本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于亚马逊的 Security Hub 控件 EC2
这些 AWS Security Hub 控制措施评估亚马逊弹性计算云 (AmazonEC2) 的服务和资源。
这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[EC2.1] Amazon EBS 快照不应公开恢复
相关要求:PCIDSSv3.2.1/1.2.1、v3.2.1/1. PCI DSS 3.1、v3.2.1/1.3. PCI DSS 4、v3.2. PCI DSS 1/7.2.1、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3 (7)、(21)、、(11)、(16) NIST.800-53.r5 AC-3、(20)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、(20)、(21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、(9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
类别:保护 > 安全网络配置
严重性:严重
资源类型:AWS::::Account
AWS Config 规则:ebs-snapshot-public-restorable-check
计划类型:定期
参数:无
此控件检查 Amazon Elastic Block Store 快照是否非公开。如果任何人都可以恢复 Amazon EBS 快照,则控制失败。
EBS快照用于在特定时间点将EBS卷上的数据备份到 Amazon S3。您可以使用快照恢复EBS卷的先前状态。与公众共享快照几乎是不允许的。通常,公开共享快照的决定要么是决策错误,要么是没有完全理解其含义。此检查有助于确保所有此类共享都是完全经过规划并且是有意进行的。
修复
要将公共EBS快照设为私有,请参阅 Amazon EC2 用户指南中的共享快照。在操作、修改权限中,选择私有。
[EC2.2] VPC 默认安全组不应允许入站或出站流量
相关要求:PCIDSSv3.2.1/1.2.1、v3.2.1/1.3. PCI DSS 4、v3.2.1/2.1、基金会基准 v1. PCI DSS 2.0/4.3、基金会基准 v1.4.0/5.3、CIS AWS 基金会基准 v3.0.0/5.4、、CIS AWS (21)、(11)、(16)、(21)、CIS AWS (21)、(21)、(21)、(5) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
类别:保护 > 安全网络配置
严重性:高
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:vpc-default-security-group-closed
计划类型:已触发变更
参数:无
此控件检查的默认安全组是VPC允许入站流量还是出站流量。如果安全组允许入站或出站流量,则控制失败。
默认安全组的规则允许来自分配给相同安全组的网络接口(及其关联实例)的所有出站和入站流量。我们建议您不要使用默认安全组。由于无法删除默认安全组,因此您应更改默认安全组规则设置以限制入站和出站流量。如果意外为EC2实例等资源配置了默认安全组,这可以防止意外流量。
修复
要修复此问题,请先创建新的最低权限安全组。有关说明,请参阅 Amazon VPC 用户指南中的创建安全组。然后,将新的安全组分配给您的EC2实例。有关说明,请参阅 Amazon EC2 用户指南中的更改实例的安全组。
将新安全组分配给资源后,从默认安全组中删除所有入站和出站规则。有关说明,请参阅 Amazon VPC 用户指南中的配置安全组规则。
[EC2.3] 附加的 Amazon EBS 卷应在静态状态下进行加密
相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、NIST .800-53.r5 SI-7 (6)
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::EC2::Volume
AWS Config 规则:encrypted-volumes
计划类型:已触发变更
参数:无
此控件检查处于连接状态的EBS卷是否已加密。要通过此检查,EBS卷必须处于使用状态并已加密。如果未连接EBS音量,则不受此项检查的约束。
为了增加EBS卷中敏感数据的安全性,您应该启用静EBS态加密。Amazon EBS encryption 为您的EBS资源提供了一种简单的加密解决方案,无需您构建、维护和保护自己的密钥管理基础设施。它在创建加密卷和快照时使用KMS密钥。
要了解有关亚马逊EBS加密的更多信息,请参阅亚马逊EC2用户指南中的亚马逊EBS加密。
修复
没有直接对现有未加密卷或快照进行加密的方法。您只能在新的卷或快照创建时对其进行加密。
如果您默认启用了加密,Amazon EBS 会使用您的默认密钥对生成的新卷或快照进行加密,以进行亚马逊EBS加密。即使您未启用默认加密,也可以在创建单个卷或快照时启用加密。在这两种情况下,您都可以替换 Amazon EBS 加密的默认密钥并选择对称的客户托管密钥。
有关更多信息,请参阅亚马逊EC2用户指南中的创建亚马逊EBS卷和复制亚马逊EBS快照。
[EC2.4] 应在指定时间段后移除已停止的EC2实例
相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2、.800-53.r5 CM-2 (2) NIST
类别:识别 > 清单
严重性:中
资源类型:AWS::EC2::Instance
AWS Config 规则:ec2-stopped-instance
计划类型:定期
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
在生成失败的查找结果之前,允许EC2实例处于停止状态的天数。 |
整数 |
|
|
此控件可检查 Amazon EC2 实例的停止时间是否超过允许的天数。如果EC2实例停止的时间超过允许的最大时间段,则控制失败。除非您为允许的最大时间段提供自定义参数值,否则 Security Hub 将使用默认值即 30 天。
当一个EC2实例在很长一段时间内没有运行时,就会造成安全风险,因为该实例没有得到积极维护(分析、修补、更新)。如果稍后启动,则由于缺乏适当的维护,可能会导致您的 AWS 环境出现意外问题。要在一段时间内安全地将EC2实例保持在非活动状态,请定期启动实例进行维护,然后在维护后将其停止。理想情况下,这应是一个自动化的过程。
修复
要终止非活动EC2实例,请参阅 Amazon EC2 用户指南中的终止实例。
[EC2.6] 应全部启用VPC流日志记录 VPCs
相关要求:CIS AWS 基金会基准 v1.2.0/2.9、基金会基准 v1.4.0/3.9、CIS AWS 基金会基准 v3.0.0/3.7、v3.2.1/10.3. PCI DSS 3、v3.2.1/10.3.4、CIS AWS v3.2.1/10.3.5、v3.2.1/10.3.5、v3.2.1/10.3.6、(26)、.800-53.r5 SI-7 (8) PCI DSS PCI DSS PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST
类别:识别 > 日志记录
严重性:中
资源类型:AWS::EC2::VPC
AWS Config 规则:vpc-flow-logs-enabled
计划类型:定期
参数:
-
trafficType:REJECT(不可自定义)
此控件检查是否已找到并启用了 Amazon VPC Flow Logs VPCs。流量类型设置为 Reject。如果您的账户中未启用 VPC Flow LogsVPCs,则控制失败。
注意
此控件不检查是否已通过 Amazon Security Lake 为该启用亚马逊VPC流日志 AWS 账户。
借助 VPC Flow Logs 功能,您可以捕获有关进出您的网络接口的 IP 地址流量的信息VPC。创建流日志后,可以在 CloudWatch 日志中查看和检索其数据。为了降低成本,您还可以将流日志发送到 Amazon S3。
Security Hub 建议您为的拒绝数据包启用流量记录。VPCs流日志提供对穿越的网络流量的可见性,VPC并且可以在安全工作流程中检测异常流量或提供见解。
默认情况下,记录包括 IP 地址流的不同组件的值,包括源、目标和协议。有关日志字段的更多信息和描述,请参阅 Amazon VPC 用户指南中的VPC流日志。
修复
要创建VPC流日志,请参阅 Amazon VPC 用户指南中的创建流日志。打开 Amazon VPC 控制台后,选择您的VPCs。对于筛选条件,选择拒绝或全部。
[EC2.7] 应EBS启用默认加密
相关要求:CIS AWS 基金会基准 v1.4.0/2.2.1、CIS AWS 基金会基准 v3.0.0/2.2.1、(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、8 NIST.800-53.r5 CA-9 (1)、(10)、. NIST.800-53.r5 SC-2 800-53.r5 SI- NIST.800-53.r5 SC-2 7 (6) NIST.800-53.r5 SC-7 NIST
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::::Account
AWS Config 规则:ec2-ebs-encryption-by-default
计划类型:定期
参数:无
此控件检查亚马逊弹性区块存储 (Amazon) 是否默认启用账户级加密。EBS如果未启用账户级别加密,则控制失败。
为您的账户启用加密后,Amazon EBS 卷和快照副本将进行静态加密。这为数据增加了一层额外的保护。有关更多信息,请参阅 Amazon EC2 用户指南中的默认加密。
请注意,以下实例类型不支持加密:R1、C1 和 M1。
修复
要为 Amazon EBS 卷配置默认加密,请参阅《亚马逊EC2用户指南》中的默认加密。
[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2
相关要求:Foun d CIS AWS ations Benchmark v3.0.0/5.6、、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、v4.0.1/2.6 NIST.800-53.r5 AC-6 PCI DSS
类别:保护 > 网络安全
严重性:高
资源类型:AWS::EC2::Instance
AWS Config 规则:ec2-imdsv2-check
计划类型:已触发变更
参数:无
此控件检查您的EC2实例元数据版本是否配置了实例元数据服务版本 2 (IMDSv2)。如果设置HttpTokens为 “必需”,则控制通过IMDSv2。如果设置为,HttpTokens则控制失败optional。
您可以使用实例元数据来配置或管理正在运行的实例。IMDS提供对临时的、经常轮换的证书的访问权限。这些凭证消除了手动或以编程方式对实例进行硬编码或分发敏感凭证的需要。IMDS在本地附加到每个EC2实例。它在特殊的“链路本地地址”IP 地址 169.254.169.254。该 IP 地址只能由实例上运行的软件访问。
的版本 2 为以下类型的漏洞IMDS添加了新的保护措施。这些漏洞可能被用来尝试访问IMDS。
-
打开网站应用程序防火墙
-
打开反向代理
-
服务器端请求伪造 () 漏洞 SSRF
-
打开第 3 层防火墙和网络地址转换 () NAT
Security Hub 建议您使用配置EC2实例IMDSv2。
修复
要使用配置EC2实例IMDSv2,请参阅 Amazon EC2 用户指南IMDSv2中的推荐请求路径。
[EC2.9] Amazon EC2 实例不应有公共地址 IPv4
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)
类别:保护 > 安全网络配置 > 不公开访问的资源
严重性:高
资源类型:AWS::EC2::Instance
AWS Config 规则:ec2-instance-no-public-ip
计划类型:已触发变更
参数:无
此控件检查EC2实例是否具有公有 IP 地址。如果该publicIp字段存在于EC2实例配置项目中,则控件将失败。此控件仅适用于IPv4地址。
公共IPv4地址是可通过互联网访问的 IP 地址。如果您使用公有 IP 地址启动实例,则可以通过 Internet 访问您的EC2实例。私有IPv4地址是无法通过互联网访问的 IP 地址。您可以使用私有IPv4地址在相同VPC或已连接的私有网络中的EC2实例之间进行通信。
IPv6地址是全球唯一的,因此可以从互联网访问。但是,默认情况下,所有子网的IPv6寻址属性都设置为 false。有关更多信息IPv6,请参阅《Amazon VPC 用户指南》VPC中您的 IP 地址。
如果您有合法的用例来维护具有公有 IP 地址的EC2实例,则可以禁止通过此控件发现的结果。有关前端架构选项的更多信息,请参阅AWS 架构博客
修复
使用非默认值,VPC这样您的实例在默认情况下就不会被分配公有 IP 地址。
当您将EC2实例启动为默认值时VPC,系统会为其分配一个公有 IP 地址。当您将EC2实例启动到非默认状态时VPC,子网配置将决定它是否接收公有 IP 地址。子网具有一个属性,用于确定子网中的新EC2实例是否从公有地址池接收公有 IP IPv4 地址。
您可以取消自动分配的公有 IP 地址与您的实例的关联。EC2有关更多信息,请参阅 Amazon EC2 用户指南中的公用IPv4地址和外部DNS主机名。
[EC2.10] EC2 应将亚马逊配置为使用为亚马逊EC2服务创建的VPC终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全网络配置 > API 私人访问
严重性:中
资源类型:AWS::EC2::VPC
AWS Config 规则:service-vpc-endpoint-enabled
计划类型:定期
参数:
-
serviceName:ec2(不可自定义)
此控件检查是否为每个 Amazon EC2 创建了服务终端节点VPC。如果VPC没有为 Amazon EC2 服务创建VPC终端节点,则控制失败。
此控件评估单个账户中的资源。它不能描述账户之外的资源。由于而 AWS Config 且 Security Hub 不进行跨账户检查,因此您将看到跨账户共享的FAILEDVPCs结果。Security Hub 建议您隐瞒这些 FAILED 结果。
要改善您的安全状况VPC,您可以将 Amazon 配置EC2为使用接口VPC终端节点。接口终端节点由一项技术提供支持 AWS PrivateLink,该技术使您能够私下访问 Amazon 的EC2API操作。它将您VPC和亚马逊之间的所有网络流量限制在亚马逊EC2网络上。由于仅在同一区域内支持终端节点,因此您无法在不同区域的VPC和服务之间创建终端节点。这样可以防止 Amazon 无意中EC2API拨打其他地区的电话。
要了解有关为亚马逊创建VPC终端节点的更多信息EC2,请参阅亚马逊EC2用户指南中的亚马逊EC2和接口VPC终端节点。
修复
要EC2从亚马逊VPC控制台创建通往亚马逊的接口终端节点,请参阅AWS PrivateLink 指南中的创建VPC终端节点。对于服务名称,请选择 com.amazonaws。 region.ec2。
您还可以创建终端节点策略并将其附加到您的终端VPC节点,以控制对 Amazon 的访问EC2API。有关创建VPC终端节点策略的说明,请参阅 Amazon EC2 用户指南中的创建终端节点策略。
[EC2.12] EC2 EIPs 应移除未使用的亚马逊
相关要求:PCIDSSv3.2.1/2.4、NIST .800-53.r5 CM-8 (1)
类别:保护 > 安全网络配置
严重性:低
资源类型:AWS::EC2::EIP
AWS Config 规则:eip-attached
计划类型:已触发变更
参数:无
