用

确保 Amazon MQ 代理已启用 CloudWatch 审计日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

eks-cluster-logging-enabled

确保亚马逊 Elastic Kubernetes Service (EKSAmazon) 集群配置为启用日志记录。COMPLIANT如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则规则为 NON _。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

elastic-beanstalk-logs-to-云观察

确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch COMPLIANT如果 StreamLogs `的值为假,则规则为 NON _。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

step-functions-state-machine-启用日志功能

确保 AWS Step Functions 计算机已启用日志功能。COMPLIANT如果状态机未启用日志记录或日志配置未达到提供的最低级别,则规则为 NON _。
10.2.2 实施审计日志是为了支持异常和可疑活动的检测以及对事件的取证分析。(PCI-DSS-v4.0)

netfw-logging-enabled

确保 AWS Network Firewall 防火墙已启用日志记录。COMPLIANT如果未配置日志记录类型,则规则为 NON _。您可以指定希望规则检查的日志记录类型。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

确保 Amazon API Gateway V2 阶段已启用访问日志功能。COMPLIANT如果舞台配置中不存在 accessLogSettings “”,则规则为 NON _。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

cloudfront-accesslogs-enabled

确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。COMPLIANT如果 CloudFront 分配未配置日志记录,则规则为 NON _。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-启用导出

确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。COMPLIANT如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能,则规则为 NON _。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

ecs-task-definition-log-配置

确保已 logConfiguration 在活动ECS任务定义上设置该选项。COMPLIANT如果活动ECSTaskDefinition没有定义 logConfiguration 资源或者至少一个容器定义中的值为空, logConfiguration 则此规则为 NON _。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

cloudtrail-enabled

注意:对于此规则,规则标识符 (CLOUD_ TRAIL _ENABLED) 和规则名称(已启用 cloudtrail)不同。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。COMPLIANT如果未启用跟踪,则规则为 NON _。或者,该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (AmazonSNS) 主题和 CloudWatch 日志组。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

注意:对于此规则,规则标识符 (MULTIREGIONCLOUD_ TRAIL _ _ENABLED) 和规则名称 (multi-region-cloudtrail-enabled) 不同。确保至少有一个多区域 AWS CloudTrail。COMPLIANT如果轨迹与输入参数不匹配,则规则为 NON _。COMPLIANT如果该 ExcludeManagementEventSources 字段不为空或者配置 AWS CloudTrail 为排除管理事件(例如事件或 Amazon RDS Data AWS KMS API 事件),则规则为 NON _。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

appsync-logging-enabled

确保启用 AWS AppSync API了日志记录。COMPLIANT如果未启用日志记录,则规则为 NON _,或者 fieldLogLevel “” ERROR 既不是ALL。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

waf-classic-logging-enabled

确保在 AWS WAF经典的全局 Web 访问控制列表 (WebACLs) 上启用日志记录。如果全球网站没有启用日志记录ACL,则规则为 NON _ COMPLIANT。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-已启用

确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

mq-cloudwatch-audit-log-已启用

确保 Amazon MQ 代理已启用 CloudWatch 审计日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

eks-cluster-logging-enabled

确保亚马逊 Elastic Kubernetes Service (EKSAmazon) 集群配置为启用日志记录。COMPLIANT如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则规则为 NON _。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

elastic-beanstalk-logs-to-云观察

确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch COMPLIANT如果 StreamLogs `的值为假,则规则为 NON _。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

step-functions-state-machine-启用日志功能

确保 AWS Step Functions 计算机已启用日志功能。COMPLIANT如果状态机未启用日志记录或日志配置未达到提供的最低级别,则规则为 NON _。
10.3.1 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

netfw-logging-enabled

确保 AWS Network Firewall 防火墙已启用日志记录。COMPLIANT如果未配置日志记录类型,则规则为 NON _。您可以指定希望规则检查的日志记录类型。
10.3.2 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

cloudtrail-security-trail-enabled

确保至少有一 AWS CloudTrail 条使用安全最佳实践定义的跟踪。COMPLIANT如果至少有一条路径满足以下所有条件,则此规则为:
10.3.2 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

neptune-cluster-snapshot-public-禁止

确保 Amazon Neptune 手动数据库集群快照不是公开的。COMPLIANT如果有任何现有和新的 Neptune 集群快照是公开的,则规则为 NON _。
10.3.2 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

docdb-cluster-snapshot-public-禁止

确保 Amazon DocumentDB 手动集群快照不是公开的。COMPLIANT如果有任何 Amazon DocumentDB 手动集群快照是公开的,则规则为 NON _。
10.3.2 审计日志受到保护,防止破坏和未经授权的修改。(PCI-DSS-v4.0)

backup-recovery-point-manual-删除-禁用

确保备份存储库附有基于资源的策略,以防止删除恢复点。COMPLIANT如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句(带有 backup: DeleteRecoveryPoint、backup: 和 backup: PutBackupVaultAccessPolicy 权限的语句)UpdateRecoveryPointLifecycle,则规则为 NON _。
10.3.2 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

emr-block-public-access

确保 Amazon 账户EMR已启用封锁公开访问设置。COMPLIANT如果为 false,则规则 BlockPublicSecurityGroupRules 为 NON _,如果为 true,则列出端口 22 以外的端口 PermittedPublicSecurityGroupRuleRanges。
10.3.2 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

s3 access-point-public-access-方块

确保 Amazon S3 接入点已启用封锁公共访问设置。COMPLIANT如果未为 S3 接入点启用阻止公共访问设置,则规则为 NON _。
10.3.2 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

s3-account-level-public-access-blocks

确保所需的公共访问屏蔽设置是从账户级别配置的。只有COMPLIANT当下面设置的字段与配置项目中的相应字段不匹配时,规则才是 NON _。
10.3.2 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

确保在亚马逊简单存储服务 (Amazon S3) Simple Storage Service 存储桶版本控制配置中启用MFA删除。COMPLIANT如果未启用 MFA “删除”,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

aurora-resources-protected-by-备份计划

确保 Amazon Aurora 数据库集群受备份计划的保护。COMPLIANT如果 Amazon Relational Database Service (AmazonRDS) 数据库集群不受备份计划的保护,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

db-instance-backup-enabled

确保RDS数据库实例已启用备份。(可选)此规则将检查备份保留期和备份时段。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

dynamodb-in-backup-plan

确保备份计划中有 Amazon DynamoDB 表。 AWS COMPLIANT如果任何 AWS 备份计划中都没有 Amazon DynamoDB 表,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

dynamodb-resources-protected-by-备份计划

确保 Amazon DynamoDB 表受备份计划的保护。COMPLIANT如果备份计划未涵盖 DynamoDB 表,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

ebs-in-backup-plan

确保在 Backup 的备份计划中添加了 Amazon Elastic Block Store (AmazonEBS) 卷。 AWS COMPLIANT如果备份计划中未包含 Amazon EBS 卷,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

ebs-resources-protected-by-备份计划

确保 Amazon Elastic Block Store (AmazonEBS) 卷受备份计划的保护。COMPLIANT如果 Amazon EBS 卷不在备份计划范围内,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

ec2 resources-protected-by-backup-计划

确保亚马逊弹性计算云 (AmazonEC2) 实例受备份计划的保护。COMPLIANT如果备份计划不涵盖该 Amazon EC2 实例,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

efs-in-backup-plan

确保将 Amazon Elastic File System(亚马逊EFS)文件系统添加到 Backup 的 AWS 备份计划中。COMPLIANT如果备份计划中不包括EFS文件系统,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

efs-resources-protected-by-备份计划

确保 Amazon Elastic File System(亚马逊EFS)文件系统受到备份计划的保护。COMPLIANT如果备份计划不涵盖EFS文件系统,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

elasticache-redis-cluster-automatic-备份检查

检查 Amazon ElastiCache Redis 集群是否已开启自动备份。COMPLIANT如果 Redis 集群 SnapshotRetentionLimit 的值小于 SnapshotRetentionPeriod 参数,则规则为 NON _。例如:如果参数为 15,则如果介于 0-15 之间,则规则不合规。 snapshotRetentionPeriod
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

fsx-resources-protected-by-备份计划

确保 Amazon FSx 文件系统受备份计划的保护。COMPLIANT如果备份计划不涵盖亚马逊FSx文件系统,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

neptune-cluster-backup-retention-检查

确保将 Amazon Neptune 数据库集群的保留期设置为特定的天数。COMPLIANT如果保留期小于参数指定的值,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

rds-in-backup-plan

确保 AWS 备份计划中包含亚马逊关系数据库服务 (AmazonRDS) 数据库。COMPLIANT如果任何 Backu AWS p 计划中未包含 Amazon RDS 数据库,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

rds-resources-protected-by-备份计划

确保 Amazon Relational Database Service (AmazonRDS) 实例受备份计划的保护。COMPLIANT如果 Amazon RDS 数据库实例不在备份计划范围内,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

redshift-backup-enabled

确保为集群启用 Amazon Redshift 自动快照。COMPLIANT如果 Period 的值 automatedSnapshotRetention大于 MaxRetentionPeriod 或小于 MinRetentionPeriod 或值为 0,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

s3 resources-protected-by-backup-计划

确保亚马逊简单存储服务 (Amazon S3) Semple Service 存储桶受备份计划的保护。COMPLIANT如果 Amazon S3 存储桶不在备份计划范围内,则规则为 NON _。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

cloudtrail-security-trail-enabled

确保至少有一 AWS CloudTrail 条使用安全最佳实践定义的跟踪。COMPLIANT如果至少有一条路径满足以下所有条件,则此规则为:
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

db-instance-backup-enabled

确保RDS数据库实例已启用备份。(可选)此规则将检查备份保留期和备份时段。
10.3.3 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

dynamodb-pitr-enabled

确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。COMPLIANT如果未PITR为 DynamoDB 表启用,则规则为 NON _。
10.3.4 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

cloudfront-origin-access-identity-已启用

确保使用 Amazon S3 Origin 类型的 CloudFront 分配已配置源访问身份 (OAI)。COMPLIANT如果 CloudFront 分配由 S3 支持且未OAI配置任何源类型,或者源不是 S3 存储桶,则规则为 NON _。
10.3.4 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

cloudfront-s3-origin-access-control-enabled

确保使用亚马逊简单存储服务 (Amazon S3) Service Origin 类型的亚马逊 CloudFront 分发已启用源站访问控制 OAC ()。COMPLIANT对于源自 Amazon S3 但尚未OAC启用的 CloudFront 分配,规则为 NON _。
10.3.4 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

s3-bucket-default-lock-enabled

确保 S3 存储桶在默认情况下已启用锁定。COMPLIANT如果锁未启用,则规则为 NON _。
10.3.4 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

s3-bucket-versioning-enabled

确保已为您的 S3 存储桶启用版本控制。或者,该规则会检查您的 S3 存储桶是否启用了MFA删除功能。
10.3.4 保护审计日志免遭破坏和未经授权的修改。(PCI-DSS-v4.0)

cloudtrail-security-trail-enabled

确保至少有一 AWS CloudTrail 条使用安全最佳实践定义的跟踪。COMPLIANT如果至少有一条路径满足以下所有条件,则此规则为:
10.4.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.4.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

ec2-instance-detailed-monitoring-enabled

确保已为EC2实例启用详细监控。COMPLIANT如果未启用详细监控,则规则为 NON _。
10.4.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.4.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.4.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.4.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定EBS卷、EC2实例、Amazon RDS 集群或 S3 存储桶。规则是指定指标COMPLIANT是否有资源 ID 和 CloudWatch 警报。
10.4.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

确保已启用 AWS WAFv2规则组上的 Amazon CloudWatch 安全指标收集。COMPLIANT如果是 ',则规则是 NON _ VisibilityConfig。 CloudWatchMetricsEnabled'字段设置为 false。
10.4.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

sns-topic-message-delivery-启用通知

确保已启用 Amazon 简单通知服务 (SNS) 日志记录发送到终端节点主题的通知消息的发送状态。COMPLIANT如果未启用邮件的传送状态通知,则规则为 NON _。
10.4.1.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.4.1.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

ec2-instance-detailed-monitoring-enabled

确保已为EC2实例启用详细监控。COMPLIANT如果未启用详细监控,则规则为 NON _。
10.4.1.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.4.1.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.4.1.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.4.1.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定EBS卷、EC2实例、Amazon RDS 集群或 S3 存储桶。规则是指定指标COMPLIANT是否有资源 ID 和 CloudWatch 警报。
10.4.1.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

确保已启用 AWS WAFv2规则组上的 Amazon CloudWatch 安全指标收集。COMPLIANT如果是 ',则规则是 NON _ VisibilityConfig。 CloudWatchMetricsEnabled'字段设置为 false。
10.4.1.1 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

sns-topic-message-delivery-启用通知

确保已启用 Amazon 简单通知服务 (SNS) 日志记录发送到终端节点主题的通知消息的发送状态。COMPLIANT如果未启用邮件的传送状态通知,则规则为 NON _。
10.4.2 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.4.2 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

ec2-instance-detailed-monitoring-enabled

确保已为EC2实例启用详细监控。COMPLIANT如果未启用详细监控,则规则为 NON _。
10.4.2 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.4.2 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.4.2 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.4.2 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定EBS卷、EC2实例、Amazon RDS 集群或 S3 存储桶。规则是指定指标COMPLIANT是否有资源 ID 和 CloudWatch 警报。
10.4.2 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

