本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Security Hub CSPM 控件参考
<a name="securityhub-controls-reference"></a>

此控件参考提供了可用的 Sec AWS urity Hub CSPM 控件表，其中包含指向有关每个控件的更多信息的链接。在该表中，控件按控件 ID 的字母顺序排列。此处仅包含 Security Hub CSPM 正在使用的控件。已停用的控件不包含在表中。

该表提供了每个控件的以下信息：
+ **安全控制 ID** — 此 ID 适用于所有标准，并表示该控件所涉及的 AWS 服务 和资源。无论您的账户中开启还是关闭了[整合控制结果 IDs，Security Hub CSPM 控制](controls-findings-create-update.md#consolidated-control-findings)台都会显示安全控制。但是，只有在您的账户中启用了合并控制结果时，Security Hub CSPM 调查结果 IDs 才会引用安全控制。如果在您的账户中关闭了合并控制结果，则控制结果中的某些控制措施 IDs 会因标准而异。有关特定标准的控制与安全控制 IDs 的映射 IDs，请参阅。[整合如何影响控制权 IDs 和所有权](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)

  如果您想为安全控件设置[自动化](automations.md)，我们建议您根据控件 ID 而不是标题或描述进行筛选。尽管 Security Hub CSPM 偶尔会更新控件标题或描述，但控制 IDs 保持不变。

  控件 IDs 可能会跳过数字。这些是未来控件的占位符。
+ **安全控件标题**——此标题适用于各类标准。无论账户中开启还是关闭了整合的控件调查发现，Security Hub CSPM 控制台都会显示安全控件标题。但是，只有在账户中开启了整合的控件调查发现时，Security Hub CSPM 调查发现才会引用安全控件标题。如果在账户中关闭了整合的控件调查发现，则控件调查发现中的某些控件标题可能会因标准而异。有关特定标准的控制与安全控制 IDs 的映射 IDs，请参阅。[整合如何影响控制权 IDs 和所有权](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
+ **适用标准**——指明控件适用于哪些标准。请选择一个控件以查看第三方合规性框架的具体要求。
+ **严重性**——从安全角度来看，控制的严重性确定了其重要性。有关 Security Hub CSPM 如何确定控件严重性的信息，请参阅[控件调查发现的严重性级别](controls-findings-create-update.md#control-findings-severity)。
+ **支持自定义参数**-指示控件是否支持一个或多个参数的自定义值。请选择一个控件以查看参数详细信息。有关更多信息，请参阅 [了解 Security Hub CSPM 中的控件参数](custom-control-parameters.md)。
+ **计划类型**——指明何时评估控件。有关更多信息，请参阅 [有关运行安全检查的计划](securityhub-standards-schedule.md)。