此控件检查分配给的弹性 IP (EIP) 地址VPC是连接到EC2实例还是正在使用的弹性网络接口 (ENIs)。
查找失败表示您可能有未使用过的东西EC2EIPs。
这将帮助您在持卡人数据环境EIPs中维护准确的资产清单(CDE)。
修复
要释放未使用的弹性 IP 地址EIP,请参阅 Amazon EC2 用户指南中的释放弹性 IP 地址。
[EC2.13] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 22
相关要求:Foun d CIS AWS ations Benchmark v1.2.0/4.1、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、v3.2.1/2. PCI DSS 2、、(21)、(11)、(16)、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-4、(4)、 NIST.800-53.r5 SC-7(5) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7、v4.0.1/1.3.1 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 PCI DSS
类别:保护 > 安全网络配置
严重性:高
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:restricted-ssh
计划类型:已触发更改且定期进行
参数:无
此控件检查 Amazon EC2 安全组是否允许从 0.0.0.0/0 或:: /0 到端口 22 的入口。如果安全组允许从 0.0.0.0/0 或 ::/0 进入端口 22,则控制失败。
安全组为 AWS 资源提供传入和传出网络流量的有状态筛选。我们建议不要让任何安全组允许对端口 22 进行不受限制的传入访问。移除与远程控制台服务(例如)的不受限制的SSH连接可降低服务器面临的风险。
修复
要禁止进入端口 22,请移除允许与关联的每个安全组进行此类访问的VPC规则。有关说明,请参阅 Amazon EC2 用户指南中的更新安全组规则。在 Amazon EC2 控制台中选择安全组后,选择操作、编辑入站规则。删除允许访问端口 22 的规则。
[EC2.14] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 3389
相关要求:Foundations Benchm CIS AWS ark v1.2.0/4.2、v4.0.1/1.3.1 PCI DSS
类别:保护 > 安全网络配置
严重性:高
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:restricted-common-ports(创建的规则是restricted-rdp)
计划类型:已触发更改且定期进行
参数:无
此控件检查 Amazon EC2 安全组是否允许从 0.0.0.0/0 或:: /0 到端口 3389 的入口。如果安全组允许从 0.0.0.0/0 或 ::/0 进入端口 3389,则控制失败。
安全组为 AWS 资源提供传入和传出网络流量的有状态筛选。我们建议不要让任何安全组允许对端口 3389 进行不受限制的传入访问。移除与远程控制台服务(例如)的不受限制的RDP连接可降低服务器面临的风险。
修复
要禁止进入端口 3389,请移除允许与关联的每个安全组进行此类访问的规则。VPC有关说明,请参阅 Amazon VPC 用户指南中的更新安全组规则。在 Amazon VPC 控制台中选择安全组后,选择操作、编辑入站规则。删除允许访问端口 3389 的规则。
[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7、(16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、PCI DSS v4.0.1/1.4.4
类别:保护 > 网络安全
严重性:中
资源类型:AWS::EC2::Subnet
AWS Config 规则:subnet-auto-assign-public-ip-disabled
计划类型:已触发变更
参数:无
此控件可检查 Amazon Virtual Pri IPs vate Cloud (AmazonVPC) 子网中的公共资源分配是否已MapPublicIpOnLaunch设置为FALSE。如果将该标志设置为 FALSE,则控制通过。
所有子网都有一个属性,用于确定在子网中创建的网络接口是否自动接收公有IPv4地址。启动到启用了此属性的子网中的实例会为其主网络接口分配一个公共 IP 地址。
修复
要将子网配置为不分配公有 IP 地址,请参阅 Amazon VPC 用户指南中的修改子网的公有IPv4寻址属性。清除 “启用自动分配公共IPv4地址” 复选框。
[EC2.16] 应删除未使用的网络访问控制列表
相关要求:NIST.800-53.r5 CM-8 (1)、v4.0.1/1.2.7 PCI DSS
类别:保护 > 网络安全
严重性:低
资源类型:AWS::EC2::NetworkAcl
AWS Config 规则:vpc-network-acl-unused-check
计划类型:已触发变更
参数:无
此控件检查您的虚拟私有云(ACLs)中是否存在任何未使用的网络访问控制列表(网络VPC)。如果网络ACL未与子网关联,则控制失败。该控件不会为未使用的默认网络生成调查结果ACL。
该控件检查资源的项目配置AWS::EC2::NetworkAcl并确定网络的关系ACL。
如果唯一的关系是VPC网络关系ACL,则控制失败。
如果列出了其他关系,则控件通过。
修复
有关删除未使用的网络的说明ACL,请参阅 Amazon VPC 用户指南ACL中的删除网络。您无法删除默认网络ACL或与子网关联的网络。ACL
[EC2.17] Amazon EC2 实例不应使用多个 ENIs
相关要求: NIST.800-53.r5 AC-4(21)
类别:保护 > 网络安全
严重性:低
资源类型:AWS::EC2::Instance
AWS Config 规则:ec2-instance-multiple-eni-check
计划类型:已触发变更
参数:无
此控件检查EC2实例是使用多个弹性网络接口 (ENIs) 还是弹性结构适配器 (EFAs)。如果使用单个网络适配器,则此控制通过。该控件包括一个可选的参数列表,用于标识允许的参数ENIs。如果属于 Amazon EKS 集群的EC2实例使用多个实例,则此控制也会失败ENI。如果您的EC2实例需要在 Amazon EKS 集群中包含多个ENIs实例,则可以隐藏这些控制结果。
多个实例ENIs可能导致双宿主实例,即具有多个子网的实例。这会增加网络安全的复杂性并引入意外的网络路径和访问。
修复
要将网络接口与EC2实例分离,请参阅 A mazon EC2 用户指南中的将网络接口与实例分离。
[EC2.18] 安全组应只允许授权端口不受限制的传入流量
相关要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (5)
类别:保护 > 安全网络配置 > 安全组配置
严重性:高
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:vpc-sg-open-only-to-authorized-ports
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
授权TCP端口清单 |
IntegerList (最少 1 件商品,最多 32 件商品) |
|
|
|
|
授权UDP端口清单 |
IntegerList (最少 1 件商品,最多 32 件商品) |
|
无默认值 |
此控件检查 Amazon EC2 安全组是否允许来自未经授权的端口不受限制的传入流量。控制状态如下所示确定:
-
如果您使用
authorizedTcpPorts的默认值,则当安全组允许从端口 80 和 443 以外的任何端口传入无限制流量时,则控制失败。 -
如果您为
authorizedTcpPorts或authorizedUdpPorts提供自定义值,则当安全组允许从任何未列出的端口传入无限制流量时,则控制失败。 -
如果不使用任何参数,则对于任何具有不受限制入站流量规则的安全组,则控制失败。
安全组提供对 AWS的传入和传出网络流量的状态筛选。安全组规则应遵循最低权限访问的原则。不受限制的访问(带有 /0 后缀的 IP 地址)增加了黑客 denial-of-service攻击、攻击和数据丢失等恶意活动的机会。除非明确允许某个端口,否则该端口应拒绝不受限制的访问。
修复
要修改安全组,请参阅 Amazon VPC 用户指南中的使用安全组。
[EC2.19] 安全组不应允许不受限制地访问高风险端口
相关要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (5)
类别:保护 > 受限网络访问
严重性:严重
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:restricted-common-ports(创建的规则是vpc-sg-restricted-common-ports)
计划类型:已触发更改且定期进行
参数:"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"(不可自定义)
此控件检查被视为高风险的指定端口是否可以访问 Amazon EC2 安全组不受限制的传入流量。如果安全组中的任何规则允许从“0.0.0.0/0”或“::/0”传入这些端口的流量,则控制失败。
安全组为 AWS 资源提供传入和传出网络流量的有状态筛选。不受限制的访问 (0.0.0.0/0) 增加了恶意活动的机会,例如黑客 denial-of-service攻击、攻击和数据丢失。任何安全组都不应允许对以下端口进行不受限制的入口访问:
-
20、21 (FTP)
-
22 (SSH)
-
23 (Telnet)
-
25 (SMTP)
-
110 (POP3)
-
135 (RPC)
-
143 (IMAP)
-
445 () CIFS
-
1433、1434 () MSSQL
-
3000(Go、Node.js 和 Ruby Web 开发框架)
-
3306(我的)SQL
-
3389 () RDP
-
4333 (ahsp)
-
5000(Python 网络开发框架)
-
5432 (postgresql)
-
5500 (fcp-addr-srvr1)
-
5601(仪表板)OpenSearch
-
8080(代理)
-
8088(旧版HTTP端口)
-
8888(备用HTTP端口)
-
9200 或 9300 () OpenSearch
修复
要从安全组中删除规则,请参阅 Amazon EC2 用户指南中的从安全组中删除规则。
[EC2.20] AWS Site-to-Site VPN 连接的两VPN条隧道都应处于开启状态
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、NIST .800-53.r5 SI-13 (5)
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::EC2::VPNConnection
AWS Config 规则:vpc-vpn-2-tunnels-up
计划类型:已触发变更
参数:无
VPN隧道是一种加密链路,数据可以在其中从客户网络传入或传出 AWS Site-to-Site VPN连接 AWS 内。每个VPN连接包括两VPN条隧道,您可以同时使用这两条隧道来实现高可用性。要确认远程网络和远程网络之间的安全且高度可用的VPN连接,请务必确保两VPN条隧道都处于连接状态。 AWS VPC
此控件会检查提供的两VPN条隧道是否 AWS Site-to-Site VPN都处于 UP 状态。如果一条或两条隧道都处于DOWN状态,则控制失败。
修复
要修改VPN隧道选项,请参阅 AWS Site-to-Site VPN用户指南中的修改 Site-to-SiteVPN隧道选项。
[EC2.21] 网络ACLs不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
相关要求:Foundati CIS AWS ons Benchmark v1.4.0/5.1、Foundati CIS AWS ons Benchmark v3.0.0/5.1、 NIST.800-53.r5 AC-4 (21)、(5)、v4.0.1/1.3.1、 NIST.800-53.r5 CA-9 (21)、 NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7、v4.0.1/1.3.1 NIST.800-53.r5 SC-7 PCI DSS
类别:保护 > 安全网络配置
严重性:中
资源类型:AWS::EC2::NetworkAcl
AWS Config 规则:nacl-no-unrestricted-ssh-rdp
计划类型:已触发变更
参数:无
此控件检查网络访问控制列表(网络ACL)是否允许 SSH /入RDP口流量不受限制地访问默认TCP端口。如果网络ACL入站条目允许端口 22 或 3389 使用 '0.0.0.0/0' 或 ':: /0' 的源CIDR块,则控制失败。TCP该控件不会生成默认网络的调查结果ACL。
不应公开访问远程服务器管理端口,例如端口 22 (SSH) 和端口 3389 (RDP),因为这可能会允许对您内部的资源进行意外访问。VPC
修复
要编辑网络ACL流量规则,请参阅 Amazon VPC 用户指南ACLs中的使用网络。
[EC2.22] 应移除未使用的亚马逊EC2安全组
重要
RETIREDFROMSPECIFICSTANDARDS— Security Hub 于 2023 年 9 月 20 日从 AWS 基础安全最佳实践标准和 NIST SP 800-53 Rev. 5 中删除了此控件。此控件仍然是服务管理标准的一部分: AWS Control Tower. 如果安全组已连接到EC2实例或 elastic network interface,则此控件会生成通过检索结果。但是,对于某些用例,未附加的安全组不会构成安全风险。您可以使用其他EC2控件(例如 EC2 .2、. EC2 13、. EC2 14、. EC2 18 和 EC2 .19)来监控您的安全组。
类别:识别 > 清单
严重性:中
资源类型:AWS::EC2::NetworkInterface、AWS::EC2::SecurityGroup
AWS Config 规则:ec2-security-group-attached-to-eni-periodic
计划类型:定期
参数:无
此控件检查安全组是连接到亚马逊弹性计算云 (AmazonEC2) 实例还是连接到弹性网络接口。如果安全组未与 Amazon EC2 实例或 elastic network 接口关联,则控制失败。
修复
要创建、分配和删除安全组,请参阅 Amazon EC2 用户指南中的安全组。
[EC2.23] Amazon Tr EC2 ansit Gateways 不应自动接受VPC附件请求
相关要求: NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 CA-9 (1)、NIST .800-53.r5 CM-2
类别:保护 > 安全网络配置
严重性:高
资源类型:AWS::EC2::TransitGateway
AWS Config 规则:ec2-transit-gateway-auto-vpc-attach-disabled
计划类型:已触发变更
参数:无
此控件检查EC2公交网关是否自动接受共享VPC附件。对于自动接受共享VPC附件请求的传输网关,此控制失败。
开启后,传输网关将AutoAcceptSharedAttachments配置为自动接受任何跨账户的VPC附件请求,无需验证请求或源自哪个账户。为了遵循授权和身份验证的最佳实践,我们建议关闭此功能,以确保仅接受经过授权的VPC附件请求。
修复
要修改公交网关,请参阅 Amazon VPC 开发者指南中的修改传输网关。