确保已启用 AWS WAFv2规则组上的 Amazon CloudWatch 安全指标收集。COMPLIANT如果是 ',则规则是 NON _ VisibilityConfig。 CloudWatchMetricsEnabled'字段设置为 false。
10.4.2 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

sns-topic-message-delivery-启用通知

确保已启用 Amazon 简单通知服务 (SNS) 日志记录发送到终端节点主题的通知消息的发送状态。COMPLIANT如果未启用邮件的传送状态通知,则规则为 NON _。
10.4.3 审核日志以识别异常或可疑活动。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.5.1 审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0)

cloudtrail-security-trail-enabled

确保至少有一 AWS CloudTrail 条使用安全最佳实践定义的跟踪。COMPLIANT如果至少有一条路径满足以下所有条件,则此规则为:
10.5.1 审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0)

ec2-volume-inuse-check

确保EBS卷已连接到EC2实例。(可选)确保在实例终止时将EBS卷标记为删除。
10.5.1 审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0)

ecr-private-lifecycle-policy-已配置

确保私有 Amazon 弹性容器注册表 (ECR) 存储库至少配置了一个生命周期策略。COMPLIANT如果没有为ECR私有仓库配置生命周期策略,则规则为 NON _。
10.5.1 审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0)

dynamodb-pitr-enabled

确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。COMPLIANT如果未PITR为 DynamoDB 表启用,则规则为 NON _。
10.5.1 审计日志历史记录会被保留并可供分析。(PCI-DSS-v4.0)

cw-loggroup-retention-period-检查

确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天,或者设置为指定的保留期。如果保留期小于(COMPLIANT如果指定) MinRetentionTime,则规则为 NON _,否则为 365 天。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

确保 Amazon API Gateway V2 阶段已启用访问日志功能。COMPLIANT如果舞台配置中不存在 accessLogSettings “”,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

cloudfront-accesslogs-enabled

确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。COMPLIANT如果 CloudFront 分配未配置日志记录,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

s3-bucket-blacklisted-actions-prohibited

确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如,该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket * 操作和 s3: DeleteObject 。COMPLIANT如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

s3-bucket-policy-not-more-宽容

确保您的亚马逊简单存储服务 (S3) Simple Storage Service 存储桶策略不允许您提供的控制 Amazon S3 存储桶策略以外的其他账户间权限。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-启用导出

确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。COMPLIANT如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

ec2-instance-detailed-monitoring-enabled

确保已为EC2实例启用详细监控。COMPLIANT如果未启用详细监控,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

ecs-task-definition-log-配置

确保已 logConfiguration 在活动ECS任务定义上设置该选项。COMPLIANT如果活动ECSTaskDefinition没有定义 logConfiguration 资源或者至少一个容器定义中的值为空, logConfiguration 则此规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定EBS卷、EC2实例、Amazon RDS 集群或 S3 存储桶。规则是指定指标COMPLIANT是否有资源 ID 和 CloudWatch 警报。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

cloudtrail-enabled

注意:对于此规则,规则标识符 (CLOUD_ TRAIL _ENABLED) 和规则名称(已启用 cloudtrail)不同。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。COMPLIANT如果未启用跟踪,则规则为 NON _。或者,该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (AmazonSNS) 主题和 CloudWatch 日志组。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

注意:对于此规则,规则标识符 (MULTIREGIONCLOUD_ TRAIL _ _ENABLED) 和规则名称 (multi-region-cloudtrail-enabled) 不同。确保至少有一个多区域 AWS CloudTrail。COMPLIANT如果轨迹与输入参数不匹配,则规则为 NON _。COMPLIANT如果该 ExcludeManagementEventSources 字段不为空或者配置 AWS CloudTrail 为排除管理事件(例如事件或 Amazon RDS Data AWS KMS API 事件),则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

appsync-logging-enabled

确保启用 AWS AppSync API了日志记录。COMPLIANT如果未启用日志记录,则规则为 NON _,或者 fieldLogLevel “” ERROR 既不是ALL。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

waf-classic-logging-enabled

确保在 AWS WAF经典的全局 Web 访问控制列表 (WebACLs) 上启用日志记录。如果全球网站没有启用日志记录ACL,则规则为 NON _ COMPLIANT。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-已启用

确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

mq-cloudwatch-audit-log-已启用

确保 Amazon MQ 代理已启用 CloudWatch 审计日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

eks-cluster-logging-enabled

确保亚马逊 Elastic Kubernetes Service (EKSAmazon) 集群配置为启用日志记录。COMPLIANT如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

elastic-beanstalk-logs-to-云观察

确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch COMPLIANT如果 StreamLogs `的值为假,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

确保已启用 AWS WAFv2规则组上的 Amazon CloudWatch 安全指标收集。COMPLIANT如果是 ',则规则是 NON _ VisibilityConfig。 CloudWatchMetricsEnabled'字段设置为 false。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

sns-topic-message-delivery-启用通知

确保已启用 Amazon 简单通知服务 (SNS) 日志记录发送到终端节点主题的通知消息的发送状态。COMPLIANT如果未启用邮件的传送状态通知,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

step-functions-state-machine-启用日志功能

确保 AWS Step Functions 计算机已启用日志功能。COMPLIANT如果状态机未启用日志记录或日志配置未达到提供的最低级别,则规则为 NON _。
10.6.3 时间同步机制支持在所有系统中设置一致的时间设置。(PCI-DSS-v4.0)

netfw-logging-enabled

确保 AWS Network Firewall 防火墙已启用日志记录。COMPLIANT如果未配置日志记录类型,则规则为 NON _。您可以指定希望规则检查的日志记录类型。
10.7.1 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.7.1 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

cloudformation-stack-notification-check

确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。(可选)确保使用指定的 Amazon SNS 主题。COMPLIANT如果 CloudFormation 堆栈不发送通知,则规则为 NON _。
10.7.1 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

ec2-instance-detailed-monitoring-enabled

确保已为EC2实例启用详细监控。COMPLIANT如果未启用详细监控,则规则为 NON _。
10.7.1 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.7.1 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.7.1 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.7.1 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定EBS卷、EC2实例、Amazon RDS 集群或 S3 存储桶。规则是指定指标COMPLIANT是否有资源 ID 和 CloudWatch 警报。
10.7.1 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

确保已启用 AWS WAFv2规则组上的 Amazon CloudWatch 安全指标收集。COMPLIANT如果是 ',则规则是 NON _ VisibilityConfig。 CloudWatchMetricsEnabled'字段设置为 false。
10.7.1 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

sns-topic-message-delivery-启用通知

确保已启用 Amazon 简单通知服务 (SNS) 日志记录发送到终端节点主题的通知消息的发送状态。COMPLIANT如果未启用邮件的传送状态通知,则规则为 NON _。
10.7.2 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
10.7.2 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

cloudformation-stack-notification-check

确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。(可选)确保使用指定的 Amazon SNS 主题。COMPLIANT如果 CloudFormation 堆栈不发送通知,则规则为 NON _。
10.7.2 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

ec2-instance-detailed-monitoring-enabled

确保已为EC2实例启用详细监控。COMPLIANT如果未启用详细监控,则规则为 NON _。
10.7.2 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.7.2 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.7.2 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
10.7.2 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定EBS卷、EC2实例、Amazon RDS 集群或 S3 存储桶。规则是指定指标COMPLIANT是否有资源 ID 和 CloudWatch 警报。
10.7.2 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

确保已启用 AWS WAFv2规则组上的 Amazon CloudWatch 安全指标收集。COMPLIANT如果是 ',则规则是 NON _ VisibilityConfig。 CloudWatchMetricsEnabled'字段设置为 false。
10.7.2 对关键安全控制系统的故障进行检测、报告和及时响应。(PCI-DSS-v4.0)

sns-topic-message-delivery-启用通知

确保已启用 Amazon 简单通知服务 (SNS) 日志记录发送到终端节点主题的通知消息的发送状态。COMPLIANT如果未启用邮件的传送状态通知,则规则为 NON _。
11.5.2 网络入侵和意外文件更改会被检测并作出响应。(PCI-DSS-v4.0)

cloudformation-stack-notification-check

确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。(可选)确保使用指定的 Amazon SNS 主题。COMPLIANT如果 CloudFormation 堆栈不发送通知,则规则为 NON _。
11.5.2 网络入侵和意外文件更改会被检测并作出响应。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
11.5.2 网络入侵和意外文件更改会被检测并作出响应。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
11.5.2 网络入侵和意外文件更改会被检测并作出响应。(PCI-DSS-v4.0)

cloudwatch-alarm-settings-check

确保具有给定指标名称的 CloudWatch 警报具有指定的设置。
11.5.2 网络入侵和意外文件更改会被检测并作出响应。(PCI-DSS-v4.0)

sns-topic-message-delivery-启用通知

确保已启用 Amazon 简单通知服务 (SNS) 日志记录发送到终端节点主题的通知消息的发送状态。COMPLIANT如果未启用邮件的传送状态通知,则规则为 NON _。
11.6.1 系统会检测到付款页面上未经授权的更改并做出响应。(PCI-DSS-v4.0)

cloudformation-stack-notification-check

确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。(可选)确保使用指定的 Amazon SNS 主题。COMPLIANT如果 CloudFormation 堆栈不发送通知,则规则为 NON _。
11.6.1 系统会检测到付款页面上未经授权的更改并做出响应。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
11.6.1 系统会检测到付款页面上未经授权的更改并做出响应。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
11.6.1 系统会检测到付款页面上未经授权的更改并做出响应。(PCI-DSS-v4.0)

cloudwatch-alarm-settings-check

确保具有给定指标名称的 CloudWatch 警报具有指定的设置。
11.6.1 系统会检测到付款页面上未经授权的更改并做出响应。(PCI-DSS-v4.0)

sns-topic-message-delivery-启用通知

确保已启用 Amazon 简单通知服务 (SNS) 日志记录发送到终端节点主题的通知消息的发送状态。COMPLIANT如果未启用邮件的传送状态通知,则规则为 NON _。
12.10.5 对于可能影响他们的疑似和已确认的安全事件CDE,将立即作出回应。(PCI-DSS-v4.0)

cloudformation-stack-notification-check

确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。(可选)确保使用指定的 Amazon SNS 主题。COMPLIANT如果 CloudFormation 堆栈不发送通知,则规则为 NON _。
12.10.5 对于可能影响他们的疑似和已确认的安全事件CDE,将立即作出回应。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
12.10.5 对于可能影响他们的疑似和已确认的安全事件CDE,将立即作出回应。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
12.10.5 对于可能影响他们的疑似和已确认的安全事件CDE,将立即作出回应。(PCI-DSS-v4.0)

cloudwatch-alarm-settings-check

确保具有给定指标名称的 CloudWatch 警报具有指定的设置。
12.10.5 对于可能影响他们的疑似和已确认的安全事件CDE,将立即作出回应。(PCI-DSS-v4.0)

sns-topic-message-delivery-启用通知

确保已启用 Amazon 简单通知服务 (SNS) 日志记录发送到终端节点主题的通知消息的发送状态。COMPLIANT如果未启用邮件的传送状态通知,则规则为 NON _。
12.4.2.1 PCIDSS合规性得到管理。(PCI-DSS-v4.0)

service-catalog-shared-within-组织

在启用与 Organizations 的集成后,确保 S AWS ervice Catalog 与 AWS 组织共享投资组合(一组被视为单个单元的 AWS 账户)。COMPLIANT如果共享的 “类型” 值为 `,则规则为 NON _。ACCOUNT
2.2.5 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

cloudfront-security-policy-check

确保 Amazon CloudFront 发行版使用最低安全策略和 TLSv1 2.2 或更高版本的密码套件进行查看者连接。如果 CloudFront 分布低于 TLSv1 .2 NON _ COMPLIANT 2018,则此规则 minimumProtocolVersion 为 _。
2.2.5 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

cloudfront-sni-enabled

确保 Amazon CloudFront 分配使用自定义SSL证书,并配置SNI为用于HTTPS处理请求。COMPLIANT如果关联了自定义SSL证书,但SSL支持方法是专用 IP 地址,则规则为 NON _。
2.2.5 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

transfer-family-server-no-ftp

确保使用 Transfer F AWS amily 创建的服务器不FTP用于端点连接。COMPLIANT如果端点连接的服务器协议FTP已启用,则规则为 NON _。
2.2.5 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

cloudfront-no-deprecated-ssl-协议

确保 CloudFront 分发版本不使用已弃用的SSL协议在 CloudFront 边缘站点和自定义源站之间进行HTTPS通信。如果有 “包含 OriginSslProtocolsSSLv3” CloudFront ,则此规则COMPLIANT为 NON _。
2.2.5 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

cloudfront-traffic-to-origin-已加密

确保 Amazon CloudFront 分配正在加密流向自定义来源的流量。COMPLIANT如果''是'仅限'http'或者'是'm OriginProtocolPolicy atch-viewer'而'是'allow-all',则OriginProtocolPolicy规则是 NON _。ViewerProtocolPolicy
2.2.5 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

cloudfront-viewer-policy-https

确保您的 Amazon CloudFront 分销使用HTTPS(直接或通过重定向)。COMPLIANT如果将 DefaultCacheBehavior 或的值设置 ViewerProtocolPolicy 为 “allow-all”,则规则为 NON _。 CacheBehaviors
2.2.7 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