请选择一个控件以查看更多详细信息。控件按安全控件 ID 的字母顺序排列。


| 安全控件 ID | 安全控件标题 | 适用标准 | 严重性 | 支持自定义参数 | 计划类型 | 
| --- | --- | --- | --- | --- | --- | 
| [Account.1](account-controls.md#account-1)  | 应为以下人员提供安全联系信息 AWS 账户  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、 AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5  | 中  | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  | 定期  | 
|  [Account.2](account-controls.md#account-2)  |  AWS 账户 应该是 AWS Organizations 组织的一部分  |  NIST SP 800-53 Rev. 5  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [ACM.1](acm-controls.md#acm-1)  |  导入的证书和 ACM 颁发的证书应在指定时间段后更新  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2，PCI DSS v4.0.1 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发且定期进行  | 
|  [ACM.2](acm-controls.md#acm-2)  |  由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度  | AWS 基础安全最佳实践 v1.0.0，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ACM.3](acm-controls.md#acm-3)  | 应标记 ACM 证书 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Amplify.1](amplify-controls.md#amplify-1)  | 应标记 Amplify 应用 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Amplify.2](amplify-controls.md#amplify-2)  | 应标记 Amplify 分支 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [APIGateway1](apigateway-controls.md#apigateway-1)。 |  应启用 API Gateway REST 和 WebSocket API 执行日志记录  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [APIGateway.2](apigateway-controls.md#apigateway-2)  |  API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [APIGateway.3](apigateway-controls.md#apigateway-3)  |  API Gateway REST API 阶段应启用 AWS X-Ray 跟踪  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [APIGateway.4](apigateway-controls.md#apigateway-4)  |  API Gateway 应与 WAF Web ACL 关联  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [APIGateway.5](apigateway-controls.md#apigateway-5)  |  API Gateway REST API 缓存数据应静态加密  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [APIGateway.8](apigateway-controls.md#apigateway-8)  |  API Gateway 路由应指定授权类型  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [APIGateway.9](apigateway-controls.md#apigateway-9)  |  应为 API Gateway V2 阶段配置访问日志记录  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [APIGateway.10](apigateway-controls.md#apigateway-10)  |  API Gateway V2 集成应使用 HTTPS 进行私有连接  |  AWS 基础安全最佳实践 v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [AppConfig1](appconfig-controls.md#appconfig-1)。 | AWS AppConfig 应用程序应该被标记 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [AppConfig.2](appconfig-controls.md#appconfig-2)  | AWS AppConfig 应标记配置文件 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [AppConfig.3](appconfig-controls.md#appconfig-3)  | AWS AppConfig 应该给环境加标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [AppConfig.4](appconfig-controls.md#appconfig-4)  | AWS AppConfig 应标记扩展关联 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [AppFlow1](appflow-controls.md#appflow-1)。 | 应标记 Amazon AppFlow 流程 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [AppRunner1](apprunner-controls.md#apprunner-1)。 | 应标记 App Runer 服务 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [AppRunner.2](apprunner-controls.md#apprunner-2)  | 应标记 App Runner VPC 连接器 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [AppSync.2](appsync-controls.md#appsync-2)  |  AWS AppSync 应该启用字段级日志记录  |  AWS 基础安全最佳实践 v1.0.0，PCI DSS v4.0.1 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [AppSync.4](appsync-controls.md#appsync-4)  | AWS AppSync APIs 应标记 GraphQL | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [AppSync.5](appsync-controls.md#appsync-5)  |  AWS AppSync APIs 不应使用 API 密钥对 GraphQL 进行身份验证  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Athena.2](athena-controls.md#athena-2)  | 应标记 Athena 数据目录 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Athena.3](athena-controls.md#athena-3)  | 应标记 Athena 工作组 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Athena.4](athena-controls.md#athena-4)  | Athena 工作组应启用日志记录 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [AutoScaling1](autoscaling-controls.md#autoscaling-1)。 | 与负载均衡器关联的自动扩缩组应使用 ELB 运行状况检查 | AWS 基础安全最佳实践，PCI DSS v3.2.1，NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [AutoScaling.2](autoscaling-controls.md#autoscaling-2)  |  Amazon EC2 Auto Scaling 组应覆盖多个可用区  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [AutoScaling.3](autoscaling-controls.md#autoscaling-3)  |  Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Autoscaling.5](autoscaling-controls.md#autoscaling-5)  |  使用自动扩缩组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [AutoScaling.6](autoscaling-controls.md#autoscaling-6)  |  自动扩缩组组应在多个可用区中使用多种实例类型  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [AutoScaling.9](autoscaling-controls.md#autoscaling-9)  |  EC2 自动扩缩组应使用 EC2 启动模板  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [AutoScaling.10](autoscaling-controls.md#autoscaling-10)  | 应标记 EC2 自动扩缩组 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Backup.1](backup-controls.md#backup-1)  |  AWS Backup 恢复点应在静态状态下进行加密  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Backup.2](backup-controls.md#backup-2)  | AWS Backup 应标记恢复点 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Backup.3](backup-controls.md#backup-3)  | AWS Backup 应给保管库加标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Backup.4](backup-controls.md#backup-4)  | AWS Backup 报告计划应加标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Backup.5](backup-controls.md#backup-5)  | AWS Backup 应标记备份计划 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Batch.1](batch-controls.md#batch-1)  | 应标记批处理作业队列 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Batch.2](batch-controls.md#batch-2)  | 应标记批处理计划策略 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Batch.3](batch-controls.md#batch-3)  | 应标记批处理计算环境 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Batch.4](batch-controls.md#batch-4)  | 应标记托管批处理计算环境中的计算资源属性 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [CloudFormation.2](cloudformation-controls.md#cloudformation-2)  | CloudFormation 堆栈应该被标记 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [CloudFormation.3](cloudformation-controls.md#cloudformation-3)  | CloudFormation 堆栈应启用终止保护 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [CloudFormation.4](cloudformation-controls.md#cloudformation-4)  | CloudFormation 堆栈应该有相关的服务角色 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [CloudFront1](cloudfront-controls.md#cloudfront-1)。 | CloudFront 发行版应配置默认根对象 | AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [CloudFront.3](cloudfront-controls.md#cloudfront-3)  |  CloudFront 发行版在传输过程中应要求加密  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [CloudFront.4](cloudfront-controls.md#cloudfront-4)  |  CloudFront 发行版应配置源站故障转移  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [CloudFront.5](cloudfront-controls.md#cloudfront-5)  |  CloudFront 发行版应该启用日志记录  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [CloudFront.6](cloudfront-controls.md#cloudfront-6)  |  CloudFront 发行版应启用 WAF  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [CloudFront.7](cloudfront-controls.md#cloudfront-7)  |  CloudFront 发行版应使用自定义 SSL/TLS 证书  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2  | 低 |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [CloudFront.8](cloudfront-controls.md#cloudfront-8)  |  CloudFront 发行版应使用 SNI 来处理 HTTPS 请求  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [CloudFront.9](cloudfront-controls.md#cloudfront-9)  |  CloudFront 发行版应加密发往自定义来源的流量  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [CloudFront.10](cloudfront-controls.md#cloudfront-10)  |  CloudFront 发行版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [CloudFront.12](cloudfront-controls.md#cloudfront-12)  |  CloudFront 发行版不应指向不存在的 S3 来源  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudFront.13](cloudfront-controls.md#cloudfront-13)  |  CloudFront 发行版应使用源站访问控制  |  AWS 基础安全最佳实践 v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [CloudFront.14](cloudfront-controls.md#cloudfront-14)  | CloudFront 应该给发行版加标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [CloudFront.15](cloudfront-controls.md#cloudfront-15)  | CloudFront 发行版应使用推荐的 TLS 安全策略 | AWS 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [CloudFront.16](cloudfront-controls.md#cloudfront-16)  | CloudFront 分发应该对 Lambda 函数 URL 来源使用源访问控制 | AWS 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [CloudFront.17](cloudfront-controls.md#cloudfront-17)  | CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie | AWS 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [CloudTrail1](cloudtrail-controls.md#cloudtrail-1)。 | CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、基础安全最佳实践、NIS AWS T SP 800-53 修订版 5 AWS  | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2)  |  CloudTrail 应该启用静态加密  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.2.0、CIS AWS 基金会基准 v1.4.0 AWS 基础安全最佳实践 v1.0.0、NIS AWS T SP 800-53 修订版 5、NIST SP 800-171 修订版 2、PCI DSS v3.2.1、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudTrail.3](cloudtrail-controls.md#cloudtrail-3)  | 至少应启用一条 CloudTrail 跟踪 | NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、PCI DSS v3.2.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [CloudTrail.4](cloudtrail-controls.md#cloudtrail-4)  |  CloudTrail 应启用日志文件验证  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、NIS AWS T SP 800-53 修订版 5、NIST SP 800-171 修订版 2、PCI DSS v4.0.1、PCI DSS v3.2.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudTrail.5](cloudtrail-controls.md#cloudtrail-5)  |  CloudTrail 应将跟踪与 Amazon CloudWatch 日志集成  | CIS AWS 基金会基准 v1.2.0、CIS AWS 基金会基准 v1.4.0、 AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、PCI DSS v4.0.1 | 中 |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudTrail.6](cloudtrail-controls.md#cloudtrail-6)  |  确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问  |  独联体 AWS 基金会基准 v1.2.0、CIS AWS 基金会基准测试 v1.4.0、PCI DSS v4.0.1 |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发且定期进行  | 
|  [CloudTrail.7](cloudtrail-controls.md#cloudtrail-7)  |  确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录  | 独联体 AWS 基金会基准 v5.0.0、独联体 AWS 基金会基准 v3.0.0、独联体基金会基准 v1.2.0、独联体 AWS 基金会基准 v1.4.0、独联体基金会基准 v3.0.0、PCI AWS DSS v4.0.1 AWS  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudTrail.9](cloudtrail-controls.md#cloudtrail-9)  | CloudTrail 路径应该被标记 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10)  | CloudTrail 湖泊事件数据存储应使用客户托管进行加密 AWS KMS keys | NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [CloudWatch1](cloudwatch-controls.md#cloudwatch-1)。 |  应具有有关“根”用户使用的日志指标筛选条件和警报  | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 修订版 2、PCI DSS v3.2.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.2](cloudwatch-controls.md#cloudwatch-2)  |  确保存在关于未经授权的 API 调用的日志指标筛选条件和警报  | CIS AWS 基金会基准 v1.2.0，NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.3](cloudwatch-controls.md#cloudwatch-3)  |  确保存在关于无 MFA 的管理控制台登录的日志指标筛选条件和警报  | 独联体 AWS 基金会基准测试 v1.2.0  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.4](cloudwatch-controls.md#cloudwatch-4)  |  确保存在关于 IAM 策略更改的日志指标筛选条件和警报  | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.5](cloudwatch-controls.md#cloudwatch-5)  |  确保存在 CloudTrail 配置更改的日志指标筛选器和警报  | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.6](cloudwatch-controls.md#cloudwatch-6)  |  确保存在针对 AWS 管理控制台 身份验证失败的日志指标筛选器和警报  | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.7](cloudwatch-controls.md#cloudwatch-7)  |  确保存在日志指标筛选器和警报，用于禁用或计划删除已创建的客户 CMKs  | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.8](cloudwatch-controls.md#cloudwatch-8)  |  确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报  | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.9](cloudwatch-controls.md#cloudwatch-9)  |  确保存在 AWS Config 配置更改的日志指标筛选器和警报  | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.10](cloudwatch-controls.md#cloudwatch-10)  |  确保存在关于安全组更改的日志指标筛选条件和警报  | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.11](cloudwatch-controls.md#cloudwatch-11)  |  确保存在关于网络访问控制列表（NACL）更改的日志指标筛选条件和警报  | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.12](cloudwatch-controls.md#cloudwatch-12)  |  确保存在关于网络网关更改的日志指标筛选条件和警报  | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.13](cloudwatch-controls.md#cloudwatch-13)  |  确保存在关于路由表更改的日志指标筛选条件和警报  | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.14](cloudwatch-controls.md#cloudwatch-14)  |  确保存在关于 VPC 更改的日志指标筛选条件和警报  | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [CloudWatch.15](cloudwatch-controls.md#cloudwatch-15)  |  CloudWatch 警报应配置指定的操作  | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 |  HIGH（高）  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [CloudWatch.16](cloudwatch-controls.md#cloudwatch-16)  |  CloudWatch 日志组应在指定的时间段内保留  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [CloudWatch.17](cloudwatch-controls.md#cloudwatch-17)  |  CloudWatch 应启用警报操作  |  NIST SP 800-53 Rev. 5  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [CodeArtifact1](codeartifact-controls.md#codeartifact-1)。 | CodeArtifact 存储库应该被标记 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [CodeBuild1](codebuild-controls.md#codebuild-1)。 | CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭据 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v3.2.1，PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [CodeBuild.2](codebuild-controls.md#codebuild-2)  |  CodeBuild 项目环境变量不应包含明文凭证  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v3.2.1，PCI DSS v4.0.1 |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [CodeBuild.3](codebuild-controls.md#codebuild-3)  |  CodeBuild 应对 S3 日志进行加密  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [CodeBuild.4](codebuild-controls.md#codebuild-4)  |  CodeBuild 项目环境应该有日志配置  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [CodeBuild.7](codebuild-controls.md#codebuild-7)  | CodeBuild 报告组导出应进行静态加密 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [CodeGuruProfiler1](codeguruprofiler-controls.md#codeguruprofiler-1)。 | CodeGuru 应标记 Profiler 分析组 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [CodeGuruReviewer1](codegurureviewer-controls.md#codegurureviewer-1)。 | CodeGuru 应标记 Reviewer 存储库关联 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Cognito.1](cognito-controls.md#cognito-1)  | Cognito 用户池应激活威胁防护，并采用完全功能强制模式进行标准身份验证 | AWS 基础安全最佳实践 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Cognito.2](cognito-controls.md#cognito-2)  | Cognito 身份池不应允许未经身份验证的身份 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [Cognito.3](cognito-controls.md#cognito-3)  | Cognito 用户池的密码策略应具有可靠的配置 | AWS 基础安全最佳实践 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Cognito.4](cognito-controls.md#cognito-4)  | Cognito 用户池应激活威胁防护，并使用全功能强制模式进行自定义身份验证 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [Cognito.5](cognito-controls.md#cognito-5)  | 应为 Cognito 用户池启用 MFA | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [Cognito.6](cognito-controls.md#cognito-6)  | Cognito 用户池应启用删除保护 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [Config.1](config-controls.md#config-1)  | AWS Config 应该启用并使用服务相关角色进行资源记录 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、 AWS 基础安全最佳 AWS 实践、NIST SP 800-53 修订版 5、PCI DSS v3.2.1 | 关键 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [Connect.1](connect-controls.md#connect-1)  | 应标记 Amazon Connect Customer Profiles 对象类型 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Connect.2](connect-controls.md#connect-2)  | Amazon Connect 实例应启用 CloudWatch 日志记录 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [DataFirehose1](datafirehose-controls.md#datafirehose-1)。 | 应静态加密 Firehose 传输流 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [DataSync1](datasync-controls.md#datasync-1)。 | DataSync 任务应该启用日志记录 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [DataSync.2](datasync-controls.md#datasync-2)  | DataSync 任务应该被标记 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Detective.1](detective-controls.md#detective-1)  | 应标记 Detective 行为图 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [DMS.1](dms-controls.md#dms-1)  |  Database Migration Service 复制实例不应公开  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v3.2.1，PCI DSS v4.0.1 |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [DMS.2](dms-controls.md#dms-2)  | 应标记 DMS 证书 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [DMS.3](dms-controls.md#dms-3)  | 应标记 DMS 事件订阅 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [DMS.4](dms-controls.md#dms-4)  | 应标记 DMS 复制实例 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [DMS.5](dms-controls.md#dms-5)  | 应标记 DMS 复制子网组 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [DMS.6](dms-controls.md#dms-6)  |  DMS 复制实例应启用自动次要版本升级  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [DMS.7](dms-controls.md#dms-7)  |  目标数据库的 DMS 复制任务应启用日志记录  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [DMS.8](dms-controls.md#dms-8)  |  源数据库的 DMS 复制任务应启用日志记录  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [DMS.9](dms-controls.md#dms-9)  |  DMS 端点应使用 SSL  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [DMS.10](dms-controls.md#dms-10)  | Neptune 数据库的 DMS 端点应启用 IAM 授权 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [DMS.11](dms-controls.md#dms-11)  | MongoDB 的 DMS 端点应启用身份验证机制 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [DMS.12](dms-controls.md#dms-12)  | Redis OSS 的 DMS 端点应启用 TLS | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [DMS.13](dms-controls.md#dms-13)  | DMS 复制实例应配置为使用多个可用区 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [DocumentDB.1](documentdb-controls.md#documentdb-1)  |  Amazon DocumentDB 集群应进行静态加密  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [DocumentDB.2](documentdb-controls.md#documentdb-2)  |  Amazon DocumentDB 集群应有足够的备份保留期  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [DocumentDB.3](documentdb-controls.md#documentdb-3)  |  Amazon DocumentDB 手动集群快照不应公开  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [DocumentDB.4](documentdb-controls.md#documentdb-4)  |  Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [DocumentDB.5](documentdb-controls.md#documentdb-5)  |  Amazon DocumentDB 集群应启用删除保护  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [documentDB.](documentdb-controls.md#documentdb-6) | Amazon DocumentDB 集群应在传输过程中加密 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [DynamoDB.1](dynamodb-controls.md#dynamodb-1)  |  DynamoDB 表应根据需求自动扩展容量  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [DynamoDB.2](dynamodb-controls.md#dynamodb-2)  |  DynamoDB 表应该启用恢复功能 point-in-time  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [DynamoDB.3](dynamodb-controls.md#dynamodb-3)  |  DynamoDB Accelerator（DAX）集群应在静态状态下进行加密  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [DynamoDB.4](dynamodb-controls.md#dynamodb-4)  |  备份计划中应有 DynamoDB 表  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [DynamoDB.5](dynamodb-controls.md#dynamodb-5)  | 应标记 DynamoDB 表 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [DynamodB.6](dynamodb-controls.md#dynamodb-6)  |  DynamoDB 表应启用删除保护  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [DynamoDB.7](dynamodb-controls.md#dynamodb-7)  | 应在传输过程中加密 DynamoDB Accelerator 集群 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [EC2.1](ec2-controls.md#ec2-1)  |  不应公开还原 EBS 快照  |  AWS 基础安全最佳实践 v1.0.0，PCI DSS v3.2.1，NIST SP 800-53 Rev. 5  |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [EC2.2](ec2-controls.md#ec2-2)  |  VPC 默认安全组不应允许入站或出站流量  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、CIS AWS 基金会基准 v1.4.0、NIST SP 800-53 修订版 5 AWS  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.3](ec2-controls.md#ec2-3)  |  挂载的 EBS 卷应进行静态加密  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.4](ec2-controls.md#ec2-4)  |  停止的 EC2 实例应在指定时间段后删除  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [EC2.6](ec2-controls.md#ec2-6)  |  应全部启用 VPC 流量记录 VPCs  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、CIS AWS 基金会基准 v1.4.0、NIST SP 800-53 修订版 5、NIST SP 800-171 修订版 2 AWS  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [EC2.7](ec2-controls.md#ec2-7)  |  EBS 默认加密应该为已启用。 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、 AWS 基础安全最佳实践 v1.0.0、CIS 基金会基准 v1.4.0、NIST SP 800-53 修订版 5 AWS  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [EC2.8](ec2-controls.md#ec2-8)  |  EC2 实例应使用实例元数据服务版本 2 (IMDSv2)  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、 AWS 基础安全最佳实践、NIST SP 800-53 修订版 5、PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.9](ec2-controls.md#ec2-9)  |  EC2 实例不应有公有 IPv4 地址  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.10](ec2-controls.md#ec2-10)  |  应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [EC2.12](ec2-controls.md#ec2-12)  |  EIPs 应移除未使用的 EC2  |  PCI DSS v3.2.1、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.13](ec2-controls.md#ec2-13)  | 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量 | CIS F AWS oundations Benchmark v1.2.0、PCI DSS v3.2.1、PCI DSS v4.0.1、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发且定期进行 | 
|  [EC2.14](ec2-controls.md#ec2-14)  | 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量 | CIS AWS 基金会基准测试 v1.2.0，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发且定期进行 | 
|  [EC2.15](ec2-controls.md#ec2-15)  |  EC2 子网不应自动分配公有 IP 地址  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.16](ec2-controls.md#ec2-16)  |  应删除未使用的网络访问控制列表  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2，PCI DSS v4.0.1， |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.17](ec2-controls.md#ec2-17)  |  EC2 实例不应使用多个 ENIs  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.18](ec2-controls.md#ec2-18)  |  安全组应仅允许授权端口不受限制的传入流量  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2  |  HIGH（高）  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [EC2.19](ec2-controls.md#ec2-19)  | 安全组不应允许无限制地访问高风险端口 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，NIST SP 800-171 Rev. 2 | 关键 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发且定期进行 | 
|  [EC2.20](ec2-controls.md#ec2-20)  |  VPN 连接的两个 AWS Site-to-Site VPN 隧道都应处于开启状态  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.21](ec2-controls.md#ec2-21)  |  网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、 AWS 基础安全最佳实践、NIS AWS T SP 800-53 修订版 5、NIST SP 800-171 修订版 2、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.22](ec2-controls.md#ec2-22)  | 应删除未使用的 EC2 安全组 |   | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [EC2.23](ec2-controls.md#ec2-23)  |  EC2 中转网关不应自动接受 VPC 附件请求  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.24](ec2-controls.md#ec2-24)  |  不应使用 EC2 半虚拟化实例类型  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.25](ec2-controls.md#ec2-25)  |  EC2 启动模板不应将公共分配 IPs 给网络接口  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.28](ec2-controls.md#ec2-28)  |  EBS 卷应包含在备份计划中  |  NIST SP 800-53 Rev. 5  |  低  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [EC2.33](ec2-controls.md#ec2-33)  | 应标记 EC2 中转网关连接 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.34](ec2-controls.md#ec2-34)  | 应标记 EC2 中转网关路由表 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.35](ec2-controls.md#ec2-35)  | 应标记 EC2 网络接口 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.36](ec2-controls.md#ec2-36)  | 应标记 EC2 客户网关 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.37](ec2-controls.md#ec2-37)  | 应标记 EC2 弹性 IP 地址 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.38](ec2-controls.md#ec2-38)  | 应标记 EC2 实例 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.39](ec2-controls.md#ec2-39)  | 应标记 EC2 互联网网关 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.40](ec2-controls.md#ec2-40)  | 应标记 EC2 NAT 网关 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.41](ec2-controls.md#ec2-41)  |  ACLs 应标记 EC2 网络 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.42](ec2-controls.md#ec2-42)  | 应标记 EC2 路由表 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.43](ec2-controls.md#ec2-43)  | 应标记 EC2 安全组 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.44](ec2-controls.md#ec2-44)  | 应标记 EC2 子网 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.45](ec2-controls.md#ec2-45)  | 应标记 EC2 卷 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.46](ec2-controls.md#ec2-46)  |  VPCs 应该给亚马逊贴上标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.47](ec2-controls.md#ec2-47)  | 应标记 Amazon VPC 端点服务 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.48](ec2-controls.md#ec2-48)  | 应标记 Amazon VPC 流日志 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.49](ec2-controls.md#ec2-49)  | 应标记 Amazon VPC 对等连接 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.50](ec2-controls.md#ec2-50)  | 应标记 EC2 VPN 网关 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.51](ec2-controls.md#ec2-51)  |  EC2 Client VPN 端点应启用客户端连接日志记录  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2，PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EC2.52](ec2-controls.md#ec2-52)  | 应标记 EC2 中转网关 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.53](ec2-controls.md#ec2-53)  | EC2 安全组不应允许从 0.0.0.0/0 到远程服务器管理端口的入口流量 | 独联体 AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [EC2.54](ec2-controls.md#ec2-54)  | EC2 安全组不应允许从 ::/0 到远程服务器管理端口的入口流量 | 独联体 AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [EC2.55](ec2-controls.md#ec2-55)  | VPCs 应使用 ECR API 的接口端点进行配置 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [EC2.56](ec2-controls.md#ec2-56)  | VPCs 应该使用 Docker 注册表的接口端点进行配置 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [EC2.57](ec2-controls.md#ec2-57)  | VPCs 应使用 Systems Manager 的接口端点进行配置 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [EC2.58](ec2-controls.md#ec2-58)  | VPCs 应为 Systems Manager 事件管理器联系人配置接口端点 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [EC2.60](ec2-controls.md#ec2-60)  | VPCs 应使用 Systems Manager 事件管理器的接口端点进行配置 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [EC2.170](ec2-controls.md#ec2-170)  | EC2 启动模板应使用实例元数据服务版本 2 (IMDSv2) | AWS 基础安全最佳实践，PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [EC2.171](ec2-controls.md#ec2-171)  | EC2 VPN 连接应启用日志记录 | AWS 基础安全最佳实践，PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [EC2.172](ec2-controls.md#ec2-172)  | EC2 VPC 阻止公开访问设置应阻止互联网网关流量 | AWS 基础安全最佳实践 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.173](ec2-controls.md#ec2-173)  | 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [EC2.174](ec2-controls.md#ec2-174)  | 应标记 EC2 DHCP 选项集 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.175](ec2-controls.md#ec2-175)  | 应标记 EC2 启动模板 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.176](ec2-controls.md#ec2-176)  | 应标记 EC2 前缀列表 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.177](ec2-controls.md#ec2-177)  | 应标记 EC2 流量镜像会话 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.178](ec2-controls.md#ec2-178)  | 应标记 EC2 流量镜像筛选条件 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.179](ec2-controls.md#ec2-179)  | 应标记 EC2 流量镜像目标 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EC2.180](ec2-controls.md#ec2-180)  | EC2 网络接口应启用 source/destination 检查功能 | AWS 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [EC2.181](ec2-controls.md#ec2-181)  | EC2 启动模板应为附加的 EBS 卷启用加密 | AWS 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [EC2.182](ec2-controls.md#ec2-182)  | EBS 快照不应公开访问 | AWS 基础安全最佳实践 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [ECR.1](ecr-controls.md#ecr-1)  |  ECR 私有存储库应配置图像扫描  | AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [ECR.2](ecr-controls.md#ecr-2)  |  ECR 私有存储库应配置标签不可变性  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ECR.3](ecr-controls.md#ecr-3)  |  ECR 存储库应至少配置一项生命周期策略  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ECR.4](ecr-controls.md#ecr-4)  | 应标记 ECR 公有存储库 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [ECR.5](ecr-controls.md#ecr-5)  | ECR 存储库应使用客户管理型 AWS KMS keys进行加密 | NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [ECS.2](ecs-controls.md#ecs-2)  |  ECS 服务不应自动分配公共 IP 地址  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ECS.3](ecs-controls.md#ecs-3)  |  ECS 任务定义不应共享主机的进程命名空间  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ECS.4](ecs-controls.md#ecs-4)  |  ECS 容器应以非特权身份运行  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ECS.5](ecs-controls.md#ecs-5)  |  ECS 容器应限制为仅对根文件系统具有只读访问权限。 |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ECS.8](ecs-controls.md#ecs-8)  |  密钥不应作为容器环境变量传递  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ECS.9](ecs-controls.md#ecs-9)  |  ECS 任务定义应具有日志配置  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ECS.10](ecs-controls.md#ecs-10)  |  ECS Fargate 服务应在最新的 Fargate 平台版本上运行  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ECS.12](ecs-controls.md#ecs-12)  |  ECS 集群应该使用容器详情  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ECS.13](ecs-controls.md#ecs-13)  | 应标记 ECS 服务 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [ECS.14](ecs-controls.md#ecs-14)  | 应标记 ECS 集群 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [ECS.15](ecs-controls.md#ecs-15)  | 应标记 ECS 任务定义 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [ECS.16](ecs-controls.md#ecs-16)  | ECS 任务集不应自动分配公有 IP 地址 | AWS 基础安全最佳实践，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [ECS.17](ecs-controls.md#ecs-17)  | ECS 任务定义不应使用主机网络模式 | NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [ECS.18](ecs-controls.md#ecs-18)  | ECS 任务定义应对 EFS 卷使用传输中加密 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [ECS.19](ecs-controls.md#ecs-19)  | ECS 容量提供商应启用托管终止保护 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [ECS.20](ecs-controls.md#ecs-20)  | ECS 任务定义应在 Linux 容器定义中配置非 root 用户 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [ECS.21](ecs-controls.md#ecs-21)  | ECS 任务定义应在 Windows 容器定义中配置非管理员用户 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [EFS.1](efs-controls.md#efs-1)  |  应将 Elastic 文件系统配置为使用以下方法加密静态文件数据 AWS KMS  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、 AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [EFS.2](efs-controls.md#efs-2)  |  Amazon EFS 卷应包含在备份计划中  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [EFS.3](efs-controls.md#efs-3)  |  EFS 接入点应强制使用根目录  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EFS.4](efs-controls.md#efs-4)  |  EFS 接入点应强制使用用户身份  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EFS.5](efs-controls.md#efs-5)  | 应标记 EFS 接入点 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EFS.6](efs-controls.md#efs-6)  | EFS 挂载目标不应与启动时分配公有 IP 地址的子网关联 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [EFS.7](efs-controls.md#efs-7)  | EFS 文件系统应启用自动备份 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [EFS.8](efs-controls.md#efs-8)  | 应静态加密 EFS 文件系统 | CIS AWS 基金会基准测试 v5.0.0， AWS 基础安全最佳实践 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EKS.1](eks-controls.md#eks-1)  |  EKS 集群端点不应公开访问  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [EKS.2](eks-controls.md#eks-2)  |  EKS 集群应在受支持的 Kubernetes 版本上运行  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EKS.3](eks-controls.md#eks-3)  | EKS 集群应使用加密的 Kubernetes 密钥 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [EKS.6](eks-controls.md#eks-6)  | 应标记 EKS 集群 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EKS.7](eks-controls.md#eks-7)  | 应标记 EKS 身份提供者配置 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EKS.8](eks-controls.md#eks-8)  |  EKS 集群应启用审核日志记录  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ElastiCache1](elasticache-controls.md#elasticache-1)。 | ElastiCache (Redis OSS) 集群应启用自动备份 | AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5 | HIGH（高） | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [ElastiCache.2](elasticache-controls.md#elasticache-2)  |  ElastiCache 集群应启用自动次要版本升级 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [ElastiCache.3](elasticache-controls.md#elasticache-3)  | ElastiCache 复制组应启用自动故障切换  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [ElastiCache.4](elasticache-controls.md#elasticache-4)  | ElastiCache 复制组应为 encrypted-at-rest |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [ElastiCache.5](elasticache-controls.md#elasticache-5)  | ElastiCache 复制组应为 encrypted-in-transit | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [ElastiCache.6](elasticache-controls.md#elasticache-6)  |  ElastiCache （Redis OSS）早期版本的复制组应启用 Redis OSS 身份验证  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [ElastiCache.7](elasticache-controls.md#elasticache-7)  | ElastiCache 群集不应使用默认子网组 |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [ElasticBeanstalk1](elasticbeanstalk-controls.md#elasticbeanstalk-1)。 |  Elastic Beanstalk 环境应启用增强型运行状况报告  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ElasticBeanstalk.2](elasticbeanstalk-controls.md#elasticbeanstalk-2)  |  应启用 Elastic Beanstalk 托管平台更新  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [ElasticBeanstalk.3](elasticbeanstalk-controls.md#elasticbeanstalk-3)  |  Elastic Beanstalk 应该将日志流式传输到 CloudWatch  | AWS 基础安全最佳实践，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [ELB.1](elb-controls.md#elb-1)  |  应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS  |  AWS 基础安全最佳实践 v1.0.0，PCI DSS v3.2.1，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [ELB.2](elb-controls.md#elb-2)  |  带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ELB.3](elb-controls.md#elb-3)  |  应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ELB.4](elb-controls.md#elb-4)  |  应将应用程序负载均衡器配置为删除 http 标头  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ELB.5](elb-controls.md#elb-5)  |  应启用应用程序和经典负载均衡器日志记录  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ELB.6](elb-controls.md#elb-6)  | 应用程序、网关和网络负载均衡器应启用删除保护 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [ELB.7](elb-controls.md#elb-7)  |  经典负载均衡器应启用连接耗尽功能  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  | 低 |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ELB.8](elb-controls.md#elb-8)  |  具有 SSL 侦听器的经典负载均衡器应使用具有强大配置的预定义安全策略  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ELB.9](elb-controls.md#elb-9)  |  经典负载均衡器应启用跨区域负载均衡器  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ELB.10](elb-controls.md#elb-10)  |  经典负载均衡器应跨越多个可用区  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [ELB.12](elb-controls.md#elb-12)  |  应用程序负载均衡器应配置为防御性或最严格的异步缓解模式  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ELB.13](elb-controls.md#elb-13)  |  应用程序、网络和网关负载均衡器应跨越多个可用区  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [ELB.14](elb-controls.md#elb-14)  |  经典负载均衡器应配置为防御性或最严格的异步缓解模式  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ELB.16](elb-controls.md#elb-16)  |  应用程序负载均衡器应与 AWS WAF Web ACL 关联  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ELB.17](elb-controls.md#elb-17)  | 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ELB.18](elb-controls.md#elb-18)  | 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密 | AWS 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [ELB.21](elb-controls.md#elb-21)  |  应用程序和 Network Load Balancer 目标组应使用加密的运行状况检查协议  |  AWS 基础安全最佳实践 v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ELB.22](elb-controls.md#elb-22)  |  ELB 目标组应使用加密传输协议  |  AWS 基础安全最佳实践 v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EMR.1](emr-controls.md#emr-1)  | Amazon EMR 集群主节点不应有公有 IP 地址 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [EMR.2](emr-controls.md#emr-2)  | 应启用 Amazon EMR 屏蔽公共访问权限设置 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [EMR.3](emr-controls.md#emr-3)  | Amazon EMR 安全配置应静态加密 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [EMR.4](emr-controls.md#emr-4)  | Amazon EMR 安全配置应在传输过程中加密 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [ES.1](es-controls.md#es-1)  |  Elasticsearch 域应启用静态加密  |  AWS 基础安全最佳实践 v1.0.0，PCI DSS v3.2.1，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [ES.2](es-controls.md#es-2)  |  Elasticsearch 域名不可供公共访问  | AWS 基础安全最佳实践，PCI DSS v3.2.1，PCI DSS v4.0.1，NIST SP 800-53 Rev. 5  |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [ES.3](es-controls.md#es-3)  |  Elasticsearch 域应加密节点之间发送的数据  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ES.4](es-controls.md#es-4)  |  应启用 Elasticsearch 域名错误 CloudWatch 日志记录到日志  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ES.5](es-controls.md#es-5)  |  Elasticsearch 域名应该启用审核日志  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ES.6](es-controls.md#es-6)  |  Elasticsearch 域应拥有至少三个数据节点  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ES.7](es-controls.md#es-7)  |  Elasticsearch 域应配置至少三个专用主节点  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [ES.8](es-controls.md#es-8)  | 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [ES.9](es-controls.md#es-9)  | 应标记 Elasticsearch 域 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EventBridge.2](eventbridge-controls.md#eventbridge-2)  | EventBridge 应标记活动总线 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [EventBridge.3](eventbridge-controls.md#eventbridge-3)  |  EventBridge 自定义事件总线应附加基于资源的策略  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [EventBridge.4](eventbridge-controls.md#eventbridge-4)  |  EventBridge 全局端点应启用事件复制  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [FraudDetector1](frauddetector-controls.md#frauddetector-1)。 | 应标记 Amazon Fraud Detector 实体类型 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [FraudDetector.2](frauddetector-controls.md#frauddetector-2)  | 应标记 Amazon Fraud Detector 标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [FraudDetector.3](frauddetector-controls.md#frauddetector-3)  | 应标记 Amazon Fraud Detector 结果 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [FraudDetector.4](frauddetector-controls.md#frauddetector-4)  | 应标记 Amazon Fraud Detector 变量 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [FSx1](fsx-controls.md#fsx-1)。 |  FSx 对于 OpenZFS 文件系统，应配置为将标签复制到备份和卷  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  | 定期 | 
|  [FSx.2](fsx-controls.md#fsx-2)  | FSx 对于 Lustre 文件系统，应配置为将标签复制到备份 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [FSx.3](fsx-controls.md#fsx-3)  | FSx 对于 OpenZFS 文件系统，应配置为多可用区部署 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [FSx.4](fsx-controls.md#fsx-4)  | FSx 对于 NetApp ONTAP 文件系统，应配置为多可用区部署 | AWS 基础安全最佳实践 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [FSx.5](fsx-controls.md#fsx-5)  | FSx 对于 Windows 文件服务器，应将文件系统配置为多可用区部署 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [Glue.1](glue-controls.md#glue-1)  | AWS Glue 应该给工作加标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Glue.3](glue-controls.md#glue-3)  | AWS Glue 机器学习转换应在静态状态下进行加密 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [胶水。4](glue-controls.md#glue-4)  | AWS Glue Spark 作业应在支持的版本上运行 AWS Glue | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [GlobalAccelerator1](globalaccelerator-controls.md#globalaccelerator-1)。 | 应标记 Global Accelerator 加速器 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [GuardDuty1](guardduty-controls.md#guardduty-1)。 |  GuardDuty 应该启用  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2，PCI DSS v3.2.1，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [GuardDuty.2](guardduty-controls.md#guardduty-2)  | GuardDuty 应该给过滤器加标签  | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [GuardDuty.3](guardduty-controls.md#guardduty-3)  | GuardDuty IPSets 应该被标记  | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [GuardDuty.4](guardduty-controls.md#guardduty-4)  | GuardDuty 应给探测器加标签  | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [GuardDuty.5](guardduty-controls.md#guardduty-5)  | GuardDuty 应启用 EKS 审核日志监控 | AWS 基础安全最佳实践 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [GuardDuty.6](guardduty-controls.md#guardduty-6)  | GuardDuty 应启用 Lambda 保护 | AWS 基础安全最佳实践，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [GuardDuty.7](guardduty-controls.md#guardduty-7)  | GuardDuty 应启用 EKS 运行时监控 | AWS 基础安全最佳实践，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [GuardDuty.8](guardduty-controls.md#guardduty-8)  | GuardDuty 应启用 EC2 的恶意软件防护 | AWS 基础安全最佳实践 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [GuardDuty.9](guardduty-controls.md#guardduty-9)  | GuardDuty 应启用 RDS 保护 | AWS 基础安全最佳实践，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [GuardDuty.10](guardduty-controls.md#guardduty-10)  | GuardDuty 应启用 S3 保护 | AWS 基础安全最佳实践，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [GuardDuty.11](guardduty-controls.md#guardduty-11)  | GuardDuty 应启用 “运行时监控” | AWS 基础安全最佳实践 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [GuardDuty.12](guardduty-controls.md#guardduty-12)  | GuardDuty 应启用 ECS 运行时监控 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [GuardDuty.13](guardduty-controls.md#guardduty-13)  | GuardDuty 应启用 EC2 运行时监控 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [IAM.1](iam-controls.md#iam-1)  |  IAM policy 不应允许完全“\$1”管理权限  | CIS AWS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0、NIST SP 800-53 修订版 5、NIST SP 800-171 修订版 2、NIS AWS T SP 800-171 修订版 2  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [IAM.2](iam-controls.md#iam-2)  |  IAM 用户不应附加 IAM policy  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、NIS AWS T SP 800-53 修订版 5、NIST SP 800-171 Rev. 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [IAM.3](iam-controls.md#iam-3)  |  IAM 用户访问密钥应每 90 天或更短时间轮换一次  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、 AWS 基础安全最佳 AWS 实践、NIST SP 800-53 修订版 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.4](iam-controls.md#iam-4)  |  不应存在 IAM 根用户访问密钥  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、NIS AWS T SP 800-53 修订版 5  |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.5](iam-controls.md#iam-5)  |  应为拥有控制台密码的所有 IAM 用户启用 MFA  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、 AWS 基础安全最佳 AWS 实践、NIST SP 800-53 修订版 5、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.6](iam-controls.md#iam-6)  |  应该为根用户启用硬件 MFA  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、 AWS 基础安全最佳实践、NIS AWS T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.7](iam-controls.md#iam-7)  |  IAM 用户的密码策略应具有可靠的配置  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2，PCI DSS v4.0.1 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [IAM.8](iam-controls.md#iam-8)  |  应移除未使用的 IAM 用户凭证  | CIS AWS 基金会基准 v1.2.0， AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2，PCI DSS v3.2.1，PCI DSS v4.0.1，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.9](iam-controls.md#iam-9)  |  应为根用户启用 MFA  | 独联体 AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体 AWS 基金会基准 v1.2.0、NIST SP 800-53 修订版 5、PCI AWS DSS v3.2.1、PCI DSS v4.0.1 |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.10](iam-controls.md#iam-10)  |  IAM 用户的密码策略应具有可靠的配置  | NIST SP 800-171 Rev. 2、PCI DSS v3.2.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.11](iam-controls.md#iam-11)  |  确保 IAM 密码策略要求包含至少一个大写字母  | CIS AWS 基金会基准 v1.2.0，NIST SP 800-171 Rev. 2，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.12](iam-controls.md#iam-12)  |  确保 IAM 密码策略要求包含至少一个小写字母  | CIS AWS 基金会基准 v1.2.0，NIST SP 800-171 Rev. 2，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.13](iam-controls.md#iam-13)  |  确保 IAM 密码策略要求包含至少一个符号  | CIS AWS 基金会基准 v1.2.0，NIST SP 800-171 Rev. 2 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.14](iam-controls.md#iam-14)  |  确保 IAM 密码策略要求包含至少一个数字  | CIS AWS 基金会基准 v1.2.0，NIST SP 800-171 Rev. 2，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.15](iam-controls.md#iam-15)  |  确保 IAM 密码策略要求最短密码长度不低于 14  | 独联体 AWS 基金会基准 v5.0.0、独联体 AWS 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体 AWS 基金会基准 v1.2.0、NIST SP 800-171 修订 AWS 版 2 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.16](iam-controls.md#iam-16)  |  确保 IAM 密码策略阻止重复使用密码  | 独联体 AWS 基金会基准 v5.0.0、独联体 AWS 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体 AWS 基金会基准 v1.2.0、NIST SP 800-171 修订 AWS 版 2、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.17](iam-controls.md#iam-17)  |  确保 IAM 密码策略使密码在 90 天或更短时间内失效  | CIS AWS 基金会基准测试 v1.2.0，PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.18](iam-controls.md#iam-18)  |  确保创建支持角色来管理涉及 AWS 支持 的事务 | 独联体 AWS 基金会基准 v5.0.0、独联体 AWS 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体 AWS 基金会基准 v1.2.0、NIST SP 800-171 修订 AWS 版 2、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.19](iam-controls.md#iam-19)  |  应该为所有 IAM 用户启用 MFA  | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.21](iam-controls.md#iam-21)  |  您创建的 IAM 客户管理型策略不应允许对服务执行通配符操作  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [IAM.22](iam-controls.md#iam-22)  |  应移除在 45 天内未使用的 IAM 用户凭证  | 独联体 AWS 基金会基准 v5.0.0，独联体 AWS 基金会基准 v3.0.0，独联体基金会基准 v1.4.0，NIST SP 800- AWS 171 Rev. 2 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [IAM.23](iam-controls.md#iam-23)  | 应标记 IAM Access Analyzer 分析器 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [IAM.24](iam-controls.md#iam-24)  | 应标记 IAM 角色 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [IAM.25](iam-controls.md#iam-25)  | 应标记 IAM 用户 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [IAM.26](iam-controls.md#iam-26) | 应移除 IAM 中管理的过期 SSL/TLS 证书 | 独联体 AWS 基金会基准 v5.0.0，独联体 AWS 基金会基准 v3.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [IAM.27](iam-controls.md#iam-27)  | IAM 身份不应附加 AWSCloudShellFullAccess 策略 | 独联体 AWS 基金会基准 v5.0.0，独联体 AWS 基金会基准 v3.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [IAM.28](iam-controls.md#iam-28)  | 应启用 IAM Access Analyzer 外部访问分析器 | 独联体 AWS 基金会基准 v5.0.0，独联体 AWS 基金会基准 v3.0.0 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [Inspector.1](inspector-controls.md#inspector-1)  | 应启用 Amazon Inspector EC2 扫描 | AWS 基础安全最佳实践，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [Inspector.2](inspector-controls.md#inspector-2)  | 应启用 Amazon Inspector ECR 扫描 | AWS 基础安全最佳实践，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [Inspector.3](inspector-controls.md#inspector-3)  | 应启用 Amazon Inspector Lambda 代码扫描 | AWS 基础安全最佳实践，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [Inspector.4](inspector-controls.md#inspector-4)  | 应启用 Amazon Inspector Lambda 标准扫描 | AWS 基础安全最佳实践，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [IoT.1](iot-controls.md#iot-1)  | AWS IoT Device Defender 应标记安全配置文件 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [IoT.2](iot-controls.md#iot-2)  | AWS IoT Core 应标记缓解措施 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [IoT.3](iot-controls.md#iot-3)  | AWS IoT Core 应给尺寸加标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [IoT.4](iot-controls.md#iot-4)  | AWS IoT Core 应给授权者加标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [IoT.5](iot-controls.md#iot-5)  | AWS IoT Core 应标记角色别名 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [IoT.6](iot-controls.md#iot-6)  | AWS IoT Core 策略应该被标记 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TEvents .1](iotevents-controls.md#iotevents-1)  | AWS IoT Events 应标记输入 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TEvents 2](iotevents-controls.md#iotevents-2)  | AWS IoT Events 应标记探测器型号 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TEvents .3](iotevents-controls.md#iotevents-3)  | AWS IoT Events 应标记警报型号 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TSite Wise.1](iotsitewise-controls.md#iotsitewise-1)  | AWS IoT SiteWise 应为资产模型加标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TSite Wise.2](iotsitewise-controls.md#iotsitewise-2)  | AWS IoT SiteWise 仪表板应该被标记 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TSite Wise.3](iotsitewise-controls.md#iotsitewise-3)  | AWS IoT SiteWise 应该给网关加标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TSite Wise.4](iotsitewise-controls.md#iotsitewise-4)  | AWS IoT SiteWise 应该给门户加标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TSite Wise.5](iotsitewise-controls.md#iotsitewise-5)  | AWS IoT SiteWise 应该给项目加标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TTwin Maker.1](iottwinmaker-controls.md#iottwinmaker-1)  | AWS 应标记 IoT TwinMaker 同步作业 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TTwin Maker.2](iottwinmaker-controls.md#iottwinmaker-2)  | AWS 应标 TwinMaker 记 IoT 工作空间 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TTwin Maker.3](iottwinmaker-controls.md#iottwinmaker-3)  | AWS 应标记物联网 TwinMaker 场景 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TTwin Maker.4](iottwinmaker-controls.md#iottwinmaker-4)  | AWS 应标记物联网 TwinMaker 实体 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TWireless .1](iotwireless-controls.md#iotwireless-1)  | AWS 应标记 IoT Wireless 组播组 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TWireless 2](iotwireless-controls.md#iotwireless-2)  | AWS 应标记 IoT Wireless 服务配置文件 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Io TWireless .3](iotwireless-controls.md#iotwireless-3)  | AWS 应标记 IoT Wireless FUOTA 任务 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [IVS.1](ivs-controls.md#ivs-1)  | 应标记 IVS 播放密钥对 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [IVS.2](ivs-controls.md#ivs-2)  | 应标记 IVS 录制配置 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [IVS.3](ivs-controls.md#ivs-3)  | 应标记 IVS 频道 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Keyspaces.1](keyspaces-controls.md#keyspaces-1)  | 应标记 Amazon Keyspaces 密钥空间 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Kinesis.1](kinesis-controls.md#kinesis-1)  |  Kinesis 直播应在静态状态下进行加密  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Kinesis.2](kinesis-controls.md#kinesis-2)  | 应标记 Kinesis 流 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Kinesis.3](kinesis-controls.md#kinesis-3)  | Kinesis 流应有足够的数据留存期 | AWS 基础安全最佳实践 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [KMS.1](kms-controls.md#kms-1)  |  IAM 客户管理型策略不应允许对所有 KMS 密钥执行解密操作  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [KMS.2](kms-controls.md#kms-2)  |  IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [KMS.3](kms-controls.md#kms-3)  |  AWS KMS keys 不应无意中删除  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [KMS.4](kms-controls.md#kms-4)  |  AWS KMS key 应该启用旋转  | 独联体 AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体 AWS 基金会基准 v1.2.0、NIST SP 800-53 修订版 5、PCI AWS DSS v3.2.1、PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [KMS.5](kms-controls.md#kms-5)  | KMS 密钥不应可公开访问 | AWS 基础安全最佳实践 | 关键 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [Lambda.1](lambda-controls.md#lambda-1)  |  Lambda 函数策略应禁止公共访问  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v3.2.1，PCI DSS v4.0.1 |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Lambda.2](lambda-controls.md#lambda-2)  |  Lambda 函数应使用受支持的运行时系统  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Lambda.3](lambda-controls.md#lambda-3)  |  Lambda 函数应位于 VPC 中  |  PCI DSS v3.2.1、NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Lambda.5](lambda-controls.md#lambda-5)  |  VPC Lambda 函数应在多个可用区内运行  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [Lambda.6](lambda-controls.md#lambda-6)  | 应标记 Lambda 函数 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Lambda.7](lambda-controls.md#lambda-7)  | Lambda 函数应启用 AWS X-Ray 主动跟踪 | NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [Macie.1](macie-controls.md#macie-1)  |  应启用 Amazon Macie  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [Macie.2](macie-controls.md#macie-2)  | 应启用 Macie 敏感数据自动发现 | AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [MSK.1](msk-controls.md#msk-1)  |  MSK 集群应在代理节点之间传输时进行加密  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [MSK.2](msk-controls.md#msk-2)  |  MSK 集群应配置增强监控  |  NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [MSK.3](msk-controls.md#msk-3)  | 应在传输过程中加密 MSK Connect 连接器 | AWS 基础安全最佳实践，PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  | 变更已触发 | 