[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型
相关要求:NIST.800-53.r5 CM-2、.800-53.r5 CM-2 (2) NIST
类别:识别 > 漏洞、补丁和版本管理
严重性:中
资源类型:AWS::EC2::Instance
AWS Config 规则:ec2-paravirtual-instance-check
计划类型:已触发变更
参数:无
此控件检查EC2实例的虚拟化类型是否为半虚拟化。如果将EC2实例virtualizationType的设置为,则控件将失败paravirtual。
Linux Amazon 机器映像 (AMIs) 使用两种虚拟化类型之一:半虚拟化 (PV) 或硬件虚拟机 (HVM)。PV 和HVMAMIs之间的主要区别在于它们的启动方式以及它们能否利用特殊的硬件扩展(CPU网络和存储)来提高性能。
从历史上看,在许多情况下,PV HVM 访客的性能要好于访客,但是由于HVM虚拟化的增强以及光伏驱动程序的可用性 HVMAMIs,这种情况已不再如此。有关更多信息,请参阅 Amazon EC2 用户指南中的 Linux AMI 虚拟化类型。
修复
要将EC2实例更新为新的实例类型,请参阅 Amazon EC2 用户指南中的更改实例类型。
[EC2.25] Amazon EC2 启动模板不应将公共分配IPs给网络接口
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7、(16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、PCI DSS v4.0.1/1.4.4
类别:保护 > 安全网络配置 > 不公开访问的资源
严重性:高
资源类型:AWS::EC2::LaunchTemplate
AWS Config 规则:ec2-launch-template-public-ip-disabled
计划类型:已触发变更
参数:无
此控件会检查 Amazon EC2 启动模板是否配置为在启动时为网络接口分配公有 IP 地址。如果将EC2启动模板配置为为网络接口分配公有 IP 地址,或者至少有一个具有公有 IP 地址的网络接口,则控制失败。
公共 IP 地址是可通过 Internet 访问的地址。如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问与这些网络接口关联的资源。 EC2不应公开访问资源,因为这可能会允许对您的工作负载进行意外访问。
修复
要更新EC2启动模板,请参阅 Amazon A EC2 uto Scaling 用户指南中的更改默认网络接口设置。
[EC2.28] EBS 卷应包含在备份计划中
类别:恢复 > 弹性 > 启用备份
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST .800-53.r5 SI-12、.800-53.r5 SI-13 (5) NIST
严重性:低
资源类型:AWS::EC2::Volume
AWS Config 规则:ebs-resources-protected-by-backup-plan
计划类型:定期
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
如果将参数设置为, |
布尔值 |
|
无默认值 |
此控件用于评估in-use处于状态的 Amazon EBS 卷是否包含在备份计划中。如果备份计划未涵盖某个EBS卷,则控制失败。如果将backupVaultLockCheck参数设置为true,则仅当EBS卷备份到 AWS Backup 锁定的存储库中时,控制才会通过。
备份可帮助您更快地从安全事件中恢复。它们还增强了系统的故障恢复能力。在备份计划中加入Amazon EBS 卷有助于保护您的数据免遭意外丢失或删除。
修复
要将 Amazon EBS 卷添加到 AWS Backup 备份计划中,请参阅AWS Backup 开发人员指南中的为备份计划分配资源。
[EC2.33] 应EC2标记公交网关附件
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::TransitGatewayAttachment
AWS Config 规则:tagged-ec2-transitgatewayattachment(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon T EC2 ransit Gateway 附件是否具有参数中定义的特定密钥的标签requiredTagKeys。如果中转网关连接没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果中转网关连接没有使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要为EC2公交网关附件添加标签,请参阅亚马逊EC2用户指南中的为亚马逊EC2资源添加标签。
[EC2.34] 应EC2标记公交网关路由表
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::TransitGatewayRouteTable
AWS Config 规则:tagged-ec2-transitgatewayroutetable(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon T EC2 ransit Gateway 路由表是否具有参数中定义的特定密钥的标签requiredTagKeys。如果中转网关路由表没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果中转网关路由表未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向EC2公交网关路由表添加标签,请参阅亚马逊EC2用户指南中的为亚马逊EC2资源添加标签。
[EC2.35] 应标记EC2网络接口
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::NetworkInterface
AWS Config 规则:tagged-ec2-networkinterface(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 网络接口是否具有参数中定义的特定密钥的标签requiredTagKeys。如果网络接口没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果网络接口未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向EC2网络接口添加标签,请参阅《亚马逊EC2用户指南》中的为亚马逊EC2资源添加标签。
[EC2.36] 应标记EC2客户网关
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::CustomerGateway
AWS Config 规则:tagged-ec2-customergateway(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 客户网关是否具有参数中定义的特定密钥的标签requiredTagKeys。如果客户网关没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果客户网关未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向EC2客户网关添加标签,请参阅亚马逊EC2用户指南中的为您的亚马逊EC2资源添加标签。
[EC2.37] 应标记EC2弹性 IP 地址
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::EIP
AWS Config 规则:tagged-ec2-eip(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 弹性 IP 地址是否具有参数中定义的特定密钥的标签requiredTagKeys。如果弹性 IP 地址没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果弹性 IP 地址未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要为EC2弹性 IP 地址添加标签,请参阅亚马逊EC2用户指南中的为亚马逊EC2资源添加标签。
应标EC2记 [.38] 个EC2实例
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::Instance
AWS Config 规则:tagged-ec2-instance(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 实例是否具有参数中定义的特定密钥的标签requiredTagKeys。如果实例没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果实例未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要为EC2实例添加标签,请参阅亚马逊EC2用户指南中的为亚马逊EC2资源添加标签。
[EC2.39] 应标记EC2互联网网关
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::InternetGateway
AWS Config 规则:tagged-ec2-internetgateway(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 互联网网关是否具有参数中定义的特定密钥的标签requiredTagKeys。如果互联网网关没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果互联网网关未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向EC2互联网网关添加标签,请参阅亚马逊EC2用户指南中的为亚马逊EC2资源添加标签。
[EC2.40] 应EC2NAT标记网关
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::NatGateway
AWS Config 规则:tagged-ec2-natgateway(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 网络地址转换 (NAT) 网关是否具有参数中定义的特定密钥的标签requiredTagKeys。如果NAT网关没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果NAT网关未使用任何密钥进行标记,则该控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向EC2NAT网关添加标签,请参阅《亚马逊EC2用户指南》中的为你的亚马逊EC2资源添加标签。
[EC2.41] ACLs 应标记EC2网络
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::NetworkAcl
AWS Config 规则:tagged-ec2-networkacl(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 网络访问控制列表(网络ACL)是否具有参数中定义的特定密钥的标签requiredTagKeys。如果网络ACL没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果网络ACL未使用任何密钥标记,则该控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向EC2网络添加标签ACL,请参阅《亚马逊EC2用户指南》中的为您的亚马逊EC2资源添加标签。
[EC2.42] 应标记EC2路由表
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::RouteTable
AWS Config 规则:tagged-ec2-routetable(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 路由表是否具有参数中定义的特定密钥的标签requiredTagKeys。如果路由表没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果路由表未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向EC2路由表添加标签,请参阅《亚马逊EC2用户指南》中的为亚马逊EC2资源添加标签。
[EC2.43] 应标记EC2安全组
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:tagged-ec2-securitygroup(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 安全组是否具有参数中定义的特定密钥的标签requiredTagKeys。如果安全组没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果安全组未使用任何键进行标记,则此控件将失效。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向EC2安全组添加标签,请参阅《亚马逊EC2用户指南》中的为亚马逊EC2资源添加标签。
[EC2.44] 应EC2标记子网
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::Subnet
AWS Config 规则:tagged-ec2-subnet(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 子网是否具有参数中定义的特定密钥的标签requiredTagKeys。如果子网没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果子网未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向EC2子网添加标签,请参阅《亚马逊EC2用户指南》中的为亚马逊EC2资源添加标签。
[EC2.45] EC2 卷应标记
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::Volume
AWS Config 规则:tagged-ec2-subnet(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 卷是否具有参数中定义的特定密钥的标签requiredTagKeys。如果卷没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果卷未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要为EC2卷添加标签,请参阅《亚马逊EC2用户指南》中的为您的亚马逊EC2资源添加标签。
[EC2.46] VPCs 应该给亚马逊贴上标签
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::VPC
AWS Config 规则:tagged-ec2-vpc(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查亚马逊虚拟私有云 (AmazonVPC) 是否具有参数中定义的特定密钥的标签requiredTagKeys。如果 Amazon VPC 没有任何标签密钥或参数中没有指定的所有密钥,则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果 Amazon VPC 未使用任何密钥标记,则该控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向添加标签VPC,请参阅《亚马逊EC2用户指南》中的为亚马逊EC2资源添加标签。