dms-redis-tls-enabled

确保启用 Redis 数据存储的 Dat AWS abase Migration Service (AWS DMS) 端点,以便对与其他端点通信的数据进行TLS/SSL加密。COMPLIANT如果未启用TLS/SSL加密,则规则为 NON _。
2.2.7 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

cloudfront-no-deprecated-ssl-协议

确保 CloudFront 分发版本不使用已弃用的SSL协议在 CloudFront 边缘站点和自定义源站之间进行HTTPS通信。如果有 “包含 OriginSslProtocolsSSLv3” CloudFront ,则此规则COMPLIANT为 NON _。
2.2.7 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

cloudfront-traffic-to-origin-已加密

确保 Amazon CloudFront 分配正在加密流向自定义来源的流量。COMPLIANT如果''是'仅限'http'或者'是'm OriginProtocolPolicy atch-viewer'而'是'allow-all',则OriginProtocolPolicy规则是 NON _。ViewerProtocolPolicy
2.2.7 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

cloudfront-viewer-policy-https

确保您的 Amazon CloudFront 分销使用HTTPS(直接或通过重定向)。COMPLIANT如果将 DefaultCacheBehavior 或的值设置 ViewerProtocolPolicy 为 “allow-all”,则规则为 NON _。 CacheBehaviors
2.2.7 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
2.2.7 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

dax-tls-endpoint-encryption

确保您的亚马逊 DynamoDB 加速器 DAX () 集群 ClusterEndpointEncryptionType 已设置为。TLSCOMPLIANT如果DAX集群未通过传输层安全 (TLS) 加密,则规则为 NON _。
2.2.7 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

msk-in-cluster-node-需要-tls

确保 Amazon MSK 集群对集群的代理节点使用 HTTPS (TLS) 在传输中强制加密。COMPLIANT如果为集群内代理节点连接启用了纯文本通信,则规则为 NON _。
2.2.7 系统组件的配置和管理是安全的。(PCI-DSS-v4.0)

dms-endpoint-ssl-configured

确保 AWS Database Migration Service (AWS DMS) 端点已配置SSL连接。COMPLIANT如果 AWS DMS未配置SSL连接,则规则为 NON _。
3.2.1 账户数据的存储量保持在最低限度。(PCI-DSS-v4.0)

ec2-volume-inuse-check

确保EBS卷已连接到EC2实例。(可选)确保在实例终止时将EBS卷标记为删除。
3.2.1 账户数据的存储量保持在最低限度。(PCI-DSS-v4.0)

ecr-private-lifecycle-policy-已配置

确保私有 Amazon 弹性容器注册表 (ECR) 存储库至少配置了一个生命周期策略。COMPLIANT如果没有为ECR私有仓库配置生命周期策略,则规则为 NON _。
3.2.1 账户数据的存储量保持在最低限度。(PCI-DSS-v4.0)

dynamodb-pitr-enabled

确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。COMPLIANT如果未PITR为 DynamoDB 表启用,则规则为 NON _。
3.2.1 账户数据的存储量保持在最低限度。(PCI-DSS-v4.0)

cw-loggroup-retention-period-检查

确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天,或者设置为指定的保留期。如果保留期小于(COMPLIANT如果指定) MinRetentionTime,则规则为 NON _,否则为 365 天。
3.3.1.1 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

ec2-volume-inuse-check

确保EBS卷已连接到EC2实例。(可选)确保在实例终止时将EBS卷标记为删除。
3.3.1.1 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

ecr-private-lifecycle-policy-已配置

确保私有 Amazon 弹性容器注册表 (ECR) 存储库至少配置了一个生命周期策略。COMPLIANT如果没有为ECR私有仓库配置生命周期策略,则规则为 NON _。
3.3.1.1 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

dynamodb-pitr-enabled

确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。COMPLIANT如果未PITR为 DynamoDB 表启用,则规则为 NON _。
3.3.1.1 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

cw-loggroup-retention-period-检查

确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天,或者设置为指定的保留期。如果保留期小于(COMPLIANT如果指定) MinRetentionTime,则规则为 NON _,否则为 365 天。
3.3.1.3 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

ec2-volume-inuse-check

确保EBS卷已连接到EC2实例。(可选)确保在实例终止时将EBS卷标记为删除。
3.3.1.3 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

ecr-private-lifecycle-policy-已配置

确保私有 Amazon 弹性容器注册表 (ECR) 存储库至少配置了一个生命周期策略。COMPLIANT如果没有为ECR私有仓库配置生命周期策略,则规则为 NON _。
3.3.1.3 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

dynamodb-pitr-enabled

确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。COMPLIANT如果未PITR为 DynamoDB 表启用,则规则为 NON _。
3.3.1.3 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

cw-loggroup-retention-period-检查

确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天,或者设置为指定的保留期。如果保留期小于(COMPLIANT如果指定) MinRetentionTime,则规则为 NON _,否则为 365 天。
3.3.2 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

ec2-volume-inuse-check

确保EBS卷已连接到EC2实例。(可选)确保在实例终止时将EBS卷标记为删除。
3.3.2 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

ecr-private-lifecycle-policy-已配置

确保私有 Amazon 弹性容器注册表 (ECR) 存储库至少配置了一个生命周期策略。COMPLIANT如果没有为ECR私有仓库配置生命周期策略,则规则为 NON _。
3.3.2 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

dynamodb-pitr-enabled

确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。COMPLIANT如果未PITR为 DynamoDB 表启用,则规则为 NON _。
3.3.2 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

cw-loggroup-retention-period-检查

确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天,或者设置为指定的保留期。如果保留期小于(COMPLIANT如果指定) MinRetentionTime,则规则为 NON _,否则为 365 天。
3.3.3 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

ec2-volume-inuse-check

确保EBS卷已连接到EC2实例。(可选)确保在实例终止时将EBS卷标记为删除。
3.3.3 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

ecr-private-lifecycle-policy-已配置

确保私有 Amazon 弹性容器注册表 (ECR) 存储库至少配置了一个生命周期策略。COMPLIANT如果没有为ECR私有仓库配置生命周期策略,则规则为 NON _。
3.3.3 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

dynamodb-pitr-enabled

确保为亚马逊 DynamoDB 表启用 point-in-time恢复 (PITR)。COMPLIANT如果未PITR为 DynamoDB 表启用,则规则为 NON _。
3.3.3 授权后不会存储敏感的身份验证数据 (SAD)。(PCI-DSS-v4.0)

cw-loggroup-retention-period-检查

确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天,或者设置为指定的保留期。如果保留期小于(COMPLIANT如果指定) MinRetentionTime,则规则为 NON _,否则为 365 天。
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

athena-workgroup-encrypted-at-休息

确保 Amazon Athena 工作组处于静态加密状态。COMPLIANT如果未为 Athena 工作组启用静态数据加密,则规则为 NON _。
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

neptune-cluster-snapshot-encrypted

确保 Amazon Neptune 数据库集群的快照已加密。COMPLIANT如果 Neptune 集群没有加密快照,则规则为 NON _。
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

redshift-cluster-kms-enabled

确保 Amazon Redshift 集群使用指定的 AWS 密钥管理服务 (AWS KMS) 密钥进行加密。规则是COMPLIANT是否启用了加密并且使用 kmsKeyArn 参数中提供的密钥对集群进行加密。COMPLIANT如果集群未使用其他密钥加密或加密,则规则为 NON _。
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

codebuild-project-artifact-encryption

确保 AWS CodeBuild 项目的所有工件都启用了加密。如果将任何主对象或辅助构件(COMPLIANT如果存在)配置的 “” 设置为 “true”,则规则为 NON _。encryptionDisabled
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

codebuild-project-s3 个日志加密

确保使用 Amazon S3 日志配置的 AWS CodeBuild 项目已为其日志启用加密。COMPLIANT如果在项目的 S3 LogsConfig 中将 “encryptionDisabled” 设置为 “true”,则规则为 NON _。 CodeBuild
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

dax-encryption-enabled

确保 Amazon DynamoDB 加速器 DAX () 集群已加密。COMPLIANT如果DAX集群未加密,则规则为 NON _。
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

eks-secrets-encrypted

确保将 Amazon Elastic Kubernetes Service 集群配置为使用密钥管理服务 () 密钥加密 Kubernetes 密钥。 AWS KMS
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

api-gw-cache-enabled并已加密

确保 Amazon API Gateway 阶段的所有方法都启用了缓存并加密了缓存。COMPLIANT如果 Amazon API Gateway 阶段的任何方法未配置为缓存或缓存未加密,则规则为 NON _。
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

docdb-cluster-encrypted

确保您的亚马逊文档数据库(兼容 MongoDB)集群启用存储加密。COMPLIANT如果未启用存储加密,则规则为 NON _。
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

dynamodb-table-encrypted-kms

确保 AWS 使用密钥管理服务 () 对 Amazon DynamoDB 表进行加密。KMSCOMPLIANT如果 Amazon DynamoDB 表未使用加密,则规则为 NON _。 AWS KMSCOMPLIANT如果 kmsKeyArns 输入参数中不存在加密 AWS KMS密钥,则规则也是 NON _。
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

dynamodb-table-encryption-enabled

确保 Amazon DynamoDB 表已加密并检查其状态。规则是状态是COMPLIANT启用还是启用。
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

codebuild-project-envvar-awscred-检查

确保项目DOESNOT包含环境变量 AWS_ACCESS _ KEY _ID 和 AWS_SECRET ACCESS _ KEY。当项目环境变量包含纯文本凭证COMPLIANT时,规则为 NON _。
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

eks-cluster-secrets-encrypted

确保未将 Amazon EKS 集群配置为使用加密 Kubernetes 密钥。 AWS KMSCOMPLIANT如果EKS集群没有 encryptionConfig 资源或者没有将机密命名为资源,则 encryptionConfig 规则为 NON _。
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

kinesis-stream-encrypted

确保使用服务器端加密对 Amazon Kinesis 直播进行静态加密。如果 “” StreamEncryption 不COMPLIANT存在,则 Kinesis 直播的规则是 NON _。
3.5.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

neptune-cluster-encrypted

确保已为您的 Amazon Neptune 数据库集群启用存储加密。COMPLIANT如果未启用存储加密,则规则为 NON _。
3.5.1.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

acm-pca-root-ca-已禁用

确保 AWS 私有证书颁发机构(AWS 私有 CA)的根 CA 已禁用。COMPLIANT对于状态不是 root 的 CAs root,规则是 NON _ DISABLED。
3.5.1.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
3.5.1.1 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
3.5.1.3 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

acm-pca-root-ca-已禁用

确保 AWS 私有证书颁发机构(AWS 私有 CA)的根 CA 已禁用。COMPLIANT对于状态不是 root 的 CAs root,规则是 NON _ DISABLED。
3.5.1.3 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
3.5.1.3 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

neptune-cluster-snapshot-public-禁止

确保 Amazon Neptune 手动数据库集群快照不是公开的。COMPLIANT如果有任何现有和新的 Neptune 集群快照是公开的,则规则为 NON _。
3.5.1.3 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

docdb-cluster-snapshot-public-禁止

确保 Amazon DocumentDB 手动集群快照不是公开的。COMPLIANT如果有任何 Amazon DocumentDB 手动集群快照是公开的,则规则为 NON _。
3.5.1.3 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

backup-recovery-point-manual-删除-禁用

确保备份存储库附有基于资源的策略,以防止删除恢复点。COMPLIANT如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句(带有 backup: DeleteRecoveryPoint、backup: 和 backup: PutBackupVaultAccessPolicy 权限的语句)UpdateRecoveryPointLifecycle,则规则为 NON _。
3.5.1.3 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
3.5.1.3 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

emr-block-public-access

确保 Amazon 账户EMR已启用封锁公开访问设置。COMPLIANT如果为 false,则规则 BlockPublicSecurityGroupRules 为 NON _,如果为 true,则列出端口 22 以外的端口 PermittedPublicSecurityGroupRuleRanges。
3.5.1.3 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

s3 access-point-public-access-方块

确保 Amazon S3 接入点已启用封锁公共访问设置。COMPLIANT如果未为 S3 接入点启用阻止公共访问设置,则规则为 NON _。
3.5.1.3 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

s3-account-level-public-access-blocks

确保所需的公共访问屏蔽设置是从账户级别配置的。只有COMPLIANT当下面设置的字段与配置项目中的相应字段不匹配时,规则才是 NON _。
3.5.1.3 无论主账号 (PAN) 存储在何处,都受到保护。(PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