|  [MSK.4](msk-controls.md#msk-4)  | MSK 集群应禁用公开访问 | AWS 基础安全最佳实践 | 关键 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [MSK.5](msk-controls.md#msk-5)  | MSK 连接器应启用日志记录 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [MSK.6](msk-controls.md#msk-6)  | MSK 集群应禁用未经身份验证的访问 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [MQ.2](mq-controls.md#mq-2)  | ActiveMQ 代理应将审核日志流式传输到 CloudWatch | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [MQ.4](mq-controls.md#mq-4)  | 应标记 Amazon MQ 代理 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [MQ.5](mq-controls.md#mq-5)  |  ActiveMQ 代理应该使用部署模式 active/standby  | NIST SP 800-53 Rev. 5 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [MQ.6](mq-controls.md#mq-6)  |  RabbitMQ 代理应该使用集群部署模式  | NIST SP 800-53 Rev. 5 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Neptune.1](neptune-controls.md#neptune-1)  |  应对 Neptune 数据库集群进行静态加密  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  | 变更已触发 | 
|  [Neptune.2](neptune-controls.md#neptune-2)  |  Neptune 数据库集群应将审核日志发布到日志 CloudWatch  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  | 变更已触发 | 
|  [Neptune.3](neptune-controls.md#neptune-3)  |  Neptune 数据库集群快照不应公开  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Neptune.4](neptune-controls.md#neptune-4)  |  Neptune 数据库集群应启用删除保护  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Neptune.5](neptune-controls.md#neptune-5)  |  Neptune 数据库集群应启用自动备份  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [Neptune.6](neptune-controls.md#neptune-6)  |  应对 Neptune 数据库集群快照进行静态加密  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Neptune.7](neptune-controls.md#neptune-7)  |  Neptune 数据库集群应启用 IAM 数据库身份验证  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Neptune.8](neptune-controls.md#neptune-8)  |  应将 Neptune 数据库集群配置为将标签复制到快照  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Neptune.9](neptune-controls.md#neptune-9)  |  Neptune 数据库集群应部署在多个可用区中  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [NetworkFirewall1](networkfirewall-controls.md#networkfirewall-1)。 |  Network Firewall 防火墙应跨多个可用区部署  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [NetworkFirewall.2](networkfirewall-controls.md#networkfirewall-2)  |  应启用 Network Firewall 日志记录  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [NetworkFirewall.3](networkfirewall-controls.md#networkfirewall-3)  |  Network Firewall 策略应至少关联一个规则组  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [NetworkFirewall.4](networkfirewall-controls.md#networkfirewall-4)  |  Network Firewall 策略的默认无状态操作应为丢弃或转发完整数据包  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [NetworkFirewall.5](networkfirewall-controls.md#networkfirewall-5)  |  Network Firewall 策略的默认无状态操作应为丢弃或转发分段数据包  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [NetworkFirewall.6](networkfirewall-controls.md#networkfirewall-6)  |  无状态网络防火墙规则组不应为空  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [NetworkFirewall.7](networkfirewall-controls.md#networkfirewall-7)  | 应标记 Network Firewall 防火墙 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [NetworkFirewall.8](networkfirewall-controls.md#networkfirewall-8)  | 应标记 Network Firewall 防火墙策略 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [NetworkFirewall.9](networkfirewall-controls.md#networkfirewall-9)  |  Network Firewall 防火墙应启用删除保护  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [NetworkFirewall.10](networkfirewall-controls.md#networkfirewall-10)  | Network Firewall 防火墙应启用子网更改保护 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [Opensearch.1](opensearch-controls.md#opensearch-1)  |  OpenSearch 域应启用静态加密  |  AWS 基础安全最佳实践 v1.0.0，PCI DSS v3.2.1，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Opensearch.2](opensearch-controls.md#opensearch-2)  |  OpenSearch 域名不应公开访问  |  AWS 基础安全最佳实践 v1.0.0，PCI DSS v3.2.1，NIST SP 800-53 Rev. 5  |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Opensearch.3](opensearch-controls.md#opensearch-3)  |  OpenSearch 域应加密节点之间发送的数据  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Opensearch.4](opensearch-controls.md#opensearch-4)  |  OpenSearch 应该启用记录到 CloudWatch 日志的域错误  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Opensearch.5](opensearch-controls.md#opensearch-5)  |  OpenSearch 域应启用审核日志  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Opensearch.6](opensearch-controls.md#opensearch-6)  |  OpenSearch 域应至少有三个数据节点  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Opensearch.7](opensearch-controls.md#opensearch-7)  |  OpenSearch 域名应启用细粒度访问控制  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Opensearch.8](opensearch-controls.md#opensearch-8)  | 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密 |  AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [Opensearch.9](opensearch-controls.md#opensearch-9)  | OpenSearch 域名应该被标记 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Opensearch.10](opensearch-controls.md#opensearch-10)  |  OpenSearch 域名应安装最新的软件更新  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 | 中 |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Opensearch.11](opensearch-controls.md#opensearch-11)  | OpenSearch 域应至少有三个专用的主节点 | NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [PCA.1](pca-controls.md#pca-1)  |  AWS 私有 CA 应禁用根证书颁发机构  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  | 定期 | 
|  [PCA.2](pca-controls.md#pca-2)  | AWS 应标记私有 CA 证书颁发机构 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [RDS.1](rds-controls.md#rds-1)  |  RDS 快照应为私有快照  |  AWS 基础安全最佳实践 v1.0.0，PCI DSS v3.2.1，NIST SP 800-53 Rev. 5  |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.2](rds-controls.md#rds-2)  |  根据 PubliclyAccessible 配置，RDS 数据库实例应禁止公共访问  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、 AWS 基础安全最佳实践、NIST SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、PCI DSS v4.0.1 |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.3](rds-controls.md#rds-3)  |  RDS 数据库实例应启用静态加密  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、 AWS 基础安全最佳 AWS 实践 v1.0.0、NIST SP 800-53 修订版 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.4](rds-controls.md#rds-4)  |  RDS 集群快照和数据库快照应进行静态加密  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.5](rds-controls.md#rds-5)  |  RDS 数据库实例应配置多个可用区  | CIS AWS Foundations Benchmark v5.0.0， AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.6](rds-controls.md#rds-6)  |  应为 RDS 数据库实例配置增强监控  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [RDS.7](rds-controls.md#rds-7)  |  RDS 集群应启用删除保护  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  | 中 |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.8](rds-controls.md#rds-8)  |  RDS 数据库实例应启用删除保护  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.9](rds-controls.md#rds-9)  | RDS 数据库实例应将日志发布到 CloudWatch 日志 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.10](rds-controls.md#rds-10)  |  应为 RDS 实例配置 IAM 身份验证  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.11](rds-controls.md#rds-11)  |  RDS 实例应启用自动备份  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [RDS.12](rds-controls.md#rds-12)  |  应为 RDS 集群配置 IAM 身份验证  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.13](rds-controls.md#rds-13)  |  应启用 RDS 自动次要版本升级  | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、 AWS 基础安全最佳实践、NIST SP 800-53 修订版 5、PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.14](rds-controls.md#rds-14)  |  Amazon Aurora 集群应启用回溯功能  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [RDS.15](rds-controls.md#rds-15)  |  应为多个可用区配置 RDS 数据库集群  | CIS AWS Foundations Benchmark v5.0.0， AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.16](rds-controls.md#rds-16)  | 应将 Aurora 数据库集群配置为将标签复制到数据库快照 | AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5 | 低  | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [RDS.17](rds-controls.md#rds-17)  |  应将 RDS 数据库实例配置为将标签复制到快照  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.18](rds-controls.md#rds-18)  |  RDS 实例应部署在 VPC 中  |   |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.19](rds-controls.md#rds-19)  |  应为关键集群事件配置现有 RDS 事件通知订阅  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.20](rds-controls.md#rds-20)  |  应为关键数据库实例事件配置现有 RDS 事件通知订阅  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.21](rds-controls.md#rds-21)  |  应为关键数据库参数组事件配置 RDS 事件通知订阅  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.22](rds-controls.md#rds-22)  |  应为关键数据库安全组事件配置 RDS 事件通知订阅  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.23](rds-controls.md#rds-23)  |  RDS 实例不应使用数据库引擎的默认端口  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.24](rds-controls.md#rds-24)  |  RDS 数据库集群应使用自定义管理员用户名  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.25](rds-controls.md#rds-25)  |  RDS 数据库实例应使用自定义管理员用户名  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.26](rds-controls.md#rds-26)  |  RDS 数据库实例应受备份计划保护  |  NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [RDS.27](rds-controls.md#rds-27)  |  应对 RDS 数据库集群进行静态加密  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.28](rds-controls.md#rds-28)  | 应标记 RDS 数据库集群 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [RDS.29](rds-controls.md#rds-29)  | 应标记 RDS 数据库集群快照 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [RDS.30](rds-controls.md#rds-30)  | 应标记 RDS 数据库实例 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [RDS.31](rds-controls.md#rds-31)  | 应标记 RDS 数据库安全组 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [RDS.32](rds-controls.md#rds-32)  | 应标记 RDS 数据库快照 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [RDS.33](rds-controls.md#rds-33)  | 应标记 RDS 数据库子网组 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [RDS.34](rds-controls.md#rds-34)  |  Aurora MySQL 数据库集群应将审计日志发布到 CloudWatch 日志  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.35](rds-controls.md#rds-35)  |  RDS 数据库集群应启用自动次要版本升级  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [RDS.36](rds-controls.md#rds-36)  | 适用于 PostgreSQL 的 RDS 数据库实例应将日志发布到日志 CloudWatch  | AWS 基础安全最佳实践，PCI DSS v4.0.1 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [RDS.37](rds-controls.md#rds-37)  | Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch  | AWS 基础安全最佳实践，PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [RDS.38](rds-controls.md#rds-38)  | RDS for PostgreSQL 数据库实例应在传输过程中加密 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [RDS.39](rds-controls.md#rds-39)  | RDS for MySQL 数据库实例应在传输过程中加密 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [RDS.40](rds-controls.md#rds-40)  | 适用于 SQL Server 数据库实例的 RDS 应将日志发布到 CloudWatch 日志 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [RDS.41](rds-controls.md#rds-41)  | RDS for SQL Server 数据库实例应在传输过程中加密 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [RDS.42](rds-controls.md#rds-42)  | 适用于 MariaDB 的 RDS 数据库实例应将日志发布到日志 CloudWatch  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [RDS.43](rds-controls.md#rds-43)  | RDS 数据库代理应要求对连接进行 TLS 加密 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [RDS.44](rds-controls.md#rds-44)  | RDS for MariaDB 数据库实例应在传输过程中加密 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [RDS.45](rds-controls.md#rds-45)  | Aurora MySQL 数据库集群应启用审核日志记录 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [RDS.46](rds-controls.md#rds-46)  | RDS 数据库实例不应部署在具有通往互联网网关路由的公共子网中 | AWS 基础安全最佳实践 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [RDS.47](rds-controls.md#rds-47)  | 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照 | AWS 基础安全最佳实践 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [RDS.48](rds-controls.md#rds-48)  | 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照 | AWS 基础安全最佳实践 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [RDS.50](rds-controls.md#rds-50)  |  RDS 数据库集群应设置足够的备份保留期  |  AWS 基础安全最佳实践 v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png) 是  |  变更已触发  | 
|  [Redshift.1](redshift-controls.md#redshift-1)  |  Amazon Redshift 集群应禁止公共访问  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v3.2.1，PCI DSS v4.0.1 |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Redshift.2](redshift-controls.md#redshift-2)  |  与 Amazon Redshift 集群的连接应在传输过程中加密  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Redshift.3](redshift-controls.md#redshift-3)  |  Amazon Redshift 集群应启用自动快照  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [Redshift.4](redshift-controls.md#redshift-4)  |  Amazon Redshift 集群应启用审核日志记录  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Redshift.6](redshift-controls.md#redshift-6)  |  Amazon Redshift 应该启用自动升级到主要版本的功能  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Redshift.7](redshift-controls.md#redshift-7)  |  Redshift 集群应使用增强型 VPC 路由  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Redshift.8](redshift-controls.md#redshift-8)  |  Amazon Redshift 集群不应使用默认管理员用户名  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Redshift.10](redshift-controls.md#redshift-10)  |  Redshift 集群应静态加密  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [Redshift.11](redshift-controls.md#redshift-11)  | 应标记 Redshift 集群 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Redshift.12](redshift-controls.md#redshift-12)  | 应标记 Redshift 事件通知订阅 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Redshift.13](redshift-controls.md#redshift-13)  | 应标记 Redshift 集群快照 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Redshift.14](redshift-controls.md#redshift-14)  | 应标记 Redshift 集群子网组 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Redshift.15](redshift-controls.md#redshift-15)  | Redshift 安全组应仅允许从受限来源到集群端口的入口流量 | AWS 基础安全最佳实践，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [Redshift.16](redshift-controls.md#redshift-16)  | Redshift 集群子网组应具有来自多个可用区的子网 | NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [Redshift.17](redshift-controls.md#redshift-17)  | 应标记 Redshift 集群参数组 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Redshift.18](redshift-controls.md#redshift-18)  | Redshift 集群应启用多可用区部署 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [RedshiftServerless1](redshiftserverless-controls.md#redshiftserverless-1)。 | Amazon Redshift Serverless 工作组应使用增强型 VPC 路由 | AWS 基础安全最佳实践 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [RedshiftServerless.2](redshiftserverless-controls.md#redshiftserverless-2)  | 连接到 Redshift Serverless 工作组时应需要使用 SSL | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [RedshiftServerless.3](redshiftserverless-controls.md#redshiftserverless-3)  | Redshift Serverless 工作组应禁止公开访问 | AWS 基础安全最佳实践 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [RedshiftServerless.4](redshiftserverless-controls.md#redshiftserverless-4)  | Redshift 无服务器命名空间应使用客户托管进行加密 AWS KMS keys | NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [RedshiftServerless.5](redshiftserverless-controls.md#redshiftserverless-5)  | Redshift Serverless 命名空间不应使用默认管理员用户名 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [RedshiftServerless.6](redshiftserverless-controls.md#redshiftserverless-6)  | Redshift 无服务器命名空间应将日志导出到日志 CloudWatch  | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [Route53.1](route53-controls.md#route53-1)  | 应标记 Route53 运行状况检查 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Route53.2](route53-controls.md#route53-2)  |  Route 53 公共托管区域应记录 DNS 查询  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [S3.1](s3-controls.md#s3-1)  | S3 通用存储桶应启用屏蔽公共访问权限设置 | CIS AWS 基金会基准 v5.0.0、CIS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、 AWS 基础安全最佳实践、NIS AWS T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [S3.2](s3-controls.md#s3-2)  | S3 通用存储桶应阻止公共读取访问权限 | AWS 基础安全最佳实践，PCI DSS v3.2.1，NIST SP 800-53 Rev. 5 | 关键 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发且定期进行 | 
|  [S3.3](s3-controls.md#s3-3)  | S3 通用存储桶应阻止公共写入访问权限 | AWS 基础安全最佳实践，PCI DSS v3.2.1，NIST SP 800-53 Rev. 5 | 关键 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发且定期进行 | 
|  [S3.5](s3-controls.md#s3-5)  | S3 通用存储桶应需要请求才能使用 SSL | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、 AWS 基础安全最佳实践、NIS AWS T SP 800-53 修订版 5、NIST SP 800-171 修订版 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [S3.6](s3-controls.md#s3-6)  | S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，NIST SP 800-171 Rev. 2 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [S3.7](s3-controls.md#s3-7)  | S3 通用存储桶应使用跨区域复制 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [S3.8](s3-controls.md#s3-8)  | S3 通用存储桶应屏蔽公共访问权限 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、 AWS 基础安全最佳实践、NIS AWS T SP 800-53 修订版 5、PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [S3.9](s3-controls.md#s3-9)  | S3 通用存储桶应启用服务器访问日志记录 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2，PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [S3.10](s3-controls.md#s3-10)  | 启用版本控制的 S3 通用存储桶应具有生命周期配置 | NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [S3.11](s3-controls.md#s3-11)  | S3 存储桶应启用事件通知 | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [S3.12](s3-controls.md#s3-12)  | ACLs 不应用于管理用户对 S3 通用存储桶的访问权限 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [S3.13](s3-controls.md#s3-13)  | S3 通用存储桶应具有生命周期配置 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [S3.14](s3-controls.md#s3-14)  | S3 通用存储桶应启用版本控制 | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [S3.15](s3-controls.md#s3-15)  | S3 通用存储桶应启用对象锁定 | NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [S3.17](s3-controls.md#s3-17)  | S3 通用存储桶应使用静态加密 AWS KMS keys | NIST SP 800-53 Rev. 5，NIST SP 800-171 Rev. 2，PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [S3.19](s3-controls.md#s3-19)  | S3 接入点应启用屏蔽公共访问权限设置 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [S3.20](s3-controls.md#s3-20)  | S3 通用存储桶应启用 MFA 删除功能 | 独联体 AWS 基金会基准 v5.0.0、独联体 AWS 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、NIS AWS T SP 800-53 修订版 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [S3.22](s3-controls.md#s3-22)  | S3 通用存储桶应记录对象级写入事件 | 独联体 AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [S3.23](s3-controls.md#s3-23)  | S3 通用存储桶应记录对象级读取事件 | 独联体 AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [S3.24](s3-controls.md#s3-24)  | S3 多区域接入点应启用屏蔽公共访问权限设置 | AWS 基础安全最佳实践，PCI DSS v4.0.1 | HIGH（高） | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [S3.25](s3-controls.md#s3-25)  | S3 目录存储桶应具有生命周期配置 | AWS 基础安全最佳实践 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [SageMaker1](sagemaker-controls.md#sagemaker-1)。 |  Amazon SageMaker 笔记本实例不应直接访问互联网  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v3.2.1，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [SageMaker.2](sagemaker-controls.md#sagemaker-2)  |  SageMaker 笔记本实例应在自定义 VPC 中启动  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SageMaker.3](sagemaker-controls.md#sagemaker-3)  |  用户不应拥有 SageMaker 笔记本实例的 root 访问权限  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SageMaker.4](sagemaker-controls.md#sagemaker-4)  | SageMaker 端点生产变体的初始实例数应大于 1 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [SageMaker.5](sagemaker-controls.md#sagemaker-5)  | SageMaker 模型应启用网络隔离 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [SageMaker.6](sagemaker-controls.md#sagemaker-6)  | SageMaker 应用映像配置应加标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [SageMaker.7](sagemaker-controls.md#sagemaker-7)  | SageMaker 应给图片加标签 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [SageMaker.8](sagemaker-controls.md#sagemaker-8)  | SageMaker 笔记本实例应在支持的平台上运行 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [SageMaker.9](sagemaker-controls.md#sagemaker-9)  |  SageMaker 数据质量任务定义应启用容器间流量加密  |  AWS 基础安全最佳实践 v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SageMaker.10](sagemaker-controls.md#sagemaker-10)  |  SageMaker 模型可解释性任务定义应启用容器间流量加密  |  AWS 基础安全最佳实践 v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SageMaker.11](sagemaker-controls.md#sagemaker-11)  |  SageMaker 数据质量作业定义应启用网络隔离  |  AWS 基础安全最佳实践 v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SageMaker.12](sagemaker-controls.md#sagemaker-12)  |  SageMaker 模型偏差任务定义应启用网络隔离  |  AWS 基础安全最佳实践 v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SageMaker.13](sagemaker-controls.md#sagemaker-13)  |  SageMaker 模型质量任务定义应启用容器间流量加密  |  AWS 基础安全最佳实践 v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SageMaker.14](sagemaker-controls.md#sagemaker-14)  |  SageMaker 监控计划应启用网络隔离  |  AWS 基础安全最佳实践 v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SageMaker.15](sagemaker-controls.md#sagemaker-15)  |  SageMaker 模型偏差任务定义应启用容器间流量加密  |  AWS 基础安全最佳实践 v1.0.0  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SecretsManager1](secretsmanager-controls.md#secretsmanager-1)。 |  Secrets Manager 密钥应启用自动轮换  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [SecretsManager.2](secretsmanager-controls.md#secretsmanager-2)  |  配置自动轮换的 Secrets Manager 密钥应成功轮换  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SecretsManager.3](secretsmanager-controls.md#secretsmanager-3)  |  移除未使用 Secrets Manager 密钥  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [SecretsManager.4](secretsmanager-controls.md#secretsmanager-4)  |  Secrets Manager 密钥应在指定的天数内轮换  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [SecretsManager.5](secretsmanager-controls.md#secretsmanager-5)  | 应标记 Secrets Manager 密钥 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [ServiceCatalog1](servicecatalog-controls.md#servicecatalog-1)。 | Service Catalog 产品组合只能在 AWS 组织内部共享 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [SES.1](ses-controls.md#ses-1)  | 应标记 SES 联系人名单 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [SES.2](ses-controls.md#ses-2)  | 应标记 SES 配置集 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [SES.3](ses-controls.md#ses-3)  | SES 配置集应启用 TLS 以发送电子邮件 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [SNS.1](sns-controls.md#sns-1)  | SNS 主题应使用以下方法进行静态加密 AWS KMS | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [SNS.3](sns-controls.md#sns-3)  | 应标记 SNS 主题 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [SNS.4](sns-controls.md#sns-4)  | SNS 主题访问策略不应允许公共访问 | AWS 基础安全最佳实践 | 关键 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [SQS.1](sqs-controls.md#sqs-1)  |  应对 Amazon SQS 队列进行静态加密  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SQS.2](sqs-controls.md#sqs-2)  | 应标记 SQS 队列 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [SQS.3](sqs-controls.md#sqs-3)  | SQS 队列访问策略不应允许公开访问 | AWS 基础安全最佳实践 | 关键 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [SSM.1](ssm-controls.md#ssm-1)  |  EC2 实例应由以下人员管理 AWS Systems Manager  |  AWS 基础安全最佳实践 v1.0.0，PCI DSS v3.2.1，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SSM.2](ssm-controls.md#ssm-2)  |  由 Systems Manager 管理的 EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态  | AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2，PCI DSS v3.2.1，PCI DSS v4.0.1，PCI DSS v4.0.1 |  HIGH（高）  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SSM.3](ssm-controls.md#ssm-3)  |  由 Systems Manager 管理的 EC2 实例的关联合规性的状态应为 COMPLIANT  | AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，PCI DSS v3.2.1，PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [SSM.4](ssm-controls.md#ssm-4)  |  SSM 文档不应公开  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  关键  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [SSM.5](ssm-controls.md#ssm-5)  | 应标记 SSM 文档 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [SSM.6](ssm-controls.md#ssm-6)  | SSM 自动化应该 CloudWatch 启用日志记录 | AWS 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [SSM.7](ssm-controls.md#ssm-7)  | SSM 文档应启用“阻止公开共享”设置 | AWS 基础安全最佳实践 v1.0.0 | 关键 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [StepFunctions1](stepfunctions-controls.md#stepfunctions-1)。 |  Step Functions 状态机应该开启日志功能  | AWS 基础安全最佳实践 v1.0.0，PCI DSS v4.0.1 |  中  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是  |  变更已触发  | 
|  [StepFunctions.2](stepfunctions-controls.md#stepfunctions-2)  | 应标记 Step Functions 活动 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Transfer.1](transfer-controls.md#transfer-1)  | 应标记 Transfer Family 工作流程 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Transfer.2](transfer-controls.md#transfer-2)  | Transfer Family 服务器不应使用 FTP 协议进行端点连接 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | 
|  [转账。3](transfer-controls.md#transfer-3)  | Transfer Family 连接器应启用日志记录 | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [转账。4](transfer-controls.md#transfer-4)  | 应标记 Transfer Family 协议 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [转账.5](transfer-controls.md#transfer-5)  | 应标记 Transfer Family 证书 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Transfer.6](transfer-controls.md#transfer-6)  | 应标记 Transfer Family 连接器 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [Transfer.7](transfer-controls.md#transfer-7)  | 应标记 Transfer Family 配置文件 | AWS 资源标签标准 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | 
|  [WAF.1](waf-controls.md#waf-1)  |  AWS 应启用 WAF 经典版全球 Web ACL 日志记录  | AWS 基础安全最佳实践，NIST SP 800-53 修订版 5，PCI DSS v4.0.1 |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [WAF.2](waf-controls.md#waf-2)  |  AWS WAF 经典区域规则应至少有一个条件  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [WAF.3](waf-controls.md#waf-3)  |  AWS WAF 经典区域规则组应至少有一条规则  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [WAF.4](waf-controls.md#waf-4)  |  AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [WAF.6](waf-controls.md#waf-6)  |  AWS WAF 经典版全局规则应至少有一个条件  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [WAF.7](waf-controls.md#waf-7)  |  AWS WAF 经典版全局规则组应至少有一条规则  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [WAF.8](waf-controls.md#waf-8)  |  AWS WAF Classic 全球网站 ACLs 应至少有一个规则或规则组  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [WAF.10](waf-controls.md#waf-10)  |  AWS WAF Web ACLs 应至少有一个规则或规则组  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 Rev. 5  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [WAF.11](waf-controls.md#waf-11)  |  AWS 应启用 WAF 网络 ACL 日志记录  | NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  定期  | 
|  [WAF.12](waf-controls.md#waf-12)  |  AWS WAF 规则应启用 CloudWatch 指标  |  AWS 基础安全最佳实践 v1.0.0，NIST SP 800-53 修订版 5，NIST SP 800-171 修订版 2  |  中  |  ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有  |  变更已触发  | 
|  [WorkSpaces1](workspaces-controls.md#workspaces-1)。 | WorkSpaces 用户卷应在静态时加密 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 
|  [WorkSpaces.2](workspaces-controls.md#workspaces-2)  | WorkSpaces 根卷应在静态时加密 | AWS 基础安全最佳实践 | 中 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | 