[EC2.47] 应标记亚马逊VPC终端节点服务
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::VPCEndpointService
AWS Config 规则:tagged-ec2-vpcendpointservice(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon VPC 终端节点服务是否具有参数中定义的特定密钥的标签requiredTagKeys。如果端点服务没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果端点服务未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 Amazon VPC 终端节点服务添加标签,请参阅AWS PrivateLink 指南配置终端节点服务部分中的管理标签。
[EC2.48] 应标记 Amazon VPC 流日志
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::FlowLog
AWS Config 规则:tagged-ec2-flowlog(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon VPC 流日志是否具有参数中定义的特定密钥的标签requiredTagKeys。如果流日志没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果流日志未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 Amazon VPC 流日志添加标签,请参阅《亚马逊VPC用户指南》中的为流日志添加标签。
[EC2.49] 应VPC标记 Amazon 对等连接进行标记
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::VPCPeeringConnection
AWS Config 规则:tagged-ec2-vpcpeeringconnection(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amaz VPC on 对等连接是否具有参数requiredTagKeys中定义的特定密钥的标签。如果对等连接没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果对等连接未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要为亚马逊对VPC等连接添加标签,请参阅亚马逊EC2用户指南中的为亚马逊EC2资源添加标签。
[EC2.50] 应EC2VPN标记网关
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::VPNGateway
AWS Config 规则:tagged-ec2-vpngateway(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 VPN 网关是否具有参数中定义的特定密钥的标签requiredTagKeys。如果VPN网关没有任何标签密钥或者没有参数中指定的所有密钥,则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果VPN网关未使用任何密钥进行标记,则该控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向EC2VPN网关添加标签,请参阅《亚马逊EC2用户指南》中的为你的亚马逊EC2资源添加标签。
[EC2.51] EC2 客户端VPN端点应启用客户端连接日志记录
相关要求: NIST.800-53.r5 AC-2(12)、(4)、(26)、 NIST.800-53.r5 AC-2 (9)、(9)、 NIST.800-53.r5 AC-4 .800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8)、 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 .800-53.r5 SI-4、NIST .800-53.r5 SI-4 (20)、.800-53.r5 SI-4 (20)、NIST .800-53.r5 SI-7 (8)、v4.0.1/10.2.1 NIST.800-53.r5 SC-7 NIST NIST PCI DSS
类别:识别 > 日志记录
严重性:低
资源类型:AWS::EC2::ClientVpnEndpoint
AWS Config 规则:ec2-client-vpn-connection-log-enabled
计划类型:已触发变更
参数:无
此控件检查 AWS Client VPN 端点是否启用了客户端连接日志记录。如果端点未启用客户端连接日志记录,则控制失败。
客户端VPN端点允许远程客户端安全地连接到虚拟私有云 (VPC) 中的资源 AWS。连接日志允许您跟踪VPN终端上的用户活动并提供可见性。启用连接日志记录时,可以在日志组中指定日志流的名称。如果您未指定日志流,则客户端VPN服务会为您创建一个日志流。
修复
要启用连接日志记录,请参阅《AWS Client VPN 管理员指南》中的为现有客户端VPN端点启用连接日志记录。
[EC2.52] 应EC2标记中转网关
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::TransitGateway
AWS Config 规则:tagged-ec2-transitgateway(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 |
No default value
|
此控件检查 Amazon EC2 公交网关是否具有参数中定义的特定密钥的标签requiredTagKeys。如果中转网关没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果中转网关未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向EC2公交网关添加标签,请参阅亚马逊EC2用户指南中的为亚马逊EC2资源添加标签。
[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口
相关要求:Foundations Benchm CIS AWS ark v3.0.0/5.2、v4.0.1/1.3.1 PCI DSS
类别:保护 > 安全网络配置 > 安全组配置
严重性:高
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:vpc-sg-port-restriction-check
计划类型:定期
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
IP 版本 |
String |
不可自定义 |
|
|
|
应拒绝入口流量的端口列表 |
IntegerList |
不可自定义 |
|
此控件检查 Amazon EC2 安全组是否允许从 0.0.0.0/0 进入远程服务器管理端口(端口 22 和 3389)。如果安全组允许从 0.0.0.0/0 进入端口 22 或 3389,则此控件将失败。
安全组对流向资源的入口和出口网络流量提供状态过滤。 AWS 我们建议任何安全组都不允许使用 TDP (6)、(17) 或 (-1) 协议SSH对远程服务器管理端口(例如端口 22 和RDP端口 3389)进行不受限制的入口访问。UDP ALL允许对这些端口进行公共访问会增加资源攻击面和资源泄露的风险。
修复
要更新EC2安全组规则以禁止进入指定端口的流量,请参阅 Amazon EC2 用户指南中的更新安全组规则。在 Amazon EC2 控制台中选择安全组后,选择操作、编辑入站规则。删除允许访问端口 22 或 3389 的规则。
[EC2.54] EC2 安全组不应允许从:: /0 进入远程服务器管理端口
相关要求:Foundations Benchm CIS AWS ark v3.0.0/5.3、v4.0.1/1.3.1 PCI DSS
类别:保护 > 安全网络配置 > 安全组配置
严重性:高
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:vpc-sg-port-restriction-check
计划类型:定期
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
IP 版本 |
String |
不可自定义 |
|
|
|
应拒绝入口流量的端口列表 |
IntegerList |
不可自定义 |
|
此控件检查 Amazon EC2 安全组是否允许从:: /0 进入远程服务器管理端口(端口 22 和 3389)。如果安全组允许从 ::/0 进入端口 22 或 3389,则此控件将失败。
安全组对流向资源的入口和出口网络流量提供状态过滤。 AWS 我们建议任何安全组都不允许使用 TDP (6)、(17) 或 (-1) 协议SSH对远程服务器管理端口(例如端口 22 和RDP端口 3389)进行不受限制的入口访问。UDP ALL允许对这些端口进行公共访问会增加资源攻击面和资源泄露的风险。
修复
要更新EC2安全组规则以禁止进入指定端口的流量,请参阅 Amazon EC2 用户指南中的更新安全组规则。在 Amazon EC2 控制台中选择安全组后,选择操作、编辑入站规则。删除允许访问端口 22 或 3389 的规则。
[EC2.55] VPCs 应配置接口终端节点 ECR API
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | ecr.api |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点ECRAPI。如果VPC没有的接口VPC终端节点,则控制失败ECRAPI。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.56] VPCs 应配置 Docker Registry 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | ecr.dkr |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件检查您管理的虚拟私有云 (VPC) 是否有 Docker Registry 的接口VPC端点。如果VPC没有 Docker Registry 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.57] VPCs 应使用 Systems Manager 的接口端点进行配置
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | ssm |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Systems Manager。如果VPC没有 Systems Manager 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | ssm-contacts |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件检查您管理的虚拟私有云 (VPC) 是否具有 AWS Systems Manager 事件管理器联系人的接口VPC端点。如果VPC没有 Systems Manager 事件管理器联系人的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | ssm-incidents |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件检查您管理的虚拟私有云 (VPC) 是否具有 AWS Systems Manager 事件管理器的接口VPC端点。如果VPC没有 Systems Manager 事件管理器的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.61] VPCs 应使用 Systems Manager 快速设置的接口端点进行配置
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | ssm-quicksetup |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件检查您管理的虚拟私有云 (VPC) 是否具有用于 AWS Systems Manager 快速设置的接口VPC端点。如果VPC没有 Systems Manager 快速设置的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.62] VPCs 应配置一个用于 CloudWatch 日志的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | logs |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon Logs 的接口VPC终端节 CloudWatch 点。如果VPC没有用于 CloudWatch 日志的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.63] VPCs 应配置 Systems Manager 消息的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | ssmmessages |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件检查您管理的虚拟私有云 (VPC) 是否具有 AWS Systems Manager 消息的接口VPC端点。如果VPC没有 Systems Manager 消息的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.64] VPCs 应配置消息传送服务的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | ec2messages |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有用于 Amazon 消息传送服务的接口VPC终端节点。如果VPC没有消息传送服务的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.65] VPCs 应配置 Secrets Manager 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | secretsmanager |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Secrets Manager。如果VPC没有 Secrets Manager 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.66] VPCs 应配置网关的接口终端节API点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | execute-api |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon API Gateway 的接口VPC终端节点。如果VPC没有 Gate API way 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.67] VPCs 应配置接口终端节点 CloudWatch