确保在亚马逊简单存储服务 (Amazon S3) Simple Storage Service 存储桶版本控制配置中启用MFA删除。COMPLIANT如果未启用 MFA “删除”,则规则为 NON _。
3.6.1 用于保护存储的账户数据的加密密钥是安全的。(PCI-DSS-v4.0)

acm-pca-root-ca-已禁用

确保 AWS 私有证书颁发机构(AWS 私有 CA)的根 CA 已禁用。COMPLIANT对于状态不是 root 的 CAs root,规则是 NON _ DISABLED。
3.6.1 用于保护存储的账户数据的加密密钥是安全的。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
3.6.1 用于保护存储的账户数据的加密密钥是安全的。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
3.6.1.2 用于保护存储的账户数据的加密密钥是安全的。(PCI-DSS-v4.0)

acm-pca-root-ca-已禁用

确保 AWS 私有证书颁发机构(AWS 私有 CA)的根 CA 已禁用。COMPLIANT对于状态不是 root 的 CAs root,规则是 NON _ DISABLED。
3.6.1.2 用于保护存储的账户数据的加密密钥是安全的。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
3.6.1.2 用于保护存储的账户数据的加密密钥是安全的。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
3.6.1.3 用于保护存储的账户数据的加密密钥是安全的。(PCI-DSS-v4.0)

acm-pca-root-ca-已禁用

确保 AWS 私有证书颁发机构(AWS 私有 CA)的根 CA 已禁用。COMPLIANT对于状态不是 root 的 CAs root,规则是 NON _ DISABLED。
3.6.1.3 用于保护存储的账户数据的加密密钥是安全的。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
3.6.1.3 用于保护存储的账户数据的加密密钥是安全的。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
3.6.1.4 用于保护存储的账户数据的加密密钥是安全的。(PCI-DSS-v4.0)

acm-pca-root-ca-已禁用

确保 AWS 私有证书颁发机构(AWS 私有 CA)的根 CA 已禁用。COMPLIANT对于状态不是 root 的 CAs root,规则是 NON _ DISABLED。
3.6.1.4 用于保护存储的账户数据的加密密钥是安全的。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
3.6.1.4 用于保护存储的账户数据的加密密钥是安全的。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
3.7.1 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

acm-certificate-rsa-check

确保RSA由 Certificate Manager (ACM) 管理的 AWS 证书的密钥长度至少为 '2048' 位。COMPLIANT如果最小密钥长度小于 2048 位,则规则为 NON _。
3.7.1 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

acm-pca-root-ca-已禁用

确保 AWS 私有证书颁发机构(AWS 私有 CA)的根 CA 已禁用。COMPLIANT对于状态不是 root 的 CAs root,规则是 NON _ DISABLED。
3.7.1 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
3.7.1 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
3.7.2 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

acm-pca-root-ca-已禁用

确保 AWS 私有证书颁发机构(AWS 私有 CA)的根 CA 已禁用。COMPLIANT对于状态不是 root 的 CAs root,规则是 NON _ DISABLED。
3.7.2 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
3.7.2 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
3.7.4 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

acm-pca-root-ca-已禁用

确保 AWS 私有证书颁发机构(AWS 私有 CA)的根 CA 已禁用。COMPLIANT对于状态不是 root 的 CAs root,规则是 NON _ DISABLED。
3.7.4 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
3.7.4 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
3.7.6 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

acm-pca-root-ca-已禁用

确保 AWS 私有证书颁发机构(AWS 私有 CA)的根 CA 已禁用。COMPLIANT对于状态不是 root 的 CAs root,规则是 NON _ DISABLED。
3.7.6 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
3.7.6 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
3.7.7 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

acm-pca-root-ca-已禁用

确保 AWS 私有证书颁发机构(AWS 私有 CA)的根 CA 已禁用。COMPLIANT对于状态不是 root 的 CAs root,规则是 NON _ DISABLED。
3.7.7 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
3.7.7 在使用密码学来保护存储的账户数据的地方,定义并实施了涵盖密钥生命周期各个方面的密钥管理流程和程序。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
4.2.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

dms-redis-tls-enabled

确保启用 Redis 数据存储的 Dat AWS abase Migration Service (AWS DMS) 端点,以便对与其他端点通信的数据进行TLS/SSL加密。COMPLIANT如果未启用TLS/SSL加密,则规则为 NON _。
4.2.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

cloudfront-no-deprecated-ssl-协议

确保 CloudFront 分发版本不使用已弃用的SSL协议在 CloudFront 边缘站点和自定义源站之间进行HTTPS通信。如果有 “包含 OriginSslProtocolsSSLv3” CloudFront ,则此规则COMPLIANT为 NON _。
4.2.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

cloudfront-traffic-to-origin-已加密

确保 Amazon CloudFront 分配正在加密流向自定义来源的流量。COMPLIANT如果''是'仅限'http'或者'是'm OriginProtocolPolicy atch-viewer'而'是'allow-all',则OriginProtocolPolicy规则是 NON _。ViewerProtocolPolicy
4.2.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

cloudfront-viewer-policy-https

确保您的 Amazon CloudFront 分销使用HTTPS(直接或通过重定向)。COMPLIANT如果将 DefaultCacheBehavior 或的值设置 ViewerProtocolPolicy 为 “allow-all”,则规则为 NON _。 CacheBehaviors
4.2.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
4.2.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

dax-tls-endpoint-encryption

确保您的亚马逊 DynamoDB 加速器 DAX () 集群 ClusterEndpointEncryptionType 已设置为。TLSCOMPLIANT如果DAX集群未通过传输层安全 (TLS) 加密,则规则为 NON _。
4.2.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

msk-in-cluster-node-需要-tls

确保 Amazon MSK 集群对集群的代理节点使用 HTTPS (TLS) 在传输中强制加密。COMPLIANT如果为集群内代理节点连接启用了纯文本通信,则规则为 NON _。
4.2.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

dms-endpoint-ssl-configured

确保 AWS Database Migration Service (AWS DMS) 端点已配置SSL连接。COMPLIANT如果 AWS DMS未配置SSL连接,则规则为 NON _。
4.2.1.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

acm-pca-root-ca-已禁用

确保 AWS 私有证书颁发机构(AWS 私有 CA)的根 CA 已禁用。COMPLIANT对于状态不是 root 的 CAs root,规则是 NON _ DISABLED。
4.2.1.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
4.2.1.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

dms-redis-tls-enabled

确保启用 Redis 数据存储的 Dat AWS abase Migration Service (AWS DMS) 端点,以便对与其他端点通信的数据进行TLS/SSL加密。COMPLIANT如果未启用TLS/SSL加密,则规则为 NON _。
4.2.1.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

cloudfront-no-deprecated-ssl-协议

确保 CloudFront 分发版本不使用已弃用的SSL协议在 CloudFront 边缘站点和自定义源站之间进行HTTPS通信。如果有 “包含 OriginSslProtocolsSSLv3” CloudFront ,则此规则COMPLIANT为 NON _。
4.2.1.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

cloudfront-traffic-to-origin-已加密

确保 Amazon CloudFront 分配正在加密流向自定义来源的流量。COMPLIANT如果''是'仅限'http'或者'是'm OriginProtocolPolicy atch-viewer'而'是'allow-all',则OriginProtocolPolicy规则是 NON _。ViewerProtocolPolicy
4.2.1.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

cloudfront-viewer-policy-https

确保您的 Amazon CloudFront 分销使用HTTPS(直接或通过重定向)。COMPLIANT如果将 DefaultCacheBehavior 或的值设置 ViewerProtocolPolicy 为 “allow-all”,则规则为 NON _。 CacheBehaviors
4.2.1.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
4.2.1.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

dax-tls-endpoint-encryption

确保您的亚马逊 DynamoDB 加速器 DAX () 集群 ClusterEndpointEncryptionType 已设置为。TLSCOMPLIANT如果DAX集群未通过传输层安全 (TLS) 加密,则规则为 NON _。
4.2.1.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

msk-in-cluster-node-需要-tls

确保 Amazon MSK 集群对集群的代理节点使用 HTTPS (TLS) 在传输中强制加密。COMPLIANT如果为集群内代理节点连接启用了纯文本通信,则规则为 NON _。
4.2.1.1 PAN在传输过程中受到强密码学的保护。(PCI-DSS-v4.0)

dms-endpoint-ssl-configured

确保 AWS Database Migration Service (AWS DMS) 端点已配置SSL连接。COMPLIANT如果 AWS DMS未配置SSL连接,则规则为 NON _。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

确保 Amazon API Gateway V2 阶段已启用访问日志功能。COMPLIANT如果舞台配置中不存在 accessLogSettings “”,则规则为 NON _。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

cloudfront-accesslogs-enabled

确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。COMPLIANT如果 CloudFront 分配未配置日志记录,则规则为 NON _。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

cloudtrail-security-trail-enabled

确保至少有一 AWS CloudTrail 条使用安全最佳实践定义的跟踪。COMPLIANT如果至少有一条路径满足以下所有条件,则此规则为:
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-启用导出

确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。COMPLIANT如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能,则规则为 NON _。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

ecs-task-definition-log-配置

确保已 logConfiguration 在活动ECS任务定义上设置该选项。COMPLIANT如果活动ECSTaskDefinition没有定义 logConfiguration 资源或者至少一个容器定义中的值为空, logConfiguration 则此规则为 NON _。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

cloudtrail-enabled

注意:对于此规则,规则标识符 (CLOUD_ TRAIL _ENABLED) 和规则名称(已启用 cloudtrail)不同。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。COMPLIANT如果未启用跟踪,则规则为 NON _。或者,该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (AmazonSNS) 主题和 CloudWatch 日志组。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

注意:对于此规则,规则标识符 (MULTIREGIONCLOUD_ TRAIL _ _ENABLED) 和规则名称 (multi-region-cloudtrail-enabled) 不同。确保至少有一个多区域 AWS CloudTrail。COMPLIANT如果轨迹与输入参数不匹配,则规则为 NON _。COMPLIANT如果该 ExcludeManagementEventSources 字段不为空或者配置 AWS CloudTrail 为排除管理事件(例如事件或 Amazon RDS Data AWS KMS API 事件),则规则为 NON _。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

appsync-logging-enabled

确保启用 AWS AppSync API了日志记录。COMPLIANT如果未启用日志记录,则规则为 NON _,或者 fieldLogLevel “” ERROR 既不是ALL。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

waf-classic-logging-enabled

确保在 AWS WAF经典的全局 Web 访问控制列表 (WebACLs) 上启用日志记录。如果全球网站没有启用日志记录ACL,则规则为 NON _ COMPLIANT。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-已启用

确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

mq-cloudwatch-audit-log-已启用

确保 Amazon MQ 代理已启用 CloudWatch 审计日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

eks-cluster-logging-enabled

确保亚马逊 Elastic Kubernetes Service (EKSAmazon) 集群配置为启用日志记录。COMPLIANT如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则规则为 NON _。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

elastic-beanstalk-logs-to-云观察

确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch COMPLIANT如果 StreamLogs `的值为假,则规则为 NON _。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

step-functions-state-machine-启用日志功能

确保 AWS Step Functions 计算机已启用日志功能。COMPLIANT如果状态机未启用日志记录或日志配置未达到提供的最低级别,则规则为 NON _。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

netfw-logging-enabled

确保 AWS Network Firewall 防火墙已启用日志记录。COMPLIANT如果未配置日志记录类型,则规则为 NON _。您可以指定希望规则检查的日志记录类型。
5.3.4 反恶意软件机制和进程处于活动状态、维护和监控状态。(PCI-DSS-v4.0)

cw-loggroup-retention-period-检查

确保将 Amazon CloudWatch LogGroup 保留期设置为大于 365 天,或者设置为指定的保留期。如果保留期小于(COMPLIANT如果指定) MinRetentionTime,则规则为 NON _,否则为 365 天。
6.3.3 识别并解决了安全漏洞。(PCI-DSS-v4.0)

lambda-function-settings-check

确保运行时间、角色、超时和内存大小的 AWS Lambda 函数设置与预期值相匹配。该规则忽略包类型为 “Image” 的函数和运行时设置为 “仅限操作系统的运行时” 的函数。COMPLIANT如果 Lambda 函数设置与预期值不匹配,则规则为 NON _。
6.3.3 识别并解决了安全漏洞。(PCI-DSS-v4.0)

eks-cluster-oldest-supported-版本

确保 Amazon Elastic Kubernetes Service EKS () 集群未运行支持的最旧版本。COMPLIANT如果EKS集群运行的是支持的最旧版本(等于参数 “oldestVersionSupported”),则规则为 NON _。
6.4.1 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

cloudfront-associated-with-waf

确保 Amazon CloudFront 分配与 Web 应用程序防火墙 (WAF) 或WAFv2网络访问控制列表 (ACLs) 关联。COMPLIANT如果 CloudFront 分配未与 WAF Web 关联,则规则为 NON _ ACL。
6.4.1 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

appsync-associated-with-waf

确保 AWS AppSync APIs与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。 AWS AppSync API如果它与网站没有关联,则规则为 NON _ COMPLIANT ACL。
6.4.1 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

wafv2-webacl-not-empty

确保 WAFv2 Web ACL 包含任何WAF规则或WAF规则组。COMPLIANT如果 Web ACL 不包含任何WAF规则或WAF规则组,则此规则为 NON _。
6.4.1 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

wafv2-rulegroup-not-empty

确保WAFv2规则组包含规则。COMPLIANT如果规则组中没有规则,则WAFv2规则为 NON _。
6.4.1 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

waf-global-webacl-not-空

确保全WAF球 Web ACL 包含一些WAF规则或规则组。COMPLIANT如果 Web ACL 不包含任何WAF规则或规则组,则此规则为 NON _。
6.4.1 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

waf-global-rulegroup-not-空

确保 AWS WAF经典规则组包含一些规则。COMPLIANT如果规则组中没有规则,则规则为 NON _。
6.4.1 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

waf-global-rulegroup-not-空

确保 AWS WAF经典规则组包含一些规则。COMPLIANT如果规则组中没有规则,则规则为 NON _。
6.4.1 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

waf-global-rule-not-空

确保 AWS WAF全局规则包含某些条件。COMPLIANT如果WAF全局规则中不存在任何条件,则规则为 NON _。
6.4.2 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