# Security Hub CSPM 控件的更改日志
<a name="controls-change-log"></a>

以下更改日志跟踪现有 Sec AWS urity Hub CSPM 控件的重大更改，这些更改可能会导致控制的整体状态及其发现的合规性状态发生变化。有关 Security Hub CSPM 如何评估控件状态的信息，请参阅[评估合规性状态和控件状态](controls-overall-status.md)。在将更改输入此日志后，可能需要几天时间才能影响所有 AWS 区域 可用的控件。

此日志跟踪自 2023 年 4 月以来发生的更改。选择一个控件以查看其相关的更多详细信息。标题更改将在控件的详细描述中记录 90 天。


| 变更日期 | 控件 ID 和标题 | 更改的说明 | 
| --- | --- | --- | 
| 2026年4月3日 | [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2) | 此控件检查 Amazon EKS 集群是否在支持的 Kubernetes 版本上运行。Security Hub CSPM 将此控件的参数值从 `1.32` 更改为 `1.33`。亚马逊 EKS 对 Kubernetes 1.32 版本的标准支持已于 2026 年 3 月 23 日结束。  | 
| 2026年4月3日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | 支持的运行时的 Lambda.2 参数不再包含在内，因为 ruby3.2 Lambda 已弃用此运行时。 | 
| 2026年3月24日 | [[RDS.50] RDS 数据库集群应设置足够的备份保留期](rds-controls.md#rds-50) | Security Hub CSPM 更新了控件标题，以反映该控件会检查所有 RDS 数据库集群。 | 
| 2026年3月24日 | [[ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限](ecs-controls.md#ecs-5) | Security Hub CSPM 更新了控件标题和描述，以反映该控件检查 ECS 任务定义的情况。Security Hub CSPM 还更新了控件，使其不为`runtimePlatform`配置为指定`WINDOWS_SERVER`操作系统系列的任务定义生成调查结果。 | 
| 2026年3月9日 | [AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密 | Security Hub CSPM 停用了此控件，并将其从[AWS 基础安全最佳实践 (FSB](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) P) 标准中删除。 AWS AppSync 现在为所有当前和未来的 API 缓存提供默认加密。 | 
| 2026年3月9日 | [AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密 | Security Hub CSPM 停用了此控件，并将其从[AWS 基础安全最佳实践 (FSB](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) P) 标准中删除。 AWS AppSync 现在为所有当前和未来的 API 缓存提供默认加密。 | 
| 2026年3月4日 | [ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义 | Security Hub CSPM 取消了此控件，并将其从[AWS 基础安全最佳实践 (FSBP) 标准和 [NIST](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) SP 800-53 Rev. 5 标准](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)中删除。  | 
| 2026 年 2 月 5 日 | [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1) | Security Hub CSPM将于2026年3月9日取消该控制权，并从所有适用的Security Hub CSPM标准中删除。 AWS AppSync 正在为所有当前和未来的 API 缓存提供默认加密。 | 
| 2026 年 2 月 5 日 | [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6) | Security Hub CSPM将于2026年3月9日取消该控制权，并从所有适用的Security Hub CSPM标准中删除。 AWS AppSync 正在为所有当前和未来的 API 缓存提供默认加密。 | 
| 2026 年 1 月 16 日 | [[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义](ecs-controls.md#ecs-1) | Security Hub CSPM通知说，该控件将在2026年2月16日之后停用并从所有适用的Security Hub CSPM标准中删除。 | 
| 2026 年 1 月 12 日 | [[Redshift.4] Amazon Redshift 集群应启用审核日志记录](redshift-controls.md#redshift-4) | Security Hub CSPM 更新了此控件以删除该参数。`loggingEnabled` | 
| 2026 年 1 月 12 日 | [MQ.3] Amazon MQ 代理应启用次要版本自动升级 | Security Hub CSPM 停用了该控件，并将该控件从所有适用标准中删除。由于亚马逊 MQ 要求自动升级次要版本，Security Hub CSPM 取消了控制权。 [以前，该控制适用于[AWS 基础安全最佳实践 (FSBP) 标准、NIST SP 800-53 Rev. 5 标准](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[和 PCI DSS v4.0.1 标准。](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)  | 
| 2026 年 1 月 12 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2) | 此控件检查 AWS Lambda 函数的运行时设置是否与每种语言支持的运行时的预期值相匹配。Security Hub CSPM 现在支持`dotnet10`作为此控件的参数值。 AWS Lambda 添加了对此运行时的支持。 | 
| 2025 年 12 月 15 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2) | 此控件检查 AWS Lambda 函数的运行时设置是否与每种语言支持的运行时的预期值相匹配。Security Hub CSPM 不再支持`python3.9`作为此控件的参数值。 AWS Lambda 不再支持此运行时。 | 
| 2025 年 12 月 12 日 | [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2) | 此控件检查 Amazon EKS 集群是否在支持的 Kubernetes 版本上运行。Security Hub CSPM 将此控件的参数值从 `1.31` 更改为 `1.32`。亚马逊 EKS 对 Kubernetes 1.31 版本的标准支持已于 2025 年 11 月 26 日结束。  | 
| 2025 年 11 月 21 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2) | 此控件检查 AWS Lambda 函数的运行时设置是否与每种语言支持的运行时的预期值相匹配。Security Hub CSPM 现在支持`nodejs24.x`和`python3.14`作为此控件的参数值。 AWS Lambda 添加了对这些运行时的支持。 | 
| 2025 年 11 月 14 日 | [[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址](ec2-controls.md#ec2-15) | Security Hub CSPM 更新了此控件的描述和基本原理。以前，该控件仅使用该标志检查 Amazon VPC 子网中的 IPv4 公有 IP 自动分配。`MapPublicIpOnLaunch`此控件现在会同时检查公有 IP 自动分配 IPv4 和 IPv6 公有 IP 自动分配。该控件的描述和基本原理已更新，以反映这些变化。 | 
| 2025 年 11 月 14 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2) | 此控件检查 AWS Lambda 函数的运行时设置是否与每种语言支持的运行时的预期值相匹配。Security Hub CSPM 现在支持将 `java25` 作为此控件的参数值。 AWS Lambda 添加了对此运行时的支持。 | 
| 2025 年 11 月 13 日 | [[SNS.4] SNS 主题访问策略不应允许公共访问](sns-controls.md#sns-4) | Security Hub CSPM 将此控件的严重性从`HIGH`更改为。`CRITICAL`允许公众访问 Amazon SNS 主题会带来严重的安全风险。 | 
| 2025 年 11 月 13 日 | [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3) | Security Hub CSPM 将此控件的严重性从`HIGH`更改为。`CRITICAL`允许公众访问 Amazon SQS 队列会带来严重的安全风险。 | 
| 2025 年 11 月 13 日 | [[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7) | Security Hub CSPM 将此控件的严重性从`MEDIUM`更改为。`HIGH`这种类型的运行时监控可增强对 Amazon EKS 资源的威胁检测。 | 
| 2025 年 11 月 13 日 | [[MQ.3] Amazon MQ 代理应启用次要版本自动升级](mq-controls.md#mq-3) | Security Hub CSPM 将此控件的严重性从`LOW`更改为。`MEDIUM`次要版本升级包括维护 Amazon MQ 代理安全所需的安全补丁。 | 
| 2025 年 11 月 13 日 | [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10) | Security Hub CSPM 将此控件的严重性从`LOW`更改为。`MEDIUM`软件更新包括维护 OpenSearch 域安全所需的安全补丁。 | 
| 2025 年 11 月 13 日 | [[RDS.7] RDS 集群应启用删除保护](rds-controls.md#rds-7) | Security Hub CSPM 将此控件的严重性从`LOW`更改为。`MEDIUM`删除保护有助于防止未经授权的实体意外删除 Amazon RDS 数据库和删除 RDS 数据库。 | 
| 2025 年 11 月 13 日 | [[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成](cloudtrail-controls.md#cloudtrail-5) | Security Hub CSPM 将此控件的严重性从`LOW`更改为。`MEDIUM` AWS CloudTrail Amazon CloudWatch Logs 中的日志数据可用于审计活动、警报和其他重要的安全操作。 | 
| 2025 年 11 月 13 日 | [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1) | Security Hub CSPM 将此控件的严重性从`HIGH`更改为。`MEDIUM`与特定账户共享 AWS Service Catalog 投资组合可能是故意的，并不一定表示投资组合可以公开访问。 | 
| 2025 年 11 月 13 日 | [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7) | Security Hub CSPM 将此控件的严重性从`MEDIUM`更改为。`LOW`Amazon CloudFront 分配的默认`cloudfront.net`域名是随机生成的，这降低了安全风险。 | 
| 2025 年 11 月 13 日 | [[ELB.7] 经典负载均衡器应启用连接耗尽功能](elb-controls.md#elb-7) | Security Hub CSPM 将此控件的严重性从`MEDIUM`更改为。`LOW`在多实例部署中，其他运行状况良好的实例可以在实例终止时处理用户会话，而不会耗尽连接，从而降低运营影响和可用性风险。 | 
| 2025 年 11 月 13 日 | [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5) | Security Hub CSPM 更新了此控件以删除可选`validAdminUserNames`参数。 | 
| 2025 年 10 月 23 日 | [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1) | Security Hub CSPM 于 2025 年 10 月 14 日恢复了对此控件的标题、描述和规则所做的更改。 | 
| 2025 年 10 月 22 日 | [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1) | Security Hub CSPM 更新了此控件，使其不为使用自定义来源的亚马逊 CloudFront 发行版生成调查结果。  | 
| 2025 年 10 月 16 日 | [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15) | 此控件会检查 Amazon CloudFront 分配是否配置为使用推荐的 TLS 安全策略。Security Hub CSPM 现在支持 `TLSv1.2_2025` 和 `TLSv1.3_2025` 作为此控件的参数值。 | 
| 2025 年 10 月 14 日 | [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1) | Security Hub CSPM 更改了此控件的标题、描述和规则。以前，该控件使用 [elasticache-redis-cluster-automatic-backup-](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) check 规则检查 Redis OSS 集群和所有复制组。控件的标题是：*ElastiCache （Redis OSS）集群应启用自动备份*。 [现在，此控件使用启用规则检查 Valkey 集群以及 Redis OSS 集群和所有复制组。elasticache-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html)新的标题和描述反映该控件检查两种类型的集群。  | 
| 2025 年 10 月 5 日 | [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10) | 此控件的规则已更新，还会生成一个`PASSED`结果，即某个 Amazon S OpenSearch ervice 域名是否没有可用的软件更新且更新状态不符合资格。以前，只有当 OpenSearch 域没有可用的软件更新且更新状态已完成时，此控件才会生成`PASSED`调查结果。  | 
| 2025 年 9 月 24 日 | [Redshift.9] Redshift 集群不应使用默认的数据库名称 [RedshiftServerless.7] Redshift Serverless 命名空间不应使用默认数据库名称 | Security Hub CSPM 停用了这些控件，并将其从所有适用的标准中移除。Security Hub CSPM 停用了这些控件，这是因为 Amazon Redshift 固有的限制导致无法有效修复控件的 `FAILED` 调查发现。 以前，控件适用于 [AWS 基础安全最佳实践（FSBP）标准](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)和 [NIST SP 800-53 Rev. 5 标准](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)。Redshift.9 控件也适用于 [AWS Control Tower 服务托管标准](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)。  | 
| 2025 年 9 月 9 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2) | 此控件检查 AWS Lambda 函数的运行时设置是否与每种语言支持的运行时的预期值相匹配。Security Hub CSPM 不再支持将 `nodejs18.x` 作为此控件的参数值。 AWS Lambda 也不再支持 Node.js 18 运行时。 | 
| 2025 年 8 月 13 日 | [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5) | Security Hub CSPM 更改了此控件的标题和描述。新的标题和描述更准确地反映了控件会检查 Amazon A SageMaker I 托管模型的`EnableNetworkIsolation`参数设置。以前，此控件的标题为：*SageMaker models should block inbound traffic*。  | 
| 2025 年 8 月 13 日 | [[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联](efs-controls.md#efs-6) | Security Hub CSPM 更改了此控件的标题和描述。新的标题和描述更准确地反映了该控件所执行的检查的范围和性质。以前，此控件的标题为：*EFS mount targets should not be associated with a public subnet*。  | 
| 2025 年 7 月 24 日 | [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2) | 此控件检查 Amazon EKS 集群是否在支持的 Kubernetes 版本上运行。Security Hub CSPM 将此控件的参数值从 `1.30` 更改为 `1.31`。Amazon EKS 对 Kubernetes 版本 1.30 的标准支持已于 2025 年 7 月 23 日结束。  | 
| 2025 年 7 月 23 日 | [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173) | Security Hub CSPM 更改了此控件的标题。新标题更准确地反映了该控件仅检查指定了启动参数的 Amazon EC2 竞价型实例集请求。以前，此控件的标题为：*EC2 Spot Fleet requests should enable encryption for attached EBS volumes*。  | 
| 2025 年 6 月 30 日 | [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13) | Security Hub CSPM 从 [PCI DSS v4.0.1 标准](pci-standard.md)中移除了此控件。PCI DSS v4.0.1 没有明确要求在密码中使用符号。  | 
| 2025 年 6 月 30 日 | [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17) | Security Hub CSPM 从 [NIST SP 800-171 修订版 2 标准](standards-reference-nist-800-171.md)中移除了此控件。NIST SP 800-171 修订版 2 没有明确要求密码过期时间为 90 天或更短。  | 
| 2025 年 6 月 30 日 | [[RDS.16] 应将 Aurora 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-16) | Security Hub CSPM 更改了此控件的标题。新标题更准确地反映了该控件仅检查 Amazon Aurora DB 集群。以前，此控件的标题为：*RDS DB clusters should be configured to copy tags to snapshots*。 | 
| 2025 年 6 月 30 日 | [[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行](sagemaker-controls.md#sagemaker-8) | 此控件根据为笔记本实例指定的平台标识符，检查 SageMaker Amazon AI 笔记本实例是否配置为在支持的平台上运行。Security Hub CSPM 不再支持 `notebook-al2-v1` 和 `notebook-al2-v2` 作为此控件的参数值。在这些平台上运行的笔记本实例已于 2025 年 6 月 30 日停止支持。 | 
| 2025 年 5 月 30 日 | [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10) | Security Hub CSPM 从 [PCI DSS v4.0.1 标准](pci-standard.md)中移除了此控件。此控件检查 IAM 用户的账户密码策略是否满足最低要求，包括密码长度至少为 7 个字符。PCI DSS v4.0.1 现在要求密码至少包含 8 个字符。此控件继续适用于 PCI DSS v3.2.1 标准，该标准具有不同的密码要求。 要根据 PCI DSS v4.0.1 要求评估账户密码策略，可以使用 [IAM.7 控件](iam-controls.md#iam-7)。此控件要求密码至少包含 8 个字符。它还对密码长度和其他参数支持自定义值。IAM.7 控件是 Security Hub CSPM 中 PCI DSS v4.0.1 标准的一部分。  | 
| 2025 年 5 月 8 日 | [RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中 | Security Hub CSPM 撤销了所有 AWS 区域中 RDS.46 控件的发布。以前，此控件支持 AWS 基础安全最佳实践 (FSBP) 标准。 | 
| 2025 年 4 月 7 日 | [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17) | 此控件检查应用程序负载均衡器的 HTTPS 侦听器或网络负载均衡器的 TLS 侦听器是否配置为使用推荐的安全策略对传输中数据进行加密。Security Hub CSPM 现在支持此控件的两个附加参数值：`ELBSecurityPolicy-TLS13-1-2-Res-2021-06` 和 `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04`。 | 
| 2025 年 3 月 27 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2) | 此控件检查 AWS Lambda 函数的运行时设置是否与每种语言支持的运行时的预期值匹配。Security Hub CSPM 现在支持`ruby3.4`作为此控件的参数值。 AWS Lambda 添加了对此运行时的支持。 | 
| 2025 年 3 月 26 日 | [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2) | 此控件可检查 Amazon Elastic Kubernetes Service（Amazon EKS）集群是否在支持的 Kubernetes 版本上运行。对于 `oldestVersionSupported` 参数，Security Hub CSPM 将其值从 `1.29` 更改为 `1.30`。目前支持的最旧 Kubernetes 版本是 `1.30`。 | 
| 2025 年 3 月 10 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2) | 此控件检查 AWS Lambda 函数的运行时设置是否与每种语言支持的运行时的预期值匹配。Security Hub CSPM 不再支持`dotnet6`和`python3.8`作为此控件的参数值。 AWS Lambda 不再支持这些运行时。 | 
| 2025 年 3 月 7 日 | [[RDS.18] RDS 实例应部署在 VPC 中](rds-controls.md#rds-18) | Security Hub CSPM 从 AWS 基础安全最佳实践标准中删除了此控件，并自动检查了 NIST SP 800-53 Rev. 5 的要求。由于 Amazon EC2-Classic 网络已停用，Amazon Relational Database Service（Amazon RDS）实例无法再部署在 VPC 之外。该控制仍然是 [AWS Control Tower 服务托管标准](service-managed-standard-aws-control-tower.md)的一部分。 | 
| 2025 年 1 月 10 日 | [Glue.2] Gl AWS ue 作业应启用日志记录 | Security Hub CSPM 停用了此控件，并将其从所有标准中移除。 | 
| 2024 年 12 月 20 日 | EC2.61 至 EC2.169  | Security Hub CSPM 撤销了 EC2.61 至 EC2.169 控件的发布。 | 
| 2024 年 12 月 12 日 | [[RDS.23] RDS 实例不应使用数据库引擎的默认端口](rds-controls.md#rds-23)  | RDS.23 检查 Amazon Relational Database Service（Amazon RDS）集群或实例是否使用数据库引擎的默认端口以外的端口。我们更新了控件，以便底层 AWS Config 规则返回属于集群NOT\$1APPLICABLE的 RDS 实例的结果。 | 
| 2024 年 12 月 2 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 nodejs22.x 作为参数。 | 
| 2024 年 11 月 26 日 | [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)  | 此控件可检查 Amazon Elastic Kubernetes Service（Amazon EKS）集群是否在支持的 Kubernetes 版本上运行。目前支持的最旧版本是 1.29。 | 
| 2024 年 11 月 20 日 | [AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1)  | Config.1 检查 AWS Config 是否已启用，使用服务相关角色，并记录已启用控件的资源。Security Hub CSPM 将此控件的严重性从 `MEDIUM` 提高到 `CRITICAL`。Security Hub CSPM 还为失败的 Config.1 调查发现添加了[新的状态代码和状态原因](controls-findings-create-update.md#control-findings-asff-compliance)。这些更改反映了 Config.1 对 Security Hub CSPM 控件操作的重要性。如果您禁用了 AWS Config 或禁用了资源记录，则可能会收到不准确的控制结果。 要接收 Config.1 的 `PASSED` 调查发现，请为与已启用的 Security Hub CSPM 控件对应的资源开启资源记录，并禁用组织中不需要的控件。有关配置 S AWS Config ecurity Hub CSPM 的说明，请参阅。[为 Security Hub CSPM 启用和配置 AWS Config](securityhub-setup-prereqs.md)有关 Security Hub CSPM 控件及其对应资源的列表，请参阅[控制结果所需的 AWS Config 资源](controls-config-resources.md)。 | 
| 2024 年 11 月 12 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 python3.13 作为参数。 | 
| 2024 年 10 月 11 日 | ElastiCache 控件  | 更改了. ElastiCache 3、 ElastiCache .4、. ElastiCache 5 和 ElastiCache .7 的控件标题。游戏不再提及 Redis OSS，因为这些控件也适用 ElastiCache 于 Valkey。 | 
| 2024 年 9 月 27 日 | [[ELB.4] 应将应用程序负载均衡器配置为丢弃无效的 http 标头](elb-controls.md#elb-4)  | 将控件标题从应将应用程序负载均衡器配置为删除 http 标头更改为应将应用程序负载均衡器配置为删除无效的 http 标头。 | 
| 2024 年 8 月 19 日 | 标题更改为 DMS.12 和控件 ElastiCache  | 已将 DMS.12 和 .1 的控件标题更改为 ElastiCache .7。 ElastiCache我们更改了这些标题，以反映亚马逊 ElastiCache （Redis OSS）服务的名称更改。 | 
| 2024 年 8 月 15 日 | [AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1)  | Config.1 检查 AWS Config 是否已启用，使用服务相关角色，并记录已启用控件的资源。Security Hub CSPM 添加了一个名为 includeConfigServiceLinkedRoleCheck 的自定义控件参数。通过将此参数设置为 false，您可以选择不检查 AWS Config 是否使用服务相关角色。 | 
| 2024 年 7 月 31 日 | [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)  | 将控件标题从应该标记AWS IoT Core 安全配置文件更改为应该标记AWS IoT Device Defender 安全配置文件。 | 
| 2024 年 7 月 29 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 不再支持 nodejs16.x 作为参数。 | 
| 2024 年 7 月 29 日 | [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)  | 此控件可检查 Amazon Elastic Kubernetes Service（Amazon EKS）集群是否在支持的 Kubernetes 版本上运行。目前支持的最旧版本是 1.28。 | 
| 2024 年 6 月 25 日 | [AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1)  | 此控件检查 AWS Config 是否已启用，使用服务相关角色并记录已启用控件的资源。Security Hub CSPM 更新了控件标题以反映控件评估的内容。 | 
| 2024 年 6 月 14 日 | [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34)  | 此控件检查 Amazon Aurora MySQL 数据库集群是否配置为向亚马逊日志发布审核 CloudWatch 日志。Security Hub CSPM 更新了控件，使其不会为 Aurora Serverless v1 数据库集群生成调查发现。 | 
| 2024 年 6 月 11 日 | [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)  | 此控件可检查 Amazon Elastic Kubernetes Service（Amazon EKS）集群是否在支持的 Kubernetes 版本上运行。目前支持的最旧版本是 1.27。 | 
| 2024 年 6 月 10 日 | [AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1)  | 此控件检查资源记录 AWS Config 是否已启用， AWS Config 资源记录是否已开启。以前，只有在为所有资源配置了记录时，控件才会生成 PASSED 调查发现。Security Hub CSPM 更新了控件，以便在为已启用控件所需的资源开启记录时生成 PASSED 调查发现。控件也已更新，以检查是否使用了 AWS Config 服务相关角色，该角色提供了记录必要资源的权限。 | 
| 2024 年 5 月 8 日 | [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)  | 该控件检查受版本控制的 Amazon S3 通用存储桶是否启用了多重身份验证（MFA）删除。以前，该控件会为具有生命周期配置的存储桶生成 FAILED 调查发现。但是，无法在具有生命周期配置的存储桶上启用已启用版本控制的 MFA 删除。Security Hub CSPM 更新了控件，不会为具有生命周期配置的存储桶生成任何调查发现。控件描述已更新，以反映当前行为。 | 
| 2024 年 5 月 2 日 | [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)  | Security Hub CSPM 更新了 Kubernetes 支持的最早版本，Amazon EKS 集群可以在该版本上运行，以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.26。 | 