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | monitoring |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点 CloudWatch。如果VPC没有的接口VPC终端节点,则控制失败 CloudWatch。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.68] VPCs 应配置接口终端节点 AWS KMS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | kms |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS KMS。如果VPC没有的接口VPC终端节点,则控制失败 AWS KMS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.69] VPCs 应配置接口终端节点 SQS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | sqs |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点SQS。如果VPC没有的接口VPC终端节点,则控制失败SQS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.70] VPCs 应配置接口终端节点 STS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | sts |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS STS。如果VPC没有的接口VPC终端节点,则控制失败STS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.71] VPCs 应配置接口终端节点 SNS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | sns |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点SNS。如果VPC没有的接口VPC终端节点,则控制失败SNS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.72] VPCs 应配置为 S3 的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | s3 |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon S3 的接口VPC终端节点。如果VPC没有 S3 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.73] VPCs 应配置为 Lambda 的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | lambda |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Lambda。如果VPC没有 Lambda 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.74] VPCs 应配置接口终端节点 ECS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | ecs |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点ECS。如果VPC没有的接口VPC终端节点,则控制失败ECS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.75] VPCs 应为 Elastic Load Balancing 配置接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | elasticloadbalancing |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Elastic Load Balan VPC cing 的接口终端节点。如果VPC没有 Elastic Load Balancing 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.76] VPCs 应配置接口终端节点 CloudFormation
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | cloudformation |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS CloudFormation。如果VPC没有的接口VPC终端节点,则控制失败 CloudFormation。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.77] VPCs 应配置接口终端节点 EventBridge
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | events |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点 EventBridge。如果VPC没有的接口VPC终端节点,则控制失败 EventBridge。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.78] VPCs 应配置一个用于 A EC2 uto Scaling 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | autoscaling |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon A EC2 uto Scaling 的接口VPC终端节点。如果VPC没有 A EC2 uto Scaling 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.79] VPCs 应配置用于 SageMaker AI 的接口端点 API
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | sagemaker.api |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有用于 Amazon A SageMaker I 的接口VPC终端节点API。如果VPC没有用于 EC2 SageMaker AI 的接口VPC端点,则控制失败API。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.80] VPCs 应配置 A SageMaker I 功能存储运行时的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | sagemaker.featurestore-runtime |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon A SageMaker I 功能商店运行时的接口VPC终端节点。如果VPC没有 EC2 SageMaker AI Feature Store 运行时的接口VPC端点,则控件将失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.81] VPCs 应配置 A SageMaker I 指标服务的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | sagemaker.metrics |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon A SageMaker I 指标服务的接口VPC终端节点。如果VPC没有 EC2 SageMaker AI 指标服务的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.82] VPCs 应配置 A SageMaker I 运行时的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | sagemaker.runtime |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon A SageMaker I Runtime 的接口VPC终端节点。如果VPC没有 EC2 SageMaker AI Runtime 的接口VPC端点,则控件将失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.83] VPCs 应为 SageMaker AI Runtime 配置接口端点 FIPS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | sagemaker.runtime-fips |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有用于 Amazon A SageMaker I Runtime 的接口VPC终端节点FIPS。如果VPC没有用于 SageMaker AI Runtime 的接口VPC端点,则控件将失败FIPS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.84] VPCs 应配置用于 SageMaker AI 笔记本的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | aws.sagemaker.region.notebook |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有用于 Amazon A SageMaker I 笔记本的接口VPC终端节点。如果VPC没有 SageMaker AI 笔记本的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.85] VPCs 应配置 A SageMaker I 工作室的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | aws.sagemaker.region.studio |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有用于 Amazon A SageMaker I Studio 的接口VPC终端节点。如果VPC没有 SageMaker AI Studio 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.86] VPCs 应配置接口终端节点 AWS Glue
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | glue |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Glue。如果VPC没有的接口VPC终端节点,则控制失败 AWS Glue。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.87] VPCs 应配置 Kinesis Data Streams 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | kinesis-streams |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有用于 Amazon Kinesis Data Streams 的接口VPC终端节点。如果VPC没有 Kinesis Data Streams 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.88] VPCs 应为 Transfer Family 配置接口端点 SFTP
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | transfer |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有的接口VPC终端节点SFTP。 AWS Transfer Family 如果 Transfer Famil VPC y 没有 Transfer Famil VPC y 的接口端点,则控制失败SFTP。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.89] VPCs 应配置接口终端节点 CloudTrail
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | cloudtrail |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS CloudTrail。如果VPC没有的接口VPC终端节点,则控制失败 CloudTrail。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.90] VPCs 应配置接口终端节点 RDS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | rds |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点RDS。如果VPC没有的接口VPC终端节点,则控制失败RDS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.91] VPCs 应配置代理的接口终端节ECS点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | ecs-agent |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon A ECS gent 的接口VPC终端节点。如果VPC没有 A ECS gent 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.92] VPCs 应配置用于ECS遥测的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | ecs-agent |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有用于 Amazon ECS Telemetr VPC y 的接口终端节点。如果VPC没有用于ECS遥测的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.93] VPCs 应配置接口终端节点 GuardDuty
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | guardduty-data |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点 GuardDuty。如果VPC没有的接口VPC终端节点,则控制失败 GuardDuty。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.94] VPCs 应配置接口终端节点 SES