cloudfront-associated-with-waf

确保 Amazon CloudFront 分配与 Web 应用程序防火墙 (WAF) 或WAFv2网络访问控制列表 (ACLs) 关联。COMPLIANT如果 CloudFront 分配未与 WAF Web 关联,则规则为 NON _ ACL。
6.4.2 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

appsync-associated-with-waf

确保 AWS AppSync APIs与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。 AWS AppSync API如果它与网站没有关联,则规则为 NON _ COMPLIANT ACL。
6.4.2 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

wafv2-webacl-not-empty

确保 WAFv2 Web ACL 包含任何WAF规则或WAF规则组。COMPLIANT如果 Web ACL 不包含任何WAF规则或WAF规则组,则此规则为 NON _。
6.4.2 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

wafv2-rulegroup-not-empty

确保WAFv2规则组包含规则。COMPLIANT如果规则组中没有规则,则WAFv2规则为 NON _。
6.4.2 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

waf-global-webacl-not-空

确保全WAF球 Web ACL 包含一些WAF规则或规则组。COMPLIANT如果 Web ACL 不包含任何WAF规则或规则组,则此规则为 NON _。
6.4.2 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

waf-global-rulegroup-not-空

确保 AWS WAF经典规则组包含一些规则。COMPLIANT如果规则组中没有规则,则规则为 NON _。
6.4.2 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

waf-global-rulegroup-not-空

确保 AWS WAF经典规则组包含一些规则。COMPLIANT如果规则组中没有规则,则规则为 NON _。
6.4.2 面向公众的 Web 应用程序受到保护,免受攻击。(PCI-DSS-v4.0)

waf-global-rule-not-空

确保 AWS WAF全局规则包含某些条件。COMPLIANT如果WAF全局规则中不存在任何条件,则规则为 NON _。
6.5.5 所有系统组件的更改都将得到安全管理。(PCI-DSS-v4.0)

codedeploy-lambda-allatonce-traffic-shift-禁用

确保 Lambda 计算平台的部署组未使用默认部署配置。COMPLIANT如果部署组使用部署配置,则规则为 NON _ CodeDeployDefault。 LambdaAllAtOnce'。
6.5.5 所有系统组件的更改都将得到安全管理。(PCI-DSS-v4.0)

codepipeline-deployment-count-check

确保的第一个部署阶段至少 AWS CodePipeline 执行一次部署。这是为了监控持续的部署活动,确保定期更新,并识别不活跃或未充分利用的管道,这可能表明开发或部署过程中存在问题。(可选)确保后续每个剩余阶段的部署次数都超过指定的部署数量(deploymentLimit)。
6.5.6 所有系统组件的更改都将得到安全管理。(PCI-DSS-v4.0)

codedeploy-lambda-allatonce-traffic-shift-禁用

确保 Lambda 计算平台的部署组未使用默认部署配置。COMPLIANT如果部署组使用部署配置,则规则为 NON _ CodeDeployDefault。 LambdaAllAtOnce'。
6.5.6 所有系统组件的更改都将得到安全管理。(PCI-DSS-v4.0)

codepipeline-deployment-count-check

确保的第一个部署阶段至少 AWS CodePipeline 执行一次部署。这是为了监控持续的部署活动,确保定期更新,并识别不活跃或未充分利用的管道,这可能表明开发或部署过程中存在问题。(可选)确保后续每个剩余阶段的部署次数都超过指定的部署数量(deploymentLimit)。
7.2.1 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

s3-bucket-blacklisted-actions-prohibited

确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如,该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket * 操作和 s3: DeleteObject 。COMPLIANT如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则规则为 NON _。
7.2.1 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

s3-bucket-policy-not-more-宽容

确保您的亚马逊简单存储服务 (S3) Simple Storage Service 存储桶策略不允许您提供的控制 Amazon S3 存储桶策略以外的其他账户间权限。
7.2.1 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

shield-drt-access

确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。COMPLIANT如果启用了 AWS Shield Advanced 但未配置SRT访问角色,则规则为 NON _。
7.2.1 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
7.2.1 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

neptune-cluster-iam-database-认证

确保 Amazon Neptune 集群 AWS 启用了身份和访问管理 (IAM) 数据库身份验证。COMPLIANT如果 Amazon Neptune 集群未启用IAM数据库身份验证,则规则为 NON _。
7.2.1 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

rds-cluster-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 集群启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 集群未启用IAM身份验证,则规则为 NON _。
7.2.1 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

ec2-instance-profile-attached

确保EC2实例附有 Id AWS entity and Access Management (IAM) 配置文件。COMPLIANT如果没有将IAM配置文件附加到EC2实例,则规则为 NON _。
7.2.1 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

backup-recovery-point-manual-删除-禁用

确保备份存储库附有基于资源的策略,以防止删除恢复点。COMPLIANT如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句(带有 backup: DeleteRecoveryPoint、backup: 和 backup: PutBackupVaultAccessPolicy 权限的语句)UpdateRecoveryPointLifecycle,则规则为 NON _。
7.2.1 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

rds-instance-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 实例启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 实例未启用IAM身份验证,则规则为 NON _。
7.2.2 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

s3-bucket-blacklisted-actions-prohibited

确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如,该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket * 操作和 s3: DeleteObject 。COMPLIANT如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则规则为 NON _。
7.2.2 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

s3-bucket-policy-not-more-宽容

确保您的亚马逊简单存储服务 (S3) Simple Storage Service 存储桶策略不允许您提供的控制 Amazon S3 存储桶策略以外的其他账户间权限。
7.2.2 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

shield-drt-access

确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。COMPLIANT如果启用了 AWS Shield Advanced 但未配置SRT访问角色,则规则为 NON _。
7.2.2 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
7.2.2 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

neptune-cluster-iam-database-认证

确保 Amazon Neptune 集群 AWS 启用了身份和访问管理 (IAM) 数据库身份验证。COMPLIANT如果 Amazon Neptune 集群未启用IAM数据库身份验证,则规则为 NON _。
7.2.2 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

rds-cluster-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 集群启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 集群未启用IAM身份验证,则规则为 NON _。
7.2.2 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

ec2-instance-profile-attached

确保EC2实例附有 Id AWS entity and Access Management (IAM) 配置文件。COMPLIANT如果没有将IAM配置文件附加到EC2实例,则规则为 NON _。
7.2.2 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

backup-recovery-point-manual-删除-禁用

确保备份存储库附有基于资源的策略,以防止删除恢复点。COMPLIANT如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句(带有 backup: DeleteRecoveryPoint、backup: 和 backup: PutBackupVaultAccessPolicy 权限的语句)UpdateRecoveryPointLifecycle,则规则为 NON _。
7.2.2 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

rds-instance-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 实例启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 实例未启用IAM身份验证,则规则为 NON _。
7.2.4 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

secretsmanager-secret-unused

确保在 AWS 指定的天数内访问了 Secrets Manager 密钥。COMPLIANT如果密钥在 “unusedForDays” 天内未被访问,则规则为 NON _。默认值为 90 天。
7.2.5 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

s3-bucket-blacklisted-actions-prohibited

确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如,该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket * 操作和 s3: DeleteObject 。COMPLIANT如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则规则为 NON _。
7.2.5 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

s3-bucket-policy-not-more-宽容

确保您的亚马逊简单存储服务 (S3) Simple Storage Service 存储桶策略不允许您提供的控制 Amazon S3 存储桶策略以外的其他账户间权限。
7.2.5 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

shield-drt-access

确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。COMPLIANT如果启用了 AWS Shield Advanced 但未配置SRT访问角色,则规则为 NON _。
7.2.5 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
7.2.5 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

neptune-cluster-iam-database-认证

确保 Amazon Neptune 集群 AWS 启用了身份和访问管理 (IAM) 数据库身份验证。COMPLIANT如果 Amazon Neptune 集群未启用IAM数据库身份验证,则规则为 NON _。
7.2.5 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

rds-cluster-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 集群启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 集群未启用IAM身份验证,则规则为 NON _。
7.2.5 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

ec2-instance-profile-attached

确保EC2实例附有 Id AWS entity and Access Management (IAM) 配置文件。COMPLIANT如果没有将IAM配置文件附加到EC2实例,则规则为 NON _。
7.2.5 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

backup-recovery-point-manual-删除-禁用

确保备份存储库附有基于资源的策略,以防止删除恢复点。COMPLIANT如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句(带有 backup: DeleteRecoveryPoint、backup: 和 backup: PutBackupVaultAccessPolicy 权限的语句)UpdateRecoveryPointLifecycle,则规则为 NON _。
7.2.5 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

rds-instance-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 实例启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 实例未启用IAM身份验证,则规则为 NON _。
7.2.5.1 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

secretsmanager-secret-unused

确保在 AWS 指定的天数内访问了 Secrets Manager 密钥。COMPLIANT如果密钥在 “unusedForDays” 天内未被访问,则规则为 NON _。默认值为 90 天。
7.2.6 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

s3-bucket-blacklisted-actions-prohibited

确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如,该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket * 操作和 s3: DeleteObject 。COMPLIANT如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则规则为 NON _。
7.2.6 系统组件和数据的访问权限已得到适当定义和分配。(PCI-DSS-v4.0)

s3-bucket-policy-not-more-宽容

确保您的亚马逊简单存储服务 (S3) Simple Storage Service 存储桶策略不允许您提供的控制 Amazon S3 存储桶策略以外的其他账户间权限。
7.3.1 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

s3-bucket-blacklisted-actions-prohibited

确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如,该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket * 操作和 s3: DeleteObject 。COMPLIANT如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则规则为 NON _。
7.3.1 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

s3-bucket-policy-not-more-宽容

确保您的亚马逊简单存储服务 (S3) Simple Storage Service 存储桶策略不允许您提供的控制 Amazon S3 存储桶策略以外的其他账户间权限。
7.3.1 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

shield-drt-access

确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。COMPLIANT如果启用了 AWS Shield Advanced 但未配置SRT访问角色,则规则为 NON _。
7.3.1 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
7.3.1 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

neptune-cluster-iam-database-认证

确保 Amazon Neptune 集群 AWS 启用了身份和访问管理 (IAM) 数据库身份验证。COMPLIANT如果 Amazon Neptune 集群未启用IAM数据库身份验证,则规则为 NON _。
7.3.1 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

rds-cluster-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 集群启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 集群未启用IAM身份验证,则规则为 NON _。
7.3.1 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

ec2-instance-profile-attached

确保EC2实例附有 Id AWS entity and Access Management (IAM) 配置文件。COMPLIANT如果没有将IAM配置文件附加到EC2实例,则规则为 NON _。
7.3.1 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

backup-recovery-point-manual-删除-禁用

确保备份存储库附有基于资源的策略,以防止删除恢复点。COMPLIANT如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句(带有 backup: DeleteRecoveryPoint、backup: 和 backup: PutBackupVaultAccessPolicy 权限的语句)UpdateRecoveryPointLifecycle,则规则为 NON _。
7.3.1 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

rds-instance-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 实例启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 实例未启用IAM身份验证,则规则为 NON _。
7.3.2 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

s3-bucket-blacklisted-actions-prohibited

确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如,该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket * 操作和 s3: DeleteObject 。COMPLIANT如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则规则为 NON _。
7.3.2 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

s3-bucket-policy-not-more-宽容

确保您的亚马逊简单存储服务 (S3) Simple Storage Service 存储桶策略不允许您提供的控制 Amazon S3 存储桶策略以外的其他账户间权限。
7.3.2 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

shield-drt-access

确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。COMPLIANT如果启用了 AWS Shield Advanced 但未配置SRT访问角色,则规则为 NON _。
7.3.2 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
7.3.2 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

neptune-cluster-iam-database-认证

确保 Amazon Neptune 集群 AWS 启用了身份和访问管理 (IAM) 数据库身份验证。COMPLIANT如果 Amazon Neptune 集群未启用IAM数据库身份验证,则规则为 NON _。
7.3.2 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

rds-cluster-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 集群启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 集群未启用IAM身份验证,则规则为 NON _。
7.3.2 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

ec2-instance-profile-attached

确保EC2实例附有 Id AWS entity and Access Management (IAM) 配置文件。COMPLIANT如果没有将IAM配置文件附加到EC2实例,则规则为 NON _。
7.3.2 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

backup-recovery-point-manual-删除-禁用

确保备份存储库附有基于资源的策略,以防止删除恢复点。COMPLIANT如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句(带有 backup: DeleteRecoveryPoint、backup: 和 backup: PutBackupVaultAccessPolicy 权限的语句)UpdateRecoveryPointLifecycle,则规则为 NON _。
7.3.2 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

rds-instance-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 实例启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 实例未启用IAM身份验证,则规则为 NON _。
7.3.3 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

s3-bucket-blacklisted-actions-prohibited

确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如,该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket * 操作和 s3: DeleteObject 。COMPLIANT如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则规则为 NON _。
7.3.3 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

s3-bucket-policy-not-more-宽容

确保您的亚马逊简单存储服务 (S3) Simple Storage Service 存储桶策略不允许您提供的控制 Amazon S3 存储桶策略以外的其他账户间权限。
7.3.3 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

shield-drt-access

确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。COMPLIANT如果启用了 AWS Shield Advanced 但未配置SRT访问角色,则规则为 NON _。
7.3.3 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
7.3.3 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