| 2024 年 4 月 30 日 | [[CloudTrail.3] 应至少启用一条 CloudTrail 跟踪](cloudtrail-controls.md#cloudtrail-3)  | 将控件标题从 “CloudTrail 应启用” 更改为 “至少应启用一条 CloudTrail 跟踪”。如果启用 AWS 账户 了至少一条 CloudTrail跟踪，则此控件当前会生成PASSED查找结果。标题和描述已更改，以准确反映当前行为。 | 
| 2024 年 4 月 29 日 | [[AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查](autoscaling-controls.md#autoscaling-1)  | 将控件标题从与经典负载均衡器关联的自动扩缩组应使用负载均衡器运行状况检查更改为与负载均衡器关联的自动扩缩组应使用 ELB 运行状况检查。此控件目前评估应用程序、网关、网络和经典负载均衡器。标题和描述已更改，以准确反映当前行为。 | 
| 2024 年 4 月 19 日 | [[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1)  | 该控件检查 AWS CloudTrail 是否启用并配置了至少一个包含读写管理事件的多区域跟踪。以前，当账户 CloudTrail 启用并配置了至少一个多区域跟踪时，即使没有跟踪捕获读写管理事件，控件也会错误地生成PASSED调查结果。现在，只有在启用并配置了至少一个捕获读写管理事件的多区域跟踪时 CloudTrail ，该控件才会生成PASSED查找结果。 | 
| 2024 年 4 月 10 日 | [Athena.1] Athena 工作组应进行静态加密  | Security Hub CSPM 停用了此控件，并将其从所有标准中移除。Athena 工作组将日志发送到 Amazon Simple Storage Service（Amazon S3）存储桶中。Amazon S3 现在在新存储桶和现有 S3 存储桶上使用 SS3 S3 托管密钥 (-S3) 提供默认加密。 | 
| 2024 年 4 月 10 日 | [AutoScaling.4] Auto Scaling 组启动配置的元数据响应跳跃限制不应大于 1  | Security Hub CSPM 停用了此控件，并将其从所有标准中移除。Amazon Elastic Compute Cloud（Amazon EC2）实例的元数据响应跃点限制依赖于工作负载。 | 
| 2024 年 4 月 10 日 | [CloudFormation.1] CloudFormation 堆栈应与简单通知服务 (SNS) 集成 Simple Notification Service  | Security Hub CSPM 停用了此控件，并将其从所有标准中移除。将 AWS CloudFormation 堆栈与 Amazon SNS 主题集成不再是一种安全最佳实践。尽管将重要的 CloudFormation 堆栈与 SNS 主题集成可能很有用，但并非所有堆栈都需要这样做。 | 
| 2024 年 4 月 10 日 | [CodeBuild.5] CodeBuild 项目环境不应启用特权模式  | Security Hub CSPM 停用了此控件，并将其从所有标准中移除。在 CodeBuild 项目中启用特权模式不会给客户环境带来额外的风险。 | 
| 2024 年 4 月 10 日 | [IAM.20] 避免使用根用户  | Security Hub CSPM 停用了此控件，并将其从所有标准中移除。此控件的目的由另一个控件 [[CloudWatch.1] “root” 用户应有日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-1) 覆盖。 | 
| 2024 年 4 月 10 日 | [SNS.2] 应为发送到主题的通知消息启用传输状态记录  | Security Hub CSPM 停用了此控件，并将其从所有标准中移除。记录 SNS 主题的传输状态不再是安全最佳实践。尽管记录重要 SNS 主题的传输状态可能很有用，但并非所有主题都必须这样做。 | 
| 2024 年 4 月 10 日 | [[S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-10)  | Security Hub CSPM 从《 AWS 基础安全最佳实践》和《服务管理标准》中删除了此控件：。 AWS Control Tower此控件的目的由另两个控件覆盖：[[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13) 和 [[S3.14] S3 通用存储桶应启用版本控制](s3-controls.md#s3-14)。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 | 
| 2024 年 4 月 10 日 | [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11)  | Security Hub CSPM 从《 AWS 基础安全最佳实践》和《服务管理标准》中删除了此控件：。 AWS Control Tower尽管在某些情况下，S3 存储桶的事件通知很有用，但这不是通用的安全最佳实践。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 | 
| 2024 年 4 月 10 日 | [[SNS.1] SNS 主题应使用以下方法进行静态加密 AWS KMS](sns-controls.md#sns-1)  | Security Hub CSPM 从《 AWS 基础安全最佳实践》和《服务管理标准》中删除了此控件：。 AWS Control Tower默认情况下，SNS 使用磁盘加密对静态主题进行加密。有关更多信息，请参阅[数据加密](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html)。不再建议 AWS KMS 使用加密主题作为安全最佳实践。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 | 
| 2024 年 4 月 8 日 | [[ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护](elb-controls.md#elb-6)  | 将控件标题从应启用应用程序负载均衡器删除保护更改为应用程序、网关和网络负载均衡器应启用删除保护。此控件目前评估应用程序、网关和网络负载均衡器。标题和描述已更改，以准确反映当前行为。 | 
| 2024 年 3 月 22 日 | [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)  | 将控制标题从应使用 TLS 1.2 加密到 OpenSearch 域的连接更改为应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密。以前，该控件仅检查与 OpenSearch 域的连接是否使用 TLS 1.2。现在，该控件会PASSED发现 OpenSearch 域名是否使用最新的 TLS 安全策略进行加密。控件标题和描述已更新，以反映当前行为。 | 
| 2024 年 3 月 22 日 | [[ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密](es-controls.md#es-8)  | 将控件标题从连接到 Elasticsearch 域时应使用 TLS 1.2 进行加密更改为连接到 Elasticsearch 域时应使用最新 TLS 安全策略进行加密。之前，该控件仅检查连接到 Elasticsearch 域时是否使用 TLS 1.2。现在，如果使用最新的 TLS 安全策略对 Elasticsearch 域进行加密，该控件会生成 PASSED 调查发现。控件标题和描述已更新，以反映当前行为。 | 
| 2024 年 3 月 12 日 | [[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1)  | 将标题从应启用 S3 阻止公共访问权限设置更改为 S3 通用存储桶应启用屏蔽公共访问权限设置。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.2] S3 通用存储桶应阻止公共读取访问权限](s3-controls.md#s3-2)  | 将标题从 S3 存储桶应禁止公共读取访问权限更改为 S3 通用存储桶应屏蔽公共读取访问权限。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.3] S3 通用存储桶应阻止公共写入访问权限](s3-controls.md#s3-3)  | 将标题从 S3 存储桶应禁止公共写入访问权限更改为 S3 通用存储桶应阻止公共写入访问权限。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5)  | 将标题从 S3 存储桶应需要请求才能使用安全套接字层更改为 S3 通用存储桶应需要请求才能使用 SSL。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户](s3-controls.md#s3-6)  | 将标题从应限制授予存储桶策略中其他 AWS 账户 的 S3 权限更改为S3 通用存储桶策略应限制对其他 AWS 账户的访问。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.7] S3 通用存储桶应使用跨区域复制](s3-controls.md#s3-7)  | 将标题从 S3 存储桶应启用跨区域复制更改为 S3 通用存储桶应使用跨区域复制。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.7] S3 通用存储桶应使用跨区域复制](s3-controls.md#s3-7)  | 将标题从 S3 存储桶应启用跨区域复制更改为 S3 通用存储桶应使用跨区域复制。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8)  | 将标题从应在存储桶级启用 S3 阻止公共访问权限设置更改为 S3 通用存储桶应阻止公共访问权限。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.9] S3 通用存储桶应启用服务器访问日志记录](s3-controls.md#s3-9)  | 将标题从应启用 S3 存储桶服务器访问日志记录更改为应为S3 通用存储桶启用服务器访问日志记录。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-10)  | 将标题从启用版本控制的 S3 存储桶应配置生命周期策略更改为启用版本控制的 S3 通用存储桶应具有生命周期配置。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11)  | 将标题从 S3 存储桶应启用事件通知更改为 S3 通用存储桶应启用事件通知。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限](s3-controls.md#s3-12)  | 从 S3 访问控制列表 (ACLs) 中更改的标题不应用于管理用户对存储桶的访问权限，ACLs 不应使用此名称来管理用户对 S3 通用存储桶的访问权限。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13)  | 将标题从 S3 存储桶应配置生命周期策略更改为 S3 通用存储桶应具有生命周期配置。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.14] S3 通用存储桶应启用版本控制](s3-controls.md#s3-14)  | 将标题从 S3 存储桶应使用版本控制更改为 S3 通用存储桶应启用版本控制。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.15] S3 通用存储桶应启用对象锁定](s3-controls.md#s3-15)  | 将标题从应将 S3 存储桶配置为使用对象锁定更改为 S3 通用存储桶应启用对象锁定。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 12 日 | [[S3.17] S3 通用存储桶应使用静态加密 AWS KMS keys](s3-controls.md#s3-17)  | 将标题从应使用 AWS KMS keys对 S3 存储桶进行静态加密更改为应使用 AWS KMS keys对 S3 通用存储桶进行静态加密。Security Hub CSPM 更改了账户的标题，以反映新的 S3 存储桶类型。 | 
| 2024 年 3 月 7 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 nodejs20.x 和 ruby3.3 作为参数。 | 
| 2024 年 2 月 22 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 dotnet8 作为参数。 | 
| 2024 年 2 月 5 日 | [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)  | Security Hub CSPM 更新了 Kubernetes 支持的最早版本，Amazon EKS 集群可以在该版本上运行，以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.25。 | 
| 2024 年 1 月 10 日 | [[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1)  | 已将标题从 CodeBuild GitHub Bitbucket 源存储库 URLs 更改为 CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭据。 OAuthSecurity Hub CSPM 删除了提及， OAuth 因为其他连接方法也可以是安全的。Security Hub CSPM 删除了提及， GitHub因为 GitHub 源存储库中不再可能有个人访问令牌或用户名和密码。 URLs | 
| 2024 年 1 月 8 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 不再支持 go1.x 和 java8 作为参数，因为这些运行时都已停用。 | 
| 2023 年 12 月 29 日 | [[RDS.8] RDS 数据库实例应启用删除保护](rds-controls.md#rds-8)  | RDS.8 会检查使用某个受支持数据库引擎的 Amazon RDS 数据库实例是否启用了删除保护。Security Hub CSPM 现在支持 custom-oracle-ee、oracle-ee-cdb、和 oracle-se2-cdb 作为数据库引擎。 | 
| 2023 年 12 月 22 日 | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 java21 和 python3.12 作为参数。Security Hub CSPM 不再支持 ruby2.7 作为参数。 | 
| 2023 年 12 月 15 日 | [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)  | CloudFront.1 检查 Amazon CloudFront 分配是否配置了默认根对象。Security Hub CSPM 将此控件的严重性从“关键”降低到“高”，因为添加默认根对象是一个建议操作，具体取决于用户应用程序及特定需求。 | 
| 2023 年 12 月 5 日  | [[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量](ec2-controls.md#ec2-13)  | 将控件标题从安全组不应允许从 0.0.0.0/0 到端口 22 的入口流量更改为安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量。 | 
| 2023 年 12 月 5 日  | [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)  | 将控件标题从 确保没有安全组允许从 0.0.0.0/0 到端口 3389 的入口流量更改为 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量。 | 
| 2023 年 12 月 5 日  | [[RDS.9] RDS 数据库实例应将日志发布到日志 CloudWatch](rds-controls.md#rds-9)  | 应将控制标题从数据库日志记录更改为 RDS 数据库实例应将日志发布到 CloudWatch 日志。Security Hub CSPM 发现，此控件仅检查日志是否已发布到 Amazon CloudWatch Logs，而不检查是否已启用 RDS 日志。如果PASSED将 RDS 数据库实例配置为将日志发布到 CloudWatch 日志，则该控件会生成结果。控件标题已更新，以反映当前行为。 | 
| 2023 年 12 月 5 日 | [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8)  | 此控件检查 Amazon EKS 集群是否启用了审计日志记录。Security Hub CSPM 用来评估此控件的 AWS Config 规则从eks-cluster-logging-enabled更改为。eks-cluster-log-enabled | 
| 2023 年 11 月 17 日  | [[EC2.19] 安全组不应允许不受限制地访问高风险端口](ec2-controls.md#ec2-19)  | EC2.19 检查被认为高风险的指定端口是否可以访问安全组的不受限制的传入流量。Security Hub CSPM 更新了此控件，以考虑到将托管前缀列表作为安全组规则来源的情况。如果此前缀列表包含字符串“0.0.0.0/0”或“::/0”，则该控件会生成 FAILED 调查发现。 | 
| 2023 年 11 月 16 日  | [[CloudWatch.15] CloudWatch 警报应配置指定操作](cloudwatch-controls.md#cloudwatch-15)  | 将控制标题从CloudWatch 警报更改为应为警报状态配置动作，而 CloudWatch 警报则应配置指定操作。 | 
| 2023 年 11 月 16 日  | [[CloudWatch.16] CloudWatch 日志组应在指定的时间段内保留](cloudwatch-controls.md#cloudwatch-16)  | 更改后的控制标题应从CloudWatch 日志组保留至少 1 年，而 CloudWatch 日志组应保留指定时间段。 | 
| 2023 年 11 月 16 日  | [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5)  | 将控件标题从 VPC Lambda 函数应在一个以上可用区中运行更改为 VPC Lambda 函数应在多个可用区中运行。 | 
| 2023 年 11 月 16 日  | [[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2)  | 将控件标题从 AWS AppSync 应开启请求级和字段级日志记录更改为 AWS AppSync 应启用字段级日志记录。 | 
| 2023 年 11 月 16 日  | [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)  | 控制标题从 Amazon Elastic MapReduce 集群主节点不应具有公有 IP 地址更改为 Amazon EMR 集群主节点不应具有公有 IP 地址。 | 
| 2023 年 11 月 16 日  | [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)  | 将控制标题从OpenSearch 域名应在 VPC 中更改为不应公开访问的OpenSearch域。 | 
| 2023 年 11 月 16 日  | [[ES.2] Elasticsearch 域名不可供公共访问](es-controls.md#es-2)  | 将控件标题从 Elasticsearch 域名应位于 VPC 中更改为 Elasticsearch 域名不可供公共访问。 | 
| 2023 年 10 月 31 日  | [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)  | ES.4 检查 Elasticsearch 域是否配置为向亚马逊日志发送错误日志。 CloudWatch 该控件之前对一个 Elasticsearch 域生成了PASSED调查结果，该域将所有日志配置为发送到 CloudWatch 日志。Security Hub CSPM 更新了控件，使其仅针对配置为向日志发送错误日志的 Elasticsearch 域生成PASSED调查结果。 CloudWatch 该控件也进行了更新，将不支持错误日志的 Elasticsearch 版本排除在评估之外。 | 
| 2023 年 10 月 16 日  | [[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量](ec2-controls.md#ec2-13)  | EC2.13 检查安全组是否允许对端口 22 进行不受限制的入口访问。Security Hub CSPM 更新了此控件，以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”，则该控件会生成 FAILED 调查发现。 | 
| 2023 年 10 月 16 日  | [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)  | EC2.14 检查安全组是否允许对端口 3389 进行不受限制的入口访问。Security Hub CSPM 更新了此控件，以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”，则该控件会生成 FAILED 调查发现。 | 
| 2023 年 10 月 16 日  | [[EC2.18] 安全组应只允许授权端口不受限制的传入流量](ec2-controls.md#ec2-18)  | EC2.18 检查正在使用的安全组是否允许不受限制的入口流量。Security Hub CSPM 更新了此控件，以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”，则该控件会生成 FAILED 调查发现。 | 
| 2023 年 10 月 16 日  | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 python3.11 作为参数。 | 
| 2023 年 10 月 4 日  | [[S3.7] S3 通用存储桶应使用跨区域复制](s3-controls.md#s3-7)  | Security Hub CSPM 添加了值为 CROSS-REGION 的参数 ReplicationType，以确保 S3 存储桶启用了跨区域复制，而非同区域复制。 | 
| 2023 年 9 月 27 日  | [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)  | Security Hub CSPM 更新了 Kubernetes 支持的最早版本，Amazon EKS 集群可以在该版本上运行，以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.24。 | 
| 2023 年 9 月 20 日  | [CloudFront.2] CloudFront 发行版应启用来源访问身份  | Security Hub CSPM 停用了此控件，并将其从所有标准中移除。请改为参阅[[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)。“源访问标识”是当前的安全最佳实践。此控件将在 90 天后从文档中删除。 | 
| 2023 年 9 月 20 日  | [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)  | Security Hub CSPM 从 AWS 基础安全最佳实践 (FSBP) 和美国国家标准与技术研究院 (NIST) SP 800-53 Rev. 5 中删除了此控件。它仍然是服务管理标准的一部分: AWS Control Tower. 如果安全组连接到 EC2 实例或弹性网络接口，此 控件会生成一个通过的调查发现。但是，对于某些用例，未附加的安全组不会构成安全风险。您可以使用其他 EC2 控件（例如 EC2.2、EC2.13、EC2.14、EC2.18 和 EC2.19）来监控您的安全组。 | 
| 2023 年 9 月 20 日  | [EC2.29] EC2 实例应在 VPC 中启动  | Security Hub CSPM 停用了此控件，并将其从所有标准中移除。Amazon EC2 已将 EC2-Classic 实例迁移到 VPC。此控件将在 90 天后从文档中删除。 | 
| 2023 年 9 月 20 日  | [S3.4] S3 存储桶应启用服务器端加密  | Security Hub CSPM 停用了此控件，并将其从所有标准中移除。Amazon S3 现在在新存储桶和现有 S3 存储桶上使用 SS3 S3 托管密钥 (-S3) 提供默认加密。使用 SS3-S3 或 SS3-KMS 服务器端加密的现有存储桶的加密设置保持不变。此控件将在 90 天后从文档中删除。 | 
| 2023 年 9 月 14 日  | [[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2)  | 已将控件标题从 VPC 默认安全组不应允许入站和出站流量更改为 VPC 默认安全组不应允许入站或出站流量。 | 
| 2023 年 9 月 14 日  | [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)  | 已将控件标题从应为根用户启用虚拟 MFA更改为应为根用户启用 MFA。 | 
|  2023 年 9 月 14 日  | [[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅](rds-controls.md#rds-19)  | 已将控件标题从应为关键集群事件配置 RDS 事件通知订阅更改为应为关键集群事件配置现有 RDS 事件通知订阅。 | 
| 2023 年 9 月 14 日  | [[RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅](rds-controls.md#rds-20)  | 已将控件标题从应为关键数据库实例事件配置 RDS 事件通知订阅更改为应为关键数据库实例事件配置现有 RDS 事件通知订阅。 | 
| 2023 年 9 月 14 日  | [[WAF.2] AWS WAF 经典区域规则应至少有一个条件](waf-controls.md#waf-2)  | 已将控件标题从WAF Regional 规则应至少有一个条件更改为AWS WAF Classic Regional 规则应至少有一个条件。 | 
| 2023 年 9 月 14 日  | [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)  | 已将控件标题从 WAF Regional 规则组应至少包含一条规则更改为AWS WAF Classic Regional 规则组应至少包含一条规则。 | 
| 2023 年 9 月 14 日  | [[WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-4)  | 将控制标题从 WAF 区域性 Web ACL 应至少包含一个规则或规则组更改为AWS WAF 经典区域 Web ACLs 应至少有一个规则或规则组。 | 
| 2023 年 9 月 14 日  | [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)  | 已将控件标题从全局 WAF 规则应至少有一个条件更改为 Classic 全局AWS WAF 规则应至少有一个条件。 | 
| 2023 年 9 月 14 日  | [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)  | 已将控件标题从全局 WAF 规则组应至少包含一条规则更改为 Classic 全局AWS WAF 规则组应至少包含一条规则。 | 
| 2023 年 9 月 14 日  | [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)  | 将控制标题从 WAF 全局 Web ACL 应至少包含一个规则或规则组更改为AWS WAF 经典全局 Web ACLs 应至少有一个规则或规则组。 | 
| 2023 年 9 月 14 日  | [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)  | 将控制标题从  WAFv2 Web ACL 应至少包含一个规则或规则组更改为 AWS WAF Web ACLs 应至少有一个规则或规则组。 | 
| 2023 年 9 月 14 日  | [[WAF.11] 应启 AWS WAF 用 Web ACL 日志记录](waf-controls.md#waf-11)  | 已将控件标题从应激活AWS WAF v2 Web ACL 日志记录更改为应启用AWS WAF Web ACL 日志记录。 | 
|  2023 年 7 月 20 日  | [S3.4] S3 存储桶应启用服务器端加密  | S3.4 检查一个 Amazon S3 存储桶是否启用了服务器端加密，或者 S3 存储桶策略是否明确拒绝了没有服务器端加密的 PutObject 请求。Security Hub CSPM 更新了此控件，以加入具有 KMS 密钥的双层服务器端加密（DSSE-KMS）。当使用 SSE-S3、SSE-KMS 或 DSSE-KMS 加密 S3 存储桶时，控件会生成已通过的调查发现。 | 
| 2023 年 7 月 17 日  | [[S3.17] S3 通用存储桶应使用静态加密 AWS KMS keys](s3-controls.md#s3-17)  | S3.17 检查 Amazon S3 存储桶是否使用了 AWS KMS key加密。Security Hub CSPM 更新了此控件，以加入具有 KMS 密钥的双层服务器端加密（DSSE-KMS）。当使用 SSE-KMS 或 DSSE-KMS 加密 S3 存储桶时，该控件会生成已通过的调查发现。 | 
| 2023 年 6 月 9 日  | [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)  | EKS.2 检查 Amazon EKS 集群是否在受支持的 Kubernetes 版本上运行。现在支持的最旧版本是 1.23。 | 
| 2023 年 6 月 9 日  | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 ruby3.2 作为参数。 | 
| 2023 年 6 月 5 日  | [[APIGateway.5] API Gateway REST API 缓存数据应进行静态加密](apigateway-controls.md#apigateway-5)  | APIGateway.5. 检查 Amazon API Gateway REST API 阶段中的所有方法是否都处于静态加密状态。Security Hub CSPM 更新了该控件，使其仅在为特定方法启用缓存时才评估该方法的加密。 | 
| 2023 年 5 月 18 日  | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 java17 作为参数。 | 
| 2023 年 5 月 18 日  | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 不再支持 nodejs12.x 作为参数。 | 
| 2023 年 4 月 23 日  | [[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10)  | ECS.10 会检查 Amazon ECS Fargate 服务是否运行最新的 Fargate 平台版本。客户可以直接通过 ECS 部署 Amazon ECS，也可以使用部署 CodeDeploy。Security Hub CSPM 更新了此控件，以便在使用部署 ECS Fargate CodeDeploy 服务时生成通过调查结果。 | 
| 2023 年 4 月 20 日  | [[S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户](s3-controls.md#s3-6)  | S3.6 检查亚马逊简单存储服务 (Amazon S3) 存储桶策略是否阻止 AWS 账户 其他人的委托人对 S3 存储桶中的资源执行被拒绝的操作。考虑存储桶策略中的条件，Security Hub CSPM 更新了该控件。 | 
| 2023 年 4 月 18 日  | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 python3.10 作为参数。 | 
| 2023 年 4 月 18 日  | [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)  | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 不再支持 dotnetcore3.1 作为参数。 | 
| 2023 年 4 月 17 日  | [[RDS.11] RDS 实例应启用自动备份](rds-controls.md#rds-11)  | RDS.11 会检查 Amazon RDS 实例是否启用了自动备份，其备份保留期大于或等于七天。Security Hub CSPM 更新了此控件，将只读副本排除在评估范围之外，因为并非所有引擎都支持对只读副本进行自动备份。此外，RDS 不提供在创建只读副本时指定备份保留期的选项。默认情况下，只读副本创建时的备份保留期为 0。 | 