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | email-smtp |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点SES。如果VPC没有的接口VPC终端节点,则控制失败SES。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.95] VPCs 应配置接口终端节点 EFS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | email-smtp |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点EFS。如果VPC没有的接口VPC终端节点,则控制失败EFS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.96] VPCs 应使用适用于 Athena 的接口端点进行配置
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | athena |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon Athena 的接口VPC终端节点。如果VPC没有 Athena 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.97] VPCs 应使用适用于 Firehose 的接口端点进行配置
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | kinesis-firehose |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon Data Firehose 的接口VPC终端节点。如果VPC没有 Firehose 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.98] VPCs 应配置 Step Functions 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | states |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Step Functions。如果VPC没有 Step Functions 的接口VPC端点,则控件将失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.99] VPCs 应配置 Storage Gateway 的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | storagegateway |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Storage Gateway。如果VPC没有 Storage Gateway 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.100] VPCs 应配置为亚马逊的接口终端节点 MWAA
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | airflow.api |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有适用于 Apache Airflow 的亚马逊托管工作流程 (Ama MWAA zon) 的接口VPC终端节点。如果VPC没有 Amazon 的接口VPC终端节点,则控制失败MWAA。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.101] VPCs 应配置一个适用于 Amazon MWAA 的接口终端节点 FIPS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | airflow.api-fips |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有适用于 Apache Airflow 的亚马逊托管工作流程 (AmazonMWAA) 的接口VPC终端节点。FIPS如果VPC没有 Amazon MWAA 的接口VPC终端节点,则控制失败FIPS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.102] VPCs 应配置一个适用于亚马逊MWAA环境的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | airflow.env |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有适用于 Apache Airflow 的亚马逊托管工作流程 (AmazonMWAA) 环境的接口VPC终端节点。如果VPC没有用于 Amazon MWAA 环境的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.103] VPCs 应配置一个适用于 Amazon MWAA FIPS 环境的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | airflow.env-fips |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有适用于 Apache Airflow 的亚马逊托管工作流程 (AmazonMWAA) FIPS 环境的接口VPC终端节点。如果VPC没有用于 Amazon MWAA FIPS 环境的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.104] VPCs 应为亚马逊MWAA运营商配置接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | airflow.ops |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有适用于 Apache Airflow 的亚马逊托管工作流程 (AmazonMWAA) 运营商的接口VPC终端节点。如果VPC没有 Amazon MWAA 运营商的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.105] VPCs 应配置接口终端节点 DataSync
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | datasync |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS DataSync。如果VPC没有的接口VPC终端节点,则控制失败 DataSync。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.106] VPCs 应配置接口终端节点 CodePipeline
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | codepipeline |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS CodePipeline。如果VPC没有的接口VPC终端节点,则控制失败 CodePipeline。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.107] VPCs 应配置接口终端节点 EKS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | eks |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点EKS。如果VPC没有的接口VPC终端节点,则控制失败EKS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.108] VPCs 应配置一个用于EBS直接连接的接口端点 APIs
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | ebs |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon EBS Direc VPC t 的接口终端节点APIs。如果VPC没有用于EBS直接连接的接口VPC端点,则控制失败APIs。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.109] VPCs 应配置接口终端节点 CodeCommit
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | git-codecommit |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS CodeCommit。如果VPC没有的接口VPC终端节点,则控制失败 CodeCommit。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.110] VPCs 应配置为 X-Ray 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | xray |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS X-Ray。如果VPC没有 X-Ray 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.111] VPCs 应配置接口终端节点 CodeBuild
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | codebuild |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS CodeBuild。如果VPC没有的接口VPC终端节点,则控制失败 CodeBuild。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.112] VPCs 应配置接口终端节点 AWS Config
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | config |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Config。如果VPC没有的接口VPC终端节点,则控制失败 AWS Config。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.113] VPCs 应配置数据接口端点 RDS API
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | rds-data |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有用于 Amazon RDS Data 的接口VPC终端节点API。如果VPC没有用于RDS数据的接口VPC端点,则控制失败API。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.114] VPCs 应配置 Service Catalog 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | servicecatalog |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Service Catalog。如果VPC没有 Service Catalog 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.115] VPCs 应配置为亚马逊的接口终端节点 EMR
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | elasticmapreduce |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点EMR。如果VPC没有 Amazon 的接口VPC终端节点,则控制失败EMR。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.116] VPCs 应配置接口终端节点 CodeCommit
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | codecommit |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS CodeCommit。如果VPC没有的接口VPC终端节点,则控制失败 CodeCommit。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.117] VPCs 应为 App Mesh 配置接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | appmesh-envoy-management |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS App Mesh。如果VPC没有 App Mesh 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.118] VPCs 应为 Elastic Beanstalk 配置接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | elasticbeanstalk-health |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Elastic Beanstalk。如果VPC没有 Elastic Beanstalk 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.119] VPCs 应配置一个接口端点 AWS Private CA
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | acm-pca |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Private CA。如果VPC没有的接口VPC终端节点,则控制失败 AWS Private CA。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.120] VPCs 应配置接口终端节点 ElastiCache
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | elasticache |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点 ElastiCache。如果VPC没有的接口VPC终端节点,则控制失败 ElastiCache。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.121] VPCs 应配置接口终端节点 CodeArtifact API
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | codeartifact.api |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS CodeArtifact API。如果VPC没有的接口VPC终端节点,则控制失败 CodeArtifact API。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.122] VPCs 应配置存储库的接口端点 CodeArtifact