neptune-cluster-iam-database-认证

确保 Amazon Neptune 集群 AWS 启用了身份和访问管理 (IAM) 数据库身份验证。COMPLIANT如果 Amazon Neptune 集群未启用IAM数据库身份验证,则规则为 NON _。
7.3.3 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

rds-cluster-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 集群启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 集群未启用IAM身份验证,则规则为 NON _。
7.3.3 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

ec2-instance-profile-attached

确保EC2实例附有 Id AWS entity and Access Management (IAM) 配置文件。COMPLIANT如果没有将IAM配置文件附加到EC2实例,则规则为 NON _。
7.3.3 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

backup-recovery-point-manual-删除-禁用

确保备份存储库附有基于资源的策略,以防止删除恢复点。COMPLIANT如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句(带有 backup: DeleteRecoveryPoint、backup: 和 backup: PutBackupVaultAccessPolicy 权限的语句)UpdateRecoveryPointLifecycle,则规则为 NON _。
7.3.3 对系统组件和数据的访问通过访问控制系统进行管理。(PCI-DSS-v4.0)

rds-instance-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 实例启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 实例未启用IAM身份验证,则规则为 NON _。
8.2.1 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
8.2.1 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

ec2-no-amazon-key-pair

确保正在运行的亚马逊弹性计算云 (EC2) 实例不是使用亚马逊密钥对启动的。COMPLIANT如果使用密钥对(key pair)启动正在运行的EC2实例,则规则为 NON _。
8.2.2 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
8.2.2 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

ec2-no-amazon-key-pair

确保正在运行的亚马逊弹性计算云 (EC2) 实例不是使用亚马逊密钥对启动的。COMPLIANT如果使用密钥对(key pair)启动正在运行的EC2实例,则规则为 NON _。
8.2.2 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

codebuild-project-envvar-awscred-检查

确保项目DOESNOT包含环境变量 AWS_ACCESS _ KEY _ID 和 AWS_SECRET ACCESS _ KEY。当项目环境变量包含纯文本凭证COMPLIANT时,规则为 NON _。
8.2.2 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

secretsmanager-scheduled-rotation-success-检查

确保 S AWS ecrets Manager 密钥按照轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。COMPLIANT如果日期已过且密钥未轮换,则规则为 NON _。
8.2.2 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

secretsmanager-secret-periodic-rotation

确保 S AWS ecrets Manager 的密钥在过去指定的天数内已轮换。COMPLIANT如果密钥的轮换时间未超过 maxDaysSince轮换天数,则规则为 NON _。默认值为 90 天。
8.2.2 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

secretsmanager-secret-unused

确保在 AWS 指定的天数内访问了 Secrets Manager 密钥。COMPLIANT如果密钥在 “unusedForDays” 天内未被访问,则规则为 NON _。默认值为 90 天。
8.2.4 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
8.2.4 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

ec2-no-amazon-key-pair

确保正在运行的亚马逊弹性计算云 (EC2) 实例不是使用亚马逊密钥对启动的。COMPLIANT如果使用密钥对(key pair)启动正在运行的EC2实例,则规则为 NON _。
8.2.5 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
8.2.5 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

ec2-no-amazon-key-pair

确保正在运行的亚马逊弹性计算云 (EC2) 实例不是使用亚马逊密钥对启动的。COMPLIANT如果使用密钥对(key pair)启动正在运行的EC2实例,则规则为 NON _。
8.2.6 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

secretsmanager-secret-unused

确保在 AWS 指定的天数内访问了 Secrets Manager 密钥。COMPLIANT如果密钥在 “unusedForDays” 天内未被访问,则规则为 NON _。默认值为 90 天。
8.2.7 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

s3-bucket-blacklisted-actions-prohibited

确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如,该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket * 操作和 s3: DeleteObject 。COMPLIANT如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则规则为 NON _。
8.2.7 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

s3-bucket-policy-not-more-宽容

确保您的亚马逊简单存储服务 (S3) Simple Storage Service 存储桶策略不允许您提供的控制 Amazon S3 存储桶策略以外的其他账户间权限。
8.2.7 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

shield-drt-access

确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。COMPLIANT如果启用了 AWS Shield Advanced 但未配置SRT访问角色,则规则为 NON _。
8.2.7 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
8.2.7 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

neptune-cluster-iam-database-认证

确保 Amazon Neptune 集群 AWS 启用了身份和访问管理 (IAM) 数据库身份验证。COMPLIANT如果 Amazon Neptune 集群未启用IAM数据库身份验证,则规则为 NON _。
8.2.7 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

rds-cluster-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 集群启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 集群未启用IAM身份验证,则规则为 NON _。
8.2.7 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

ec2-instance-profile-attached

确保EC2实例附有 Id AWS entity and Access Management (IAM) 配置文件。COMPLIANT如果没有将IAM配置文件附加到EC2实例,则规则为 NON _。
8.2.7 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

backup-recovery-point-manual-删除-禁用

确保备份存储库附有基于资源的策略,以防止删除恢复点。COMPLIANT如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句(带有 backup: DeleteRecoveryPoint、backup: 和 backup: PutBackupVaultAccessPolicy 权限的语句)UpdateRecoveryPointLifecycle,则规则为 NON _。
8.2.7 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

rds-instance-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 实例启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 实例未启用IAM身份验证,则规则为 NON _。
8.2.8 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

s3-bucket-blacklisted-actions-prohibited

确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如,该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket * 操作和 s3: DeleteObject 。COMPLIANT如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则规则为 NON _。
8.2.8 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

s3-bucket-policy-not-more-宽容

确保您的亚马逊简单存储服务 (S3) Simple Storage Service 存储桶策略不允许您提供的控制 Amazon S3 存储桶策略以外的其他账户间权限。
8.2.8 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

shield-drt-access

确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。COMPLIANT如果启用了 AWS Shield Advanced 但未配置SRT访问角色,则规则为 NON _。
8.2.8 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
8.2.8 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

neptune-cluster-iam-database-认证

确保 Amazon Neptune 集群 AWS 启用了身份和访问管理 (IAM) 数据库身份验证。COMPLIANT如果 Amazon Neptune 集群未启用IAM数据库身份验证,则规则为 NON _。
8.2.8 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

rds-cluster-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 集群启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 集群未启用IAM身份验证,则规则为 NON _。
8.2.8 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

ec2-imdsv2-check

确保您的亚马逊弹性计算云 (AmazonEC2) 实例元数据版本已配置为实例元数据服务版本 2 (IMDSv2)。COMPLIANT如果设置为可选, HttpTokens 则规则为 NON _。
8.2.8 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

ec2-instance-profile-attached

确保EC2实例附有 Id AWS entity and Access Management (IAM) 配置文件。COMPLIANT如果没有将IAM配置文件附加到EC2实例,则规则为 NON _。
8.2.8 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

autoscaling-launchconfig-requires-imdsv2

确保仅启用IMDSv2该选项。COMPLIANT如果启动配置中未包含元数据版本,或者同时启用了元数据 V1 和 V2,则此规则为 NON _。
8.2.8 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

backup-recovery-point-manual-删除-禁用

确保备份存储库附有基于资源的策略,以防止删除恢复点。COMPLIANT如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句(带有 backup: DeleteRecoveryPoint、backup: 和 backup: PutBackupVaultAccessPolicy 权限的语句)UpdateRecoveryPointLifecycle,则规则为 NON _。
8.2.8 在整个账户生命周期中,对用户和管理员的用户身份和相关账户进行严格管理。(PCI-DSS-v4.0)

rds-instance-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 实例启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 实例未启用IAM身份验证,则规则为 NON _。
8.3.10.1 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

access-keys-rotated

确保在使用期限中指定的天数内轮换(更改)活动IAM访问密钥 maxAccessKey。COMPLIANT如果访问密钥未在指定的时间段内轮换,则规则为 NON _。默认值为 90 天。
8.3.10.1 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

secretsmanager-scheduled-rotation-success-检查

确保 S AWS ecrets Manager 密钥按照轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。COMPLIANT如果日期已过且密钥未轮换,则规则为 NON _。
8.3.10.1 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

secretsmanager-secret-periodic-rotation

确保 S AWS ecrets Manager 的密钥在过去指定的天数内已轮换。COMPLIANT如果密钥的轮换时间未超过 maxDaysSince轮换天数,则规则为 NON _。默认值为 90 天。
8.3.11 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
8.3.11 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

ec2-no-amazon-key-pair

确保正在运行的亚马逊弹性计算云 (EC2) 实例不是使用亚马逊密钥对启动的。COMPLIANT如果使用密钥对(key pair)启动正在运行的EC2实例,则规则为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

athena-workgroup-encrypted-at-休息

确保 Amazon Athena 工作组处于静态加密状态。COMPLIANT如果未为 Athena 工作组启用静态数据加密,则规则为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

neptune-cluster-snapshot-encrypted

确保 Amazon Neptune 数据库集群的快照已加密。COMPLIANT如果 Neptune 集群没有加密快照,则规则为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

redshift-cluster-kms-enabled

确保 Amazon Redshift 集群使用指定的 AWS 密钥管理服务 (AWS KMS) 密钥进行加密。规则是COMPLIANT是否启用了加密并且使用 kmsKeyArn 参数中提供的密钥对集群进行加密。COMPLIANT如果集群未使用其他密钥加密或加密,则规则为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

codebuild-project-artifact-encryption

确保 AWS CodeBuild 项目的所有工件都启用了加密。如果将任何主对象或辅助构件(COMPLIANT如果存在)配置的 “” 设置为 “true”,则规则为 NON _。encryptionDisabled
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

codebuild-project-s3 个日志加密

确保使用 Amazon S3 日志配置的 AWS CodeBuild 项目已为其日志启用加密。COMPLIANT如果在项目的 S3 LogsConfig 中将 “encryptionDisabled” 设置为 “true”,则规则为 NON _。 CodeBuild
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

dax-encryption-enabled

确保 Amazon DynamoDB 加速器 DAX () 集群已加密。COMPLIANT如果DAX集群未加密,则规则为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

dms-redis-tls-enabled

确保启用 Redis 数据存储的 Dat AWS abase Migration Service (AWS DMS) 端点,以便对与其他端点通信的数据进行TLS/SSL加密。COMPLIANT如果未启用TLS/SSL加密,则规则为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

eks-secrets-encrypted

确保将 Amazon Elastic Kubernetes Service 集群配置为使用密钥管理服务 () 密钥加密 Kubernetes 密钥。 AWS KMS
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

api-gw-cache-enabled并已加密

确保 Amazon API Gateway 阶段的所有方法都启用了缓存并加密了缓存。COMPLIANT如果 Amazon API Gateway 阶段的任何方法未配置为缓存或缓存未加密,则规则为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

docdb-cluster-encrypted

确保您的亚马逊文档数据库(兼容 MongoDB)集群启用存储加密。COMPLIANT如果未启用存储加密,则规则为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

dynamodb-table-encrypted-kms

确保 AWS 使用密钥管理服务 () 对 Amazon DynamoDB 表进行加密。KMSCOMPLIANT如果 Amazon DynamoDB 表未使用加密,则规则为 NON _。 AWS KMSCOMPLIANT如果 kmsKeyArns 输入参数中不存在加密 AWS KMS密钥,则规则也是 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

dynamodb-table-encryption-enabled

确保 Amazon DynamoDB 表已加密并检查其状态。规则是状态是COMPLIANT启用还是启用。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

cloudfront-no-deprecated-ssl-协议

确保 CloudFront 分发版本不使用已弃用的SSL协议在 CloudFront 边缘站点和自定义源站之间进行HTTPS通信。如果有 “包含 OriginSslProtocolsSSLv3” CloudFront ,则此规则COMPLIANT为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

cloudfront-traffic-to-origin-已加密

确保 Amazon CloudFront 分配正在加密流向自定义来源的流量。COMPLIANT如果''是'仅限'http'或者'是'm OriginProtocolPolicy atch-viewer'而'是'allow-all',则OriginProtocolPolicy规则是 NON _。ViewerProtocolPolicy
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

cloudfront-viewer-policy-https

确保您的 Amazon CloudFront 分销使用HTTPS(直接或通过重定向)。COMPLIANT如果将 DefaultCacheBehavior 或的值设置 ViewerProtocolPolicy 为 “allow-all”,则规则为 NON _。 CacheBehaviors
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

codebuild-project-envvar-awscred-检查

确保项目DOESNOT包含环境变量 AWS_ACCESS _ KEY _ID 和 AWS_SECRET ACCESS _ KEY。当项目环境变量包含纯文本凭证COMPLIANT时,规则为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

dax-tls-endpoint-encryption

确保您的亚马逊 DynamoDB 加速器 DAX () 集群 ClusterEndpointEncryptionType 已设置为。TLSCOMPLIANT如果DAX集群未通过传输层安全 (TLS) 加密,则规则为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

eks-cluster-secrets-encrypted

确保未将 Amazon EKS 集群配置为使用加密 Kubernetes 密钥。 AWS KMSCOMPLIANT如果EKS集群没有 encryptionConfig 资源或者没有将机密命名为资源,则 encryptionConfig 规则为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

kinesis-stream-encrypted

确保使用服务器端加密对 Amazon Kinesis 直播进行静态加密。如果 “” StreamEncryption 不COMPLIANT存在,则 Kinesis 直播的规则是 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