# Security Hub CSPM 控件适用于 AWS 账户
<a name="account-controls"></a>

这些 Security Hub CSPM 控件会进行评估。 AWS 账户

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Account.1] 应为以下人员提供安全联系信息 AWS 账户
<a name="account-1"></a>

**相关要求：**CIS AWS 基金会基准 v5.0.0/1.2、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)

**类别：**识别 > 资源配置

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)

**计划类型：**定期

**参数：**无

此控件可检查 Amazon Web Services（AWS）账户是否有安全联系信息。如果未提供账户的安全联系信息，则控制失败。

备用安全联系人 AWS 允许在您无法访问时就您的账户问题联系他人。有关与您的 AWS 账户 使用情况相关的安全相关主题的通知可以来自 支持其他 AWS 服务 团队。

### 修复
<a name="account-1-remediation"></a>

要将备用联系人作为安全联系人添加到您的 AWS 账户，请参阅[《*AWS 账户管理参考指南*》 AWS 账户中的更新您的备用联系人](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html)。

## [账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分
<a name="account-2"></a>

**类别：**保护 > 安全访问管理 > 访问控制

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**严重性：**高

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)

**计划类型：**定期

**参数：**无

此控件检查是否 AWS 账户 是通过管理的组织的一部分 AWS Organizations。如果账户不属于组织，则控制失败。

随着工作负载的扩展，Organizations 可帮助你集中管理环境 AWS。您可以使用多个 AWS 账户 来隔离具有特定安全要求的工作负载，或者符合 HIPAA 或 PCI 等框架。通过创建组织，您可以将多个账户作为一个单位进行管理，并集中管理其对资源的访问权限 AWS 服务、资源和区域。

### 修复
<a name="account-2-remediation"></a>

要创建新组织并自动 AWS 账户 添加到该组织，请参阅*AWS Organizations 用户指南*中的[创建组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)。要向现有组织添加帐户，请参阅*AWS Organizations 用户指南*中的[AWS 账户 邀请加入您的组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。

# Security Hub CSPM 控件适用于 AWS Amplify
<a name="amplify-controls"></a>

这些 Security Hub CSPM 控件用于评估 AWS Amplify 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Amplify.1] 应标记 Amplify 应用
<a name="amplify-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Amplify::App`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 AWS Amplify 应用程序是否具有`requiredKeyTags`参数指定的标签密钥。如果应用程序没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件将失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果应用程序没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="amplify-1-remediation"></a>

有关向 AWS Amplify 应用程序添加标签的信息，请参阅《*AWS Amplify 主机用户指南》*中的[资源标记支持](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html)。

## [Amplify.2] 应标记 Amplify 分支
<a name="amplify-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Amplify::Branch`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 AWS Amplify 分支是否具有`requiredKeyTags`参数指定的标签密钥。如果分支没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果分支没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="amplify-2-remediation"></a>

有关向 AWS Amplify 分支添加标签的信息，请参阅《*AWS Amplify 主机用户指南》*中的[资源标记支持](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html)。