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | codeartifact.repositories |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有 AWS CodeArtifact 存储库的接口VPC终端节点。如果VPC没有 CodeArtifact 存储库的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.123] VPCs 应配置一个适用于 Amazon Redshift 的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | redshift |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon Redshif VPC t 的接口终端节点。如果VPC没有 Amazon Redshift 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.124] VPCs 应配置接口终端节点 CodeDeploy
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | codedeploy |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS CodeDeploy。如果VPC没有的接口VPC终端节点,则控制失败 CodeDeploy。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.125] VPCs 应使用适用于 Prometheus 的亚马逊托管服务的接口终端节点进行配置
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | aps-workspaces |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有适用于 Prometheu VPC s 的亚马逊托管服务的接口终端节点。如果VPC没有适用于 Prometheus 的亚马逊托管服务的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.126] VPCs 应配置 Application Auto Scaling 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | application-autoscaling |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件检查您管理的虚拟私有云 (VPC) 是否具有用于 App AWS lication Auto Scaling 的接口VPC终端节点。如果VPC没有 Application Auto Scaling 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.127] VPCs 应配置用于 S3 多区域接入点的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | com.amazonaws.s3-global.accesspoint |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有用于 Amazon S3 多区域接入VPC点的接口终端节点。如果VPC没有 S3 多区域接入点的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.128] VPCs 应配置用于AMB查询的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | managedblockchain-query |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有用于 Amazon Managed Blockchain (AMB) 查询的接口VPC终端节点。如果VPC没有用于AMB查询的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.129] VPCs 应配置接AMB入比特币的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | managedblockchain.bitcoin.mainnet |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有用于 Amazon Managed Blockchain (AMB) 访问比特币的接口VPC终端节点。如果VPC没有 A AMB ccess Bitcoin 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.130] VPCs 应配置AMB比特币测试网的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | managedblockchain.bitcoin.testnet |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有用于亚马逊托管区块链 (AMB) 比特币测试网的接口VPC终端节点。如果VPC没有AMB比特币测试网的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.131] VPCs 应配置一个接口端点 EFS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | elasticfilesystem-fips |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点EFS。如果VPC没有的接口VPC终端节点,则控制失败EFS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.132] VPCs 应配置一个接口端点 AWS Backup
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | backup |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Backup。如果VPC没有的接口VPC终端节点,则控制失败 AWS Backup。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.133] VPCs 应配置接口终端节点 DMS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | dms |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS DMS。如果VPC没有的接口VPC终端节点,则控制失败DMS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.134] VPCs 应配置一个接口端点 CodeDeploy
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | codedeploy-commands-secure |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS CodeDeploy。如果VPC没有的接口VPC终端节点,则控制失败 CodeDeploy。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.135] VPCs 应配置为亚马逊的接口终端节点 AppStream API
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | appstream.api |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点 AppStream API。如果VPC没有 Amazon 的接口VPC终端节点,则控制失败 AppStream API。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.136] VPCs 应配置用于亚马逊 AppStream 流媒体的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | appstream.streaming |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有用于 Amazon AppStream Stream VPC ing 的接口终端节点。如果VPC没有用于 Amazon AppStream Streaming 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.137] VPCs 应为 Elastic Beanstalk 配置接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | elasticbeanstalk |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Elastic Beanstalk。如果VPC没有 Elastic Beanstalk 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.138] VPCs 应配置接口终端节点 AWS CodeConnections API
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | codeconnections.api |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS CodeConnections API。如果VPC没有的接口VPC终端节点,则控制失败 CodeConnections API。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.139] VPCs 应配置连接的接口端点 AWS CodeStar API
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | codestar-connections.api |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有 Connections 的 AWS CodeStar 接口VPC终端节点API。如果VPC没有 C AWS CodeStar onnections 的接口VPC端点,则控制失败API。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.140] VPCs 应为亚马逊 Redshift 数据配置接口终端节点 API
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | redshift-data |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有用于 Amazon Redshift 数据的接口VPC终端节点。API如果VPC没有 Amazon Redshift 数据的接口VPC终端节点,则控制失败。API此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.141] VPCs 应配置一个适用于 Amazon Textract 的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | textract |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon Textrac VPC t 的接口终端节点。如果VPC没有 Amazon Textract 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.142] VPCs 应为 Keyspaces 配置接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | cassandra |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有用于亚马逊密钥空间(适用于 Apache Cassandra)的接口VPC终端节点。如果VPC没有 Amazon Keyspaces 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.143] VPCs 应配置接口终端节点 AWS MGN
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | mgn |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件检查您管理的虚拟私有云 (VPC) 是否有 AWS Application Migration Service (AWS MGN) 的接口VPC终端节点。如果VPC没有的接口VPC终端节点,则控制失败 AWS MGN。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.144] VPCs 应配置为 Image Builder 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | imagebuilder |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon EC2 Image Builder 的接口VPC终端节点。如果VPC没有 Image Builder 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.145] VPCs 应配置 Step Functions 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | sync-states |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有 AWS Step Functions Image Builder 的接口VPC终端节点。如果VPC没有 Step Functions 的接口VPC端点,则控件将失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.146] VPCs 应配置一个用于 Auto Scaling 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | autoscaling-plans |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Auto Scaling。如果VPC没有的接口VPC终端节点,则控制失败 AWS Auto Scaling。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.147] VPCs 应使用适用于 Amazon Bedrock 的接口终端节点进行配置