msk-in-cluster-node-需要-tls

确保 Amazon MSK 集群对集群的代理节点使用 HTTPS (TLS) 在传输中强制加密。COMPLIANT如果为集群内代理节点连接启用了纯文本通信,则规则为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

neptune-cluster-encrypted

确保已为您的 Amazon Neptune 数据库集群启用存储加密。COMPLIANT如果未启用存储加密,则规则为 NON _。
8.3.2 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

dms-endpoint-ssl-configured

确保 AWS Database Migration Service (AWS DMS) 端点已配置SSL连接。COMPLIANT如果 AWS DMS未配置SSL连接,则规则为 NON _。
8.3.4 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

s3-bucket-blacklisted-actions-prohibited

确保 Amazon Simple Storage Service (Amazon S3) 存储桶策略不允许其他账户的委托人对存储桶中的资源进行列入黑名单的存储桶级和对象级操作。 AWS 例如,该规则会检查 Amazon S3 存储桶策略是否不允许其他 AWS 账户对存储桶中的任何对象执行任何 s3: GetBucket * 操作和 s3: DeleteObject 。COMPLIANT如果 Amazon S3 存储桶策略允许任何列入黑名单的操作,则规则为 NON _。
8.3.4 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

s3-bucket-policy-not-more-宽容

确保您的亚马逊简单存储服务 (S3) Simple Storage Service 存储桶策略不允许您提供的控制 Amazon S3 存储桶策略以外的其他账户间权限。
8.3.4 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

shield-drt-access

确保 Shield 响应小组 (SRT) 可以访问您的 AWS 账户。COMPLIANT如果启用了 AWS Shield Advanced 但未配置SRT访问角色,则规则为 NON _。
8.3.4 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

iam-policy-in-use

确保IAM策略ARN已附加到IAM用户、具有一个或多个IAM用户的群组,或具有一个或多个可信实体的IAM角色。
8.3.4 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

neptune-cluster-iam-database-认证

确保 Amazon Neptune 集群 AWS 启用了身份和访问管理 (IAM) 数据库身份验证。COMPLIANT如果 Amazon Neptune 集群未启用IAM数据库身份验证,则规则为 NON _。
8.3.4 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

rds-cluster-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 集群启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 集群未启用IAM身份验证,则规则为 NON _。
8.3.4 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

ec2-instance-profile-attached

确保EC2实例附有 Id AWS entity and Access Management (IAM) 配置文件。COMPLIANT如果没有将IAM配置文件附加到EC2实例,则规则为 NON _。
8.3.4 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

backup-recovery-point-manual-删除-禁用

确保备份存储库附有基于资源的策略,以防止删除恢复点。COMPLIANT如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句(带有 backup: DeleteRecoveryPoint、backup: 和 backup: PutBackupVaultAccessPolicy 权限的语句)UpdateRecoveryPointLifecycle,则规则为 NON _。
8.3.4 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

rds-instance-iam-authentication-已启用

确保亚马逊关系数据库服务 (AmazonRDS) 实例启用了 AWS 身份和访问管理 (IAM) 身份验证。COMPLIANT如果 Amazon RDS 实例未启用IAM身份验证,则规则为 NON _。
8.3.5 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

access-keys-rotated

确保在使用期限中指定的天数内轮换(更改)活动IAM访问密钥 maxAccessKey。COMPLIANT如果访问密钥未在指定的时间段内轮换,则规则为 NON _。默认值为 90 天。
8.3.5 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

secretsmanager-scheduled-rotation-success-检查

确保 S AWS ecrets Manager 密钥按照轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。COMPLIANT如果日期已过且密钥未轮换,则规则为 NON _。
8.3.5 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

secretsmanager-secret-periodic-rotation

确保 S AWS ecrets Manager 的密钥在过去指定的天数内已轮换。COMPLIANT如果密钥的轮换时间未超过 maxDaysSince轮换天数,则规则为 NON _。默认值为 90 天。
8.3.7 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

access-keys-rotated

确保在使用期限中指定的天数内轮换(更改)活动IAM访问密钥 maxAccessKey。COMPLIANT如果访问密钥未在指定的时间段内轮换,则规则为 NON _。默认值为 90 天。
8.3.7 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

secretsmanager-scheduled-rotation-success-检查

确保 S AWS ecrets Manager 密钥按照轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。COMPLIANT如果日期已过且密钥未轮换,则规则为 NON _。
8.3.7 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

secretsmanager-secret-periodic-rotation

确保 S AWS ecrets Manager 的密钥在过去指定的天数内已轮换。COMPLIANT如果密钥的轮换时间未超过 maxDaysSince轮换天数,则规则为 NON _。默认值为 90 天。
8.3.9 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

access-keys-rotated

确保在使用期限中指定的天数内轮换(更改)活动IAM访问密钥 maxAccessKey。COMPLIANT如果访问密钥未在指定的时间段内轮换,则规则为 NON _。默认值为 90 天。
8.3.9 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

secretsmanager-scheduled-rotation-success-检查

确保 S AWS ecrets Manager 密钥按照轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。COMPLIANT如果日期已过且密钥未轮换,则规则为 NON _。
8.3.9 为用户和管理员建立并管理强身份验证。(PCI-DSS-v4.0)

secretsmanager-secret-periodic-rotation

确保 S AWS ecrets Manager 的密钥在过去指定的天数内已轮换。COMPLIANT如果密钥的轮换时间未超过 maxDaysSince轮换天数,则规则为 NON _。默认值为 90 天。
8.4.1 实施多因素身份验证 (MFA) 是为了保护对的CDE访问。(PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

确保在亚马逊简单存储服务 (Amazon S3) Simple Storage Service 存储桶版本控制配置中启用MFA删除。COMPLIANT如果未启用 MFA “删除”,则规则为 NON _。
8.4.2 实施多因素身份验证 (MFA) 是为了保护对的CDE访问。(PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

确保在亚马逊简单存储服务 (Amazon S3) Simple Storage Service 存储桶版本控制配置中启用MFA删除。COMPLIANT如果未启用 MFA “删除”,则规则为 NON _。
8.4.3 实施多因素身份验证 (MFA) 是为了保护对的CDE访问。(PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

确保在亚马逊简单存储服务 (Amazon S3) Simple Storage Service 存储桶版本控制配置中启用MFA删除。COMPLIANT如果未启用 MFA “删除”,则规则为 NON _。
8.6.3 严格管理应用程序和系统帐户以及相关的身份验证因素的使用。(PCI-DSS-v4.0)

access-keys-rotated

确保在使用期限中指定的天数内轮换(更改)活动IAM访问密钥 maxAccessKey。COMPLIANT如果访问密钥未在指定的时间段内轮换,则规则为 NON _。默认值为 90 天。
8.6.3 严格管理应用程序和系统帐户以及相关的身份验证因素的使用。(PCI-DSS-v4.0)

secretsmanager-scheduled-rotation-success-检查

确保 S AWS ecrets Manager 密钥按照轮换计划成功轮换。Secrets Manager 会计算应进行轮换的日期。COMPLIANT如果日期已过且密钥未轮换,则规则为 NON _。
8.6.3 严格管理应用程序和系统帐户以及相关的身份验证因素的使用。(PCI-DSS-v4.0)

secretsmanager-secret-periodic-rotation

确保 S AWS ecrets Manager 的密钥在过去指定的天数内已轮换。COMPLIANT如果密钥的轮换时间未超过 maxDaysSince轮换天数,则规则为 NON _。默认值为 90 天。
A1.1.2 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

neptune-cluster-snapshot-public-禁止

确保 Amazon Neptune 手动数据库集群快照不是公开的。COMPLIANT如果有任何现有和新的 Neptune 集群快照是公开的,则规则为 NON _。
A1.1.2 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

docdb-cluster-snapshot-public-禁止

确保 Amazon DocumentDB 手动集群快照不是公开的。COMPLIANT如果有任何 Amazon DocumentDB 手动集群快照是公开的,则规则为 NON _。
A1.1.2 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

backup-recovery-point-manual-删除-禁用

确保备份存储库附有基于资源的策略,以防止删除恢复点。COMPLIANT如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句(带有 backup: DeleteRecoveryPoint、backup: 和 backup: PutBackupVaultAccessPolicy 权限的语句)UpdateRecoveryPointLifecycle,则规则为 NON _。
A1.1.2 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

emr-block-public-access

确保 Amazon 账户EMR已启用封锁公开访问设置。COMPLIANT如果为 false,则规则 BlockPublicSecurityGroupRules 为 NON _,如果为 true,则列出端口 22 以外的端口 PermittedPublicSecurityGroupRuleRanges。
A1.1.2 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

s3 access-point-public-access-方块

确保 Amazon S3 接入点已启用封锁公共访问设置。COMPLIANT如果未为 S3 接入点启用阻止公共访问设置,则规则为 NON _。
A1.1.2 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

s3-account-level-public-access-blocks

确保所需的公共访问屏蔽设置是从账户级别配置的。只有COMPLIANT当下面设置的字段与配置项目中的相应字段不匹配时,规则才是 NON _。
A1.1.2 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

确保在亚马逊简单存储服务 (Amazon S3) Simple Storage Service 存储桶版本控制配置中启用MFA删除。COMPLIANT如果未启用 MFA “删除”,则规则为 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

api-gw-endpoint-type-检查

确保 Amazon API Gateway APIs 属于规则参数 “endpointConfigurationType” 中指定的类型。COMPLIANT如果与规则参数中配置的端点类型RESTAPI不匹配,则规则返回 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

cloudfront-associated-with-waf

确保 Amazon CloudFront 分配与 Web 应用程序防火墙 (WAF) 或WAFv2网络访问控制列表 (ACLs) 关联。COMPLIANT如果 CloudFront 分配未与 WAF Web 关联,则规则为 NON _ ACL。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

确保与 Amazon CloudFront 分配相关的证书不是默认SSL证书。COMPLIANT如果 CloudFront 发行版使用默认SSL证书,则规则为 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

netfw-policy-default-action-碎片数据包

确保 AWS Network Firewall 策略配置为用户定义的针对碎片数据包的无状态默认操作。COMPLIANT如果碎片数据包的无状态默认操作与用户定义的默认操作不匹配,则规则为 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

rds-db-security-group-不允许

确保亚马逊关系数据库服务 (AmazonRDS) 数据库安全组是默认安全组。COMPLIANT如果存在不是默认数据库安全组的数据库安全组,则规则为 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

ec2-transit-gateway-auto-vpc-已禁用附件

确保亚马逊弹性计算云 (AmazonEC2) 传输网关未启用 AutoAcceptSharedAttachments “”。如果 “” 设置为 “启用AutoAcceptSharedAttachments”,则 Transit Gateway 的规则为 NON _ COMPLIANT。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

eks-endpoint-no-public-访问

确保亚马逊 Elastic Kubernetes Servic EKS e(亚马逊)终端节点不可公开访问。COMPLIANT如果端点可公开访问,则规则为 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

restricted-ssh

注意:对于此规则,规则标识符 (INCOMING_ SSH _DISABLED) 和规则名称 (restricted-ssh) 不同。确保安全组的传入SSH流量可以访问。规则是安全组中传入SSH流量的 IP 地址COMPLIANT是否受到限制(0.0.0.0/0 或:: /0 CIDR 除外)。否则,NON_ COMPLIANT。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

appsync-associated-with-waf

确保 AWS AppSync APIs与 AWS WAFv2 Web 访问控制列表相关联 (ACLs)。 AWS AppSync API如果它与网站没有关联,则规则为 NON _ COMPLIANT ACL。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

docdb-cluster-snapshot-public-禁止

确保 Amazon DocumentDB 手动集群快照不是公开的。COMPLIANT如果有任何 Amazon DocumentDB 手动集群快照是公开的,则规则为 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

codebuild-project-source-repo-url-check

确保 Bitbucket 源存储库是否URLDOESNOT包含登录凭据。如果包含任何登录信息,COMPLIANT如果不URL包含任何登录信息,COMPLIANT则规则为 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

elb-acm-certificate-required

确保传统负载均衡器使用 Certifice Manager 提供的SSL AWS 证书。要使用此规则,请将SSL或HTTPS侦听器与 Classic Load Balancer 配合使用。注意-此规则仅适用于传统负载均衡器。此规则不会检查应用程序负载均衡器和网络负载均衡器。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

emr-block-public-access

确保 Amazon 账户EMR已启用封锁公开访问设置。COMPLIANT如果为 false,则规则 BlockPublicSecurityGroupRules 为 NON _,如果为 true,则列出端口 22 以外的端口 PermittedPublicSecurityGroupRuleRanges。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

nacl-no-unrestricted-ssh-rdp

确保网络访问控制列表 (NACLs) 中SSH/RDP入口流量的默认端口受到限制。COMPLIANT如果NACL入站条目允许端口 22 或 3389 的源TCP或UDPCIDR阻塞,则规则为 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

waf-global-webacl-not-空

确保全WAF球 Web ACL 包含一些WAF规则或规则组。COMPLIANT如果 Web ACL 不包含任何WAF规则或规则组,则此规则为 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

waf-global-rulegroup-not-空

确保 AWS WAF经典规则组包含一些规则。COMPLIANT如果规则组中没有规则,则规则为 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

waf-global-rule-not-空

确保 AWS WAF全局规则包含某些条件。COMPLIANT如果WAF全局规则中不存在任何条件,则规则为 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

ec2-client-vpn-not-authorize-全部

确保 AWS 客户端VPN授权规则不授权所有客户端的连接访问权限。COMPLIANT如果 'AccessAll' 存在且设置为 true,则规则为 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

internet-gateway-authorized-vpc-只有

确保互联网网关连接到授权的虚拟私有云 (AmazonVPC)。COMPLIANT如果互联网网关连接到未经授权的,则规则为 NON _ VPC。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

s3 access-point-public-access-方块

确保 Amazon S3 接入点已启用封锁公共访问设置。COMPLIANT如果未为 S3 接入点启用阻止公共访问设置,则规则为 NON _。
A1.1.3 多租户服务提供商保护和隔离所有客户环境和数据。(PCI-DSS-v4.0)

s3-account-level-public-access-blocks

确保所需的公共访问屏蔽设置是从账户级别配置的。只有COMPLIANT当下面设置的字段与配置项目中的相应字段不匹配时,规则才是 NON _。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

确保 Amazon API Gateway V2 阶段已启用访问日志功能。COMPLIANT如果舞台配置中不存在 accessLogSettings “”,则规则为 NON _。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

cloudfront-accesslogs-enabled

确保将亚马逊 CloudFront 分配配置为向 Amazon S3 存储桶传输访问日志。COMPLIANT如果 CloudFront 分配未配置日志记录,则规则为 NON _。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

cloudtrail-security-trail-enabled

确保至少有一 AWS CloudTrail 条使用安全最佳实践定义的跟踪。COMPLIANT如果至少有一条路径满足以下所有条件,则此规则为:
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-启用导出

确保 Amazon Neptune 集群已为审计 CloudWatch 日志启用日志导出功能。COMPLIANT如果 Neptune 集群没有为审计日志启用 CloudWatch 日志导出功能,则规则为 NON _。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

ecs-task-definition-log-配置

确保已 logConfiguration 在活动ECS任务定义上设置该选项。COMPLIANT如果活动ECSTaskDefinition没有定义 logConfiguration 资源或者至少一个容器定义中的值为空, logConfiguration 则此规则为 NON _。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

cloudtrail-enabled

注意:对于此规则,规则标识符 (CLOUD_ TRAIL _ENABLED) 和规则名称(已启用 cloudtrail)不同。确保在您的 AWS 账户中启用了 AWS CloudTrail 跟踪。COMPLIANT如果未启用跟踪,则规则为 NON _。或者,该规则会检查特定的 S3 存储桶、亚马逊简单通知服务 (AmazonSNS) 主题和 CloudWatch 日志组。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

注意:对于此规则,规则标识符 (MULTIREGIONCLOUD_ TRAIL _ _ENABLED) 和规则名称 (multi-region-cloudtrail-enabled) 不同。确保至少有一个多区域 AWS CloudTrail。COMPLIANT如果轨迹与输入参数不匹配,则规则为 NON _。COMPLIANT如果该 ExcludeManagementEventSources 字段不为空或者配置 AWS CloudTrail 为排除管理事件(例如事件或 Amazon RDS Data AWS KMS API 事件),则规则为 NON _。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

appsync-logging-enabled

确保启用 AWS AppSync API了日志记录。COMPLIANT如果未启用日志记录,则规则为 NON _,或者 fieldLogLevel “” ERROR 既不是ALL。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

waf-classic-logging-enabled

确保在 AWS WAF经典的全局 Web 访问控制列表 (WebACLs) 上启用日志记录。如果全球网站没有启用日志记录ACL,则规则为 NON _ COMPLIANT。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-已启用

确保 Amazon MQ 经纪人启用了亚马逊 CloudWatch 审核日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

mq-cloudwatch-audit-log-已启用

确保 Amazon MQ 代理已启用 CloudWatch 审计日志。COMPLIANT如果代理未启用审核日志,则规则为 NON _。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

eks-cluster-logging-enabled

确保亚马逊 Elastic Kubernetes Service (EKSAmazon) 集群配置为启用日志记录。COMPLIANT如果未为所有日志类型启用 Amazon EKS 集群的日志记录,则规则为 NON _。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

elastic-beanstalk-logs-to-云观察

确保将 E AWS lastic Beanstalk 环境配置为向亚马逊日志发送日志。 CloudWatch COMPLIANT如果 StreamLogs `的值为假,则规则为 NON _。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

step-functions-state-machine-启用日志功能

确保 AWS Step Functions 计算机已启用日志功能。COMPLIANT如果状态机未启用日志记录或日志配置未达到提供的最低级别,则规则为 NON _。
A1.2.1 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

netfw-logging-enabled

确保 AWS Network Firewall 防火墙已启用日志记录。COMPLIANT如果未配置日志记录类型,则规则为 NON _。您可以指定希望规则检查的日志记录类型。
A1.2.3 多租户服务提供商便于所有客户进行日志记录和事件响应。(PCI-DSS-v4.0)

security-account-information-provided

确保您已为 AWS 账户联系人提供了安全联系人信息。COMPLIANT如果未提供账户内的安全联系人信息,则规则为 NON _。
A3.2.5.1 PCIDSS范围已记录在案并经过验证。(PCI-DSS-v4.0)

macie-auto-sensitive-data-发现-检查

确保为 Amazon Macie 启用自动敏感数据发现功能。COMPLIANT如果禁用自动敏感数据发现,则规则为 NON _。该规则APPLICABLE适用于管理员帐户,NOT_ APPLICABLE 适用于成员帐户。
A3.2.5.1 PCIDSS范围已记录在案并经过验证。(PCI-DSS-v4.0)

macie-status-check

确保您的账户在每个地区都启用了 Amazon Macie。COMPLIANT如果 “状态” 属性未设置为 “”,则规则为 NON _。ENABLED
A3.2.5.2 PCIDSS范围已记录在案并经过验证。(PCI-DSS-v4.0)

macie-auto-sensitive-data-发现-检查

确保为 Amazon Macie 启用自动敏感数据发现功能。COMPLIANT如果禁用自动敏感数据发现,则规则为 NON _。该规则APPLICABLE适用于管理员帐户,NOT_ APPLICABLE 适用于成员帐户。
A3.2.5.2 PCIDSS范围已记录在案并经过验证。(PCI-DSS-v4.0)

macie-status-check

确保您的账户在每个地区都启用了 Amazon Macie。COMPLIANT如果 “状态” 属性未设置为 “”,则规则为 NON _。ENABLED
A3.3.1 PCIDSS已纳入 business-as-usual (BAU) 活动中。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
A3.3.1 PCIDSS已纳入 business-as-usual (BAU) 活动中。(PCI-DSS-v4.0)

cloudformation-stack-notification-check

确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。(可选)确保使用指定的 Amazon SNS 主题。COMPLIANT如果 CloudFormation 堆栈不发送通知,则规则为 NON _。
A3.3.1 PCIDSS已纳入 business-as-usual (BAU) 活动中。(PCI-DSS-v4.0)

ec2-instance-detailed-monitoring-enabled

确保已为EC2实例启用详细监控。COMPLIANT如果未启用详细监控,则规则为 NON _。
A3.3.1 PCIDSS已纳入 business-as-usual (BAU) 活动中。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
A3.3.1 PCIDSS已纳入 business-as-usual (BAU) 活动中。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
A3.3.1 PCIDSS已纳入 business-as-usual (BAU) 活动中。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
A3.3.1 PCIDSS已纳入 business-as-usual (BAU) 活动中。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
A3.3.1 PCIDSS已纳入 business-as-usual (BAU) 活动中。(PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定EBS卷、EC2实例、Amazon RDS 集群或 S3 存储桶。规则是指定指标COMPLIANT是否有资源 ID 和 CloudWatch 警报。
A3.3.1 PCIDSS已纳入 business-as-usual (BAU) 活动中。(PCI-DSS-v4.0)

cloudwatch-alarm-settings-check

确保具有给定指标名称的 CloudWatch 警报具有指定的设置。
A3.3.1 PCIDSS已纳入 business-as-usual (BAU) 活动中。(PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

确保已启用 AWS WAFv2规则组上的 Amazon CloudWatch 安全指标收集。COMPLIANT如果是 ',则规则是 NON _ VisibilityConfig。 CloudWatchMetricsEnabled'字段设置为 false。
A3.3.1 PCIDSS已纳入 business-as-usual (BAU) 活动中。(PCI-DSS-v4.0)

sns-topic-message-delivery-启用通知

确保已启用 Amazon 简单通知服务 (SNS) 日志记录发送到终端节点主题的通知消息的发送状态。COMPLIANT如果未启用邮件的传送状态通知,则规则为 NON _。
A3.4.1 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0)

neptune-cluster-snapshot-public-禁止

确保 Amazon Neptune 手动数据库集群快照不是公开的。COMPLIANT如果有任何现有和新的 Neptune 集群快照是公开的,则规则为 NON _。
A3.4.1 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0)

docdb-cluster-snapshot-public-禁止

确保 Amazon DocumentDB 手动集群快照不是公开的。COMPLIANT如果有任何 Amazon DocumentDB 手动集群快照是公开的,则规则为 NON _。
A3.4.1 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0)

backup-recovery-point-manual-删除-禁用

确保备份存储库附有基于资源的策略,以防止删除恢复点。COMPLIANT如果 Backup Vault 没有基于资源的策略或策略没有合适的 “拒绝” 语句(带有 backup: DeleteRecoveryPoint、backup: 和 backup: PutBackupVaultAccessPolicy 权限的语句)UpdateRecoveryPointLifecycle,则规则为 NON _。
A3.4.1 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0)

emr-block-public-access

确保 Amazon 账户EMR已启用封锁公开访问设置。COMPLIANT如果为 false,则规则 BlockPublicSecurityGroupRules 为 NON _,如果为 true,则列出端口 22 以外的端口 PermittedPublicSecurityGroupRuleRanges。
A3.4.1 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0)

secretsmanager-secret-unused

确保在 AWS 指定的天数内访问了 Secrets Manager 密钥。COMPLIANT如果密钥在 “unusedForDays” 天内未被访问,则规则为 NON _。默认值为 90 天。
A3.4.1 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0)

s3 access-point-public-access-方块

确保 Amazon S3 接入点已启用封锁公共访问设置。COMPLIANT如果未为 S3 接入点启用阻止公共访问设置,则规则为 NON _。
A3.4.1 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0)

s3-account-level-public-access-blocks

确保所需的公共访问屏蔽设置是从账户级别配置的。只有COMPLIANT当下面设置的字段与配置项目中的相应字段不匹配时,规则才是 NON _。
A3.4.1 对持卡人数据环境的逻辑访问受到控制和管理。(PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

确保在亚马逊简单存储服务 (Amazon S3) Simple Storage Service 存储桶版本控制配置中启用MFA删除。COMPLIANT如果未启用 MFA “删除”,则规则为 NON _。
A3.5.1 发现并应对可疑事件。(PCI-DSS-v4.0)

api-gw-xray-enabled

确保在 Amazon API Gateway 上启用 AWS X-Ray 跟踪RESTAPIs。规则是COMPLIANT是否启用 X-Ray 跟踪,COMPLIANT否则为 NON _。
A3.5.1 发现并应对可疑事件。(PCI-DSS-v4.0)

cloudformation-stack-notification-check

确保您的 CloudFormation 堆栈向 Amazon SNS 主题发送事件通知。(可选)确保使用指定的 Amazon SNS 主题。COMPLIANT如果 CloudFormation 堆栈不发送通知,则规则为 NON _。
A3.5.1 发现并应对可疑事件。(PCI-DSS-v4.0)

ec2-instance-detailed-monitoring-enabled

确保已为EC2实例启用详细监控。COMPLIANT如果未启用详细监控,则规则为 NON _。
A3.5.1 发现并应对可疑事件。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
A3.5.1 发现并应对可疑事件。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
A3.5.1 发现并应对可疑事件。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
A3.5.1 发现并应对可疑事件。(PCI-DSS-v4.0)

cloudwatch-alarm-action-check

确保 CloudWatch 警报的操作配置为ALARMDATA、INSUFFICIENT _ 或 OK 状态。(可选)确保所有操作都与命名相匹配ARN。COMPLIANT如果没有为警报或可选参数指定操作,则规则为 NON _。
A3.5.1 发现并应对可疑事件。(PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

确保某个资源类型有针对指定指标的 CloudWatch 警报。对于资源类型,您可以指定EBS卷、EC2实例、Amazon RDS 集群或 S3 存储桶。规则是指定指标COMPLIANT是否有资源 ID 和 CloudWatch 警报。
A3.5.1 发现并应对可疑事件。(PCI-DSS-v4.0)

cloudwatch-alarm-settings-check

确保具有给定指标名称的 CloudWatch 警报具有指定的设置。
A3.5.1 发现并应对可疑事件。(PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

确保已启用 AWS WAFv2规则组上的 Amazon CloudWatch 安全指标收集。COMPLIANT如果是 ',则规则是 NON _ VisibilityConfig。 CloudWatchMetricsEnabled'字段设置为 false。
A3.5.1 发现并应对可疑事件。(PCI-DSS-v4.0)

sns-topic-message-delivery-启用通知

确保已启用 Amazon 简单通知服务 (SNS) 日志记录发送到终端节点主题的通知消息的发送状态。COMPLIANT如果未启用邮件的传送状态通知,则规则为 NON _。

模板

该模板可在以下网址获得 GitHub:PCIDSS4.0 最佳运营实践(包括全球资源类型)