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | bedrock-runtime |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon Bedrock 的接口VPC终端节点。如果VPC没有 Amazon Bedrock 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.148] VPCs 应为 Batch 配置接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | batch |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Batch。如果VPC没有 Batch 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.149] VPCs 应配置为亚马逊的接口终端节点 EKS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | eks-auth |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点EKS。如果VPC没有的接口VPC终端节点,则控制失败EKS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.150] VPCs 应使用适用于 Amazon Comprehend 的接口终端节点进行配置
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | comprehend |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon Comprehend 的接口VPC终端节点。如果VPC没有 Amazon Comprehend 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.151] VPCs 应为 App Runner 配置接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | apprunner |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS App Runner。如果VPC没有 App Runner 的接口VPC端点,则控件将失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.152] VPCs 应配置一个用于EMR无服务器的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | emr-serverless |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有适用EMR于 Amazon Serverless 的接口VPC终端节点。如果VPC没有 EMR Serverless 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.153] VPCs 应配置 Lake Formation 的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | lakeformation |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Lake Formation。如果VPC没有 Lake Formation 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.154] VPCs 应配置为亚马逊的接口终端节点 FSx
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | fsx |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点FSx。如果VPC没有 Amazon 的接口VPC终端节点,则控制失败FSx。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.155] VPCs 应在上配置亚马逊EMR的接口终端节点 EKS
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | fsx |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 上是否有适用于 Amaz EMR on 的接口VPC终端节点EKS。如果上VPC没有适用于 Amazon EMR 的接口VPC终端节点,则控制失败EKS。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.156] VPCs 应配置物联网核心数据的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | iot.data |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否具有用于 AWS IoT 核心数据的接口VPC端点。如果VPC没有用于 C AWS IoT ore Data 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.157] VPCs 应配置用于物联网核心凭证的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | iot.credentials |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有用于 AWS IoT 核心凭据的接口VPC端点。如果VPC没有用于 AWS IoT 核心凭证的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.158] VPCs 应配置物联网核心舰队中心的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | iot.fleethub.api |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 C AWS IoT ore Fleet Hub 的接口VPC终端节点。如果VPC没有 C AWS IoT ore Fleet Hub 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.159] VPCs 应配置用于弹性灾难恢复的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | drs |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Elastic Disaster Recovery。如果VPC没有用于 Elastic 灾难恢复的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.160] VPCs 应使用云端接口端点进行配置 HSM
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | cloudhsmv2 |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS CloudHSM。如果VPC没有 Cloud 的接口VPC终端节点,则控制失败HSM。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.161] VPCs 应配置一个适用于 Amazon Rekognition 的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | rekognition |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon Rekognition 的接口VPC终端节点。如果VPC没有 Amazon Rekognition 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.162] VPCs 应使用适用于 Prometheus 的亚马逊托管服务的接口终端节点进行配置
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | aps |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否具有适用于 Prometheu VPC s 的亚马逊托管服务的接口终端节点。如果VPC没有适用于 Prometheus 的亚马逊托管服务的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.163] VPCs 应为 Elastic Inference Runtime 配置接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | elastic-inference.runtime |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon Elastic Inference Runtime 的接口VPC终端节点。如果VPC没有 Elastic Inference Runtime 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.164] VPCs 应配置接口终端节点 CloudWatch
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | synthetics |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon 的接口VPC终端节点 CloudWatch。如果VPC没有的接口VPC终端节点,则控制失败 CloudWatch。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.165] VPCs 应使用适用于 Amazon Bedrock 的接口终端节点进行配置
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | bedrock |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon Bedrock 的接口VPC终端节点。如果VPC没有 Amazon Bedrock 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.166] VPCs 应配置一个适用于 Security Hub 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | securityhub |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件可检查您管理的虚拟私有云 (VPC) 是否有其接口VPC终端节点 AWS Security Hub。如果VPC没有 Security Hub 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.167] VPCs 应使用适用于 DynamoDB 的接口终端节点进行配置
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | dynamodb |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有适用于 Amazon DynamoD VPC B 的接口终端节点。如果VPC没有 DynamoDB 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.168] VPCs 应配置 Access Analyzer 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | access-analyzer |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件检查您管理的虚拟私有云 (VPC) 是否有 A IAM ccess Analyzer 的接口VPC终端节点。如果VPC没有 A IAM ccess Analyzer 的接口VPC端点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.168] VPCs 应配置一个适用于 Amazon Transcribe Medical 的接口终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | String | 不可自定义 | transcribe |
vpcIds
|
可选 | 以逗号分隔的 Amazon 终端节点列表VPCIDs。VPC如果提供,则如果serviceName参数中指定的服务没有这些VPC端点之一,则控制失败。 |
StringList | 使用一个或多个进行自定义 VPC IDs | 无默认值 |
此控件会检查您管理的虚拟私有云 (VPC) 是否有 Amazon Transcribe Medical 的接口VPC终端节点。如果VPC没有 Amazon Transcribe Medical 的接口VPC终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私下访问 PrivateLink 由其VPC本地提供支持的服务,无需使用公共服务IPs,也无需流量通过互联网传输。
修复
要配置VPC终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口VPC终端节点访问和。
[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2
相关要求:PCIDSSv4.0.1/2.6
类别:保护 > 网络安全
严重性:低
资源类型:AWS::EC2::LaunchTemplate
AWS Config 规则:ec2-launch-template-imdsv2-check
计划类型:已触发变更
参数:无
此控件检查 Amazon EC2 启动模板是否配置了实例元数据服务版本 2 (IMDSv2)。如果设置为,HttpTokens则控制失败optional。
在支持的软件版本上运行资源可确保最佳性能、安全性和对最新功能的访问。定期更新可防止漏洞,这有助于确保稳定高效的用户体验。
修复
要要求使用IMDSv2EC2启动模板,请参阅 Amazon EC2 用户指南中的配置实例元数据服务选项。
[EC2.171] EC2 VPN 连接应启用日志记录
相关要求:Foundations Benchm CIS AWS ark v3.0.0/5.3、v4.0.1/10.4.2 PCI DSS
类别:识别 > 日志记录
严重性:中
资源类型:AWS::EC2::VPNConnection
AWS Config 规则:ec2-vpn-connection-logging-enabled
计划类型:已触发变更
参数:无
此控件检查 AWS Site-to-Site VPN连接是否为两条隧道都启用了 CloudWatch Amazon Logs。如果 Site-to-SiteVPN连接没有为两条隧道启用 CloudWatch 日志,则控制失败。
AWS Site-to-Site VPN日志可让您更深入地了解您的 Site-to-SiteVPN部署。使用此功能,您可以访问 Site-to-SiteVPN连接日志,这些日志提供有关 IP Security (IPsec) 隧道建立、Internet Key Exchange (IKE) 协商和失效对等体检测 (DPD) 协议消息的详细信息。 Site-to-SiteVPN可以将日志发布到 CloudWatch 日志。此功能为客户提供了一种统一的方式来访问和分析其所有 Site-to-SiteVPN连接的详细日志。
修复
要在EC2VPN连接上启用隧道日志记录,请参阅《AWS Site-to-Site VPN用户指南》中的AWS Site-to-Site VPN日志。