# 适用于亚马逊 API Gateway 的 Security Hub CSPM 控件
<a name="apigateway-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon API Gateway 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [APIGateway.1] 应启用 API Gateway REST 和 WebSocket API 执行日志记录
<a name="apigateway-1"></a>

**相关要求：** NIST.800-53.r5 AC-4(26)、、 NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-7 (8)

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::ApiGateway::Stage`、`AWS::ApiGatewayV2::Stage`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `loggingLevel`  |  Logging level（日志记录级别）  |  枚举  |  `ERROR`, `INFO`  |  `No default value`  | 

此控件会检查 Amazon API Gateway REST 或 WebSocket API 的所有阶段是否都启用了日志记录。如果对于 API 的所有阶段 `loggingLevel` 不是 `ERROR` 或者 `INFO`，则控制失败。除非您提供自定义参数值来指示应启用特定的日志类型，否则如果日志级别为或`ERROR`，Security Hub CSPM 会生成一个通过的结果。`INFO`

API Gateway REST 或 WebSocket API 阶段应启用相关日志。API Gateway REST 和 WebSocket API 执行日志提供了向 API Gateway REST 和 WebSocket API 阶段发出的请求的详细记录。这些阶段包括 API 集成后端响应、Lambda 授权方响应和集成终端节点`requestId`。 AWS 

### 修复
<a name="apigateway-1-remediation"></a>

要启用 REST 和 WebSocket API 操作的日志记录，请参阅 AP [ CloudWatch I Gateway *开发者指南中的使用 API Gateway 控制台设置 API* 日志](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console)记录。

## [APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证
<a name="apigateway-2"></a>

**相关要求：** NIST.800-53.r5 AC-17 (2)、、(1) NIST.800-53.r5 AC-4、2 NIST.800-53.r5 IA-5 (3)、3、3 (3)、(3)、 NIST.800-53.r5 SC-1 (4)、 NIST.800-53.r5 SC-2 (1)、( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-7 nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)、nist.800-171.r2 3.13.15 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::ApiGateway::Stage`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon API Gateway REST API 阶段是否配置了 SSL 证书。后端系统使用这些证书来验证传入的请求是否来自 API Gateway。

API Gateway REST API 阶段应配置 SSL 证书，以允许后端系统对请求是否来自 API Gateway 进行身份验证。

### 修复
<a name="apigateway-2-remediation"></a>

有关如何生成和配置 API Gateway REST API SSL 证书的详细说明，请参阅 *API Gateway 开发人员指南*中的[生成和配置用于后端身份验证的 SSL 证书](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html)。

## [APIGateway.3] API Gateway REST API 阶段应启用 AWS X-Ray 跟踪
<a name="apigateway-3"></a>

**相关要求：** NIST.800-53.r5 CA-7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::ApiGateway::Stage`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查您的 Amazon API Gateway REST API 阶段是否启用了 AWS X-Ray 主动跟踪。

X-Ray 主动跟踪可以更快速地响应底层基础设施的性能变化。性能变化可能会导致 API 的可用性不足。X-Ray 主动跟踪提供流经 API Gateway REST API 操作和关联服务的用户请求实时指标。

### 修复
<a name="apigateway-3-remediation"></a>

有关如何为 API Gateway REST API 操作启用 X-REST 主动跟踪的详细说明，请参阅 *AWS X-Ray 开发人员指南*中的[Amazon API Gateway 对 AWS X-Ray的主动跟踪支持](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html)。

## [APIGateway.4] API Gateway 应与 WAF Web ACL 关联
<a name="apigateway-4"></a>

**相关要求：** NIST.800-53.r5 AC-4(21)

**类别：**保护 > 防护服务

**严重性：**中

**资源类型：**`AWS::ApiGateway::Stage`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 API Gateway 阶段是否使用 AWS WAF Web 访问控制列表 (ACL)。如果 AWS WAF Web ACL 未连接到 REST API Gateway 阶段，则此控件将失败。

AWS WAF 是一种 Web 应用程序防火墙，可帮助保护 Web 应用程序和 APIs 免受攻击。它使您能够配置 ACL，这是一组规则，可根据您定义的可自定义 Web 安全规则和条件来允许、阻止或计数 Web 请求。确保您的 API Gateway 阶段与 AWS WAF Web ACL 关联，以帮助保护其免受恶意攻击。

### 修复
<a name="apigateway-4-remediation"></a>

有关如何使用 API Gateway 控制台将 AWS WAF 区域 Web ACL 与现有 API Gateway API 阶段关联的信息，请参阅《*API Gateway 开发者指南》 APIs*中的[使用 AWS WAF 来保护您](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html)。

## [APIGateway.5] API Gateway REST API 缓存数据应进行静态加密
<a name="apigateway-5"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 静态数据加密

**严重性：**中

**资源类型：**`AWS::ApiGateway::Stage`

**AWS Config 规则:**`api-gw-cache-encrypted`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件检查 API Gateway REST API 阶段中启用缓存的所有方法是否都已加密。如果 API Gateway REST API 阶段中的任何方法配置为缓存并且缓存未加密，则控制将失败。只有在为特定方法启用缓存时，Security Hub CSPM 才会评估该方法的加密。

对静态数据进行加密可降低存储在磁盘上的数据被未经身份验证的用户访问的风险。 AWS它添加了另一组访问控制来限制未经授权的用户访问数据的能力。例如，需要 API 权限才能解密数据，然后才能读取数据。

API Gateway REST API 缓存应静态加密，以增加安全性。

### 修复
<a name="apigateway-5-remediation"></a>

要为某个阶段配置 API 缓存，请参阅 *API Gateway 开发人员指南*中的[启用 Amazon API Gateway 缓存](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching)。在**缓存设置**中，选择**加密缓存数据**。

## [APIGateway.8] API Gateway 路由应指定授权类型
<a name="apigateway-8"></a>

**相关要求：** NIST.800-53.r5 AC-3，nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::ApiGatewayV2::Route`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `authorizationType`  |  API 路由的授权类型  |  枚举  |  `AWS_IAM`, `CUSTOM`, `JWT`  |  无默认值  | 

此控件检查 Amazon API Gateway 路由是否具有授权类型。如果 API 网关路由未指定任何授权类型，则控制失败。或者，如果您希望仅在路径使用 `authorizationType` 参数中指定的授权类型时才通过控件，则可以提供自定义参数值。

API Gateway 支持多种用于控制和管理对 API 的访问的机制：通过指定授权类型，您可以将对 API 的访问限制为仅授权用户或进程。

### 修复
<a name="apigateway-8-remediation"></a>

要为 HTTP 设置授权类型 APIs，请参阅《API Gateway *开发者指南》中的 API Gateway 中控制和管理对 HTTP API* [的访问权限](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html)。要为设置授权类型 WebSocket APIs，请参阅《API Gatew [ay *开发者指南》中的 WebSocket API Gateway 中控制和管理对 API* 的访问权限](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html)。

## [APIGateway.9] 应为 API Gateway V2 阶段配置访问日志
<a name="apigateway-9"></a>

**相关要求：** NIST.800-53.r5 AC-4(26)、、(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8)、PCI DSS v4.0.1/10.4.2

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::ApiGatewayV2::Stage`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon API Gateway V2 阶段是否配置了访问日志记录。如果未定义访问日志设置，则控制失败。

API Gateway访问日志提供有关谁访问了您的 API 以及调用方访问 API 的方式的详细信息。这些日志对于安全和访问审核以及取证调查等应用程序非常有用。启用这些访问日志来分析流量模式并解决问题。

有关其他最佳实践，请参阅 *API Gateway 开发者指南 APIs*中的[监控 REST](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html)。

### 修复
<a name="apigateway-9-remediation"></a>

要设置访问日志，请参阅《[ CloudWatch API Gateway *开发者指南》中的 “使用 API Gateway 控制台设置 API* 日](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console)志”。

## [APIGateway.10] API Gateway V2 集成应使用 HTTPS 进行私有连接
<a name="apigateway-10"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::ApiGatewayV2::Integration`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 API Gateway V2 集成是否为私有连接启用了 HTTPS。如果私有连接未配置 TLS，则控制失败。

VPC 链接将 API Gateway 连接到私有资源。虽然 VPC 链路创建私有连接，但它们本质上并不加密数据。配置 TLS 可确保使用 HTTPS 进行从客户端通过 API Gateway 到后端的 end-to-end加密。如果没有 TLS，敏感的 API 流量会以未加密方式通过私有连接流动。HTTPS 加密可保护通过私有连接的流量免受数据拦截、 man-in-the-middle攻击和凭据泄露。

### 修复
<a name="apigateway-10-remediation"></a>

要在 API Gateway v2 集成中为私有连接启用传输中的加密，请参阅 *Amazon API Gateway 开发者指南*[中的更新私有集成](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update)。配置 [TLS 配置](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig)，以便私有集成使用 HTTPS 协议。

# Security Hub CSPM 控件适用于 AWS AppConfig
<a name="appconfig-controls"></a>

这些 Security Hub CSPM 控件用于评估 AWS AppConfig 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [AppConfig.1] 应为 AWS AppConfig 应用程序加标签
<a name="appconfig-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::AppConfig::Application`

**AWS Config 规则：**`appconfig-application-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS AppConfig 应用程序是否具有参数中定义的特定键的标签`requiredKeyTags`。如果应用程序没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果应用程序未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="appconfig-1-remediation"></a>

要向 AWS AppConfig 应用程序添加标签，请参阅 *AWS AppConfig API 参考[https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)*中的。

## [AppConfig.2] 应标记 AWS AppConfig 配置文件
<a name="appconfig-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::AppConfig::ConfigurationProfile`

**AWS Config 规则：**`appconfig-configuration-profile-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS AppConfig 配置文件是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果配置文件没有任何标签键或未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果配置文件未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="appconfig-2-remediation"></a>

要向 AWS AppConfig 配置文件添加标签，请参阅 *AWS AppConfig API 参考[https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)*中的。

## [AppConfig.3] 应该对 AWS AppConfig 环境进行标记
<a name="appconfig-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::AppConfig::Environment`

**AWS Config 规则：**`appconfig-environment-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS AppConfig 环境是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果环境没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果环境未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="appconfig-3-remediation"></a>

要向 AWS AppConfig 环境添加标签，请参阅 *AWS AppConfig API 参考[https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)*中的。

## [AppConfig.4] 应 AWS AppConfig 标记扩展关联
<a name="appconfig-4"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::AppConfig::ExtensionAssociation`

**AWS Config 规则：**`appconfig-extension-association-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS AppConfig 扩展关联是否具有参数中定义的特定键的标签`requiredKeyTags`。如果扩展关联没有任何标签键或者未在参数 `requiredKeyTags` 中指定所有键，则此控件会失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果扩展关联未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="appconfig-4-remediation"></a>

要向 AWS AppConfig 扩展关联添加标签，请参阅 *AWS AppConfig API 参考[https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)*中的。

# 适用于亚马逊的 Security Hub CSPM 控件 AppFlow
<a name="appflow-controls"></a>

这些 Security Hub CSPM 控件用于评估亚马逊的 AppFlow 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [AppFlow.1] 应为亚马逊 AppFlow 流程加标签
<a name="appflow-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::AppFlow::Flow`

**AWS Config 规则：**`appflow-flow-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 Amazon AppFlow 流程是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果流没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果流未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="appflow-1-remediation"></a>

要向亚马逊 AppFlow 流程添加标签，请参阅亚马逊* AppFlow 用户指南中的 AppFlow在亚马逊*[中创建流程](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html)。

# Security Hub CSPM 控件适用于 AWS App Runner
<a name="apprunner-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS App Runner 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [AppRunner.1] 应标记 App Runner 服务
<a name="apprunner-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::AppRunner::Service`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS App Runner 服务是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果 App Runner 服务没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果 App Runner 未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="apprunner-1-remediation"></a>

有关向 AWS App Runner 服务添加标签的信息，请参阅 *AWS App Runner API 参考[https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)*中的。

## [AppRunner.2] 应标记 App Runner VPC 连接器
<a name="apprunner-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::AppRunner::VpcConnector`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS App Runner VPC 连接器是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果 VPC 连接器没有任何标签键或未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果 VPC 连接器未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="apprunner-2-remediation"></a>

有关向 AWS App Runner VPC 连接器添加标签的信息，请参阅 *AWS App Runner API 参考[https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)*中的。

# Security Hub CSPM 控件适用于 AWS AppSync
<a name="appsync-controls"></a>

这些 Security Hub CSPM 控件用于评估 AWS AppSync 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密
<a name="appsync-1"></a>

**重要**  
Security Hub CSPM 于 2026 年 3 月 9 日取消了该控制权。有关更多信息，请参阅[Security Hub CSPM 控件的更改日志](controls-change-log.md)。 AWS AppSync 现在为所有当前和未来的 API 缓存提供默认加密。

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::AppSync::GraphQLApi`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS AppSync API 缓存是否处于静态加密状态。如果未静态加密 API 缓存，则此控件会失败。

静态数据是指存储在持久、非易失性存储介质中的数据，无论存储时长如何。对静态数据进行加密可帮助您保护数据的机密性，降低未经授权的用户访问这些数据的风险。

### 修复
<a name="appsync-1-remediation"></a>

为 AWS AppSync API 启用缓存后，您无法更改加密设置。您必须删除缓存，并在启用加密的情况下重新创建该缓存。有关更多信息，请参阅《AWS AppSync 开发人员指南》**中的[缓存加密](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption)。

## [AppSync.2] AWS AppSync 应该启用字段级日志记录
<a name="appsync-2"></a>

**相关要求：**PCI DSS v4.0.1/10.4.2

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::AppSync::GraphQLApi`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `fieldLoggingLevel`  |  字段日志记录级别  |  枚举  |  `ERROR`, `ALL`, `INFO`, `DEBUG`  |  `No default value`  | 

此控件检查 AWS AppSync API 是否开启了字段级日志记录。如果字段解析器日志级别设置为**无**，则控制失败。除非您提供自定义参数值来指示应启用特定的日志类型，否则如果字段解析器日志级别为或，Security Hub CSPM 会生成一个通过的结果。`ERROR` `ALL`

您可以使用日志记录和指标来识别、优化 GraphQL 查询和排除其问题。启用 AWS AppSync GraphQL 的日志记录功能可帮助您获取有关 API 请求和响应的详细信息、识别和响应问题以及遵守监管要求。

### 修复
<a name="appsync-2-remediation"></a>

要开启登录功能 AWS AppSync，请参阅《*AWS AppSync 开发者指南》*中的[设置和配置](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration)。

## [AppSync.4] 应标记 AWS AppSync Gr APIs aphQL
<a name="appsync-4"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::AppSync::GraphQLApi`

**AWS Config 规则:**`tagged-appsync-graphqlapi`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS AppSync GraphQL API 是否具有参数中定义的特定密钥的标签。`requiredTagKeys`如果 GraphQL API 没有任何标签键或未在参数 `requiredTagKeys` 中指定所有键，则此控件会失败。如果未提供参数 `requiredTagKeys`，则此控件仅会检查是否存在标签键，如果 GraphQL API 未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="appsync-4-remediation"></a>

要向 AWS AppSync GraphQL API 添加标签，请参阅 AP *AWS AppSync I* 参考[https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)中的。

## [AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证
<a name="appsync-5"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-6

**类别：**保护 > 安全访问管理 > 无密码身份验证

**严重性：**高

**资源类型：**`AWS::AppSync::GraphQLApi`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)

**计划类型：**已触发变更

**参数：**
+ `AllowedAuthorizationTypes`：` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS`（不可自定义）

此控件可检查您的应用程序是否使用 API 密钥与 AWS AppSync GraphQL API 进行交互。如果使用 API 密钥对 AWS AppSync GraphQL API 进行了身份验证，则控制失败。

API 密钥是应用程序中的硬编码值，在您创建未经身份验证的 GraphQL 端点时由 AWS AppSync 服务生成。如果此 API 密钥遭到泄露，您的端点很容易受到意外访问。除非您支持可公开访问的应用程序或网站，否则我们不建议使用 API 密钥进行身份验证。

### 修复
<a name="appsync-5-remediation"></a>

要为您的 AWS AppSync GraphQL API 设置授权选项，请参阅*AWS AppSync 开发者*指南中的[授权和身份验证](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html)。

## [AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密
<a name="appsync-6"></a>

**重要**  
Security Hub CSPM 于 2026 年 3 月 9 日取消了该控制权。有关更多信息，请参阅[Security Hub CSPM 控件的更改日志](controls-change-log.md)。 AWS AppSync 现在为所有当前和未来的 API 缓存提供默认加密。

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::AppSync::ApiCache`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS AppSync API 缓存是否在传输过程中被加密。如果未在传输过程中加密 API 缓存，则此控件会失败。

传输中数据是指从一个位置移动到另一个位置的数据，例如在集群中的节点之间或在集群和应用程序之间。数据可能通过互联网或在私有网络内移动。对传输中数据进行加密可降低未经授权的用户侦听网络流量的风险。

### 修复
<a name="appsync-6-remediation"></a>

为 AWS AppSync API 启用缓存后，您无法更改加密设置。您必须删除缓存，并在启用加密的情况下重新创建该缓存。有关更多信息，请参阅《AWS AppSync 开发人员指南》**中的[缓存加密](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption)。

# 适用于亚马逊 Athena 的 Security Hub CSPM 控件
<a name="athena-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon Athena 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Athena.1] Athena 工作组应进行静态加密
<a name="athena-1"></a>

**重要**  
Security Hub CSPM 于 2024 年 4 月取消了该控制权。有关更多信息，请参阅 [Security Hub CSPM 控件的更改日志](controls-change-log.md)。

**类别：**保护 > 数据保护 > 静态数据加密

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**严重性：**中

**资源类型：**`AWS::Athena::WorkGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Athena 工作组是否处于静态加密状态。如果 Athena 工作组未静态加密，则控制失败。

在 Athena 中，您可以创建工作组来运行团队、应用程序或不同工作负载的查询。每个工作组都有对所有查询启用加密的设置。您可以选择对亚马逊简单存储服务 (Amazon S3) 托管密钥使用服务器端加密、使用 () 密钥使用服务器端加密或使用客户托管的 KMS 密钥 AWS Key Management Service 进行AWS KMS客户端加密。静态数据指的是存储在持久、非易失性存储介质中的任何数据，无论存储时长如何。加密可帮助您保护此类数据的机密性，降低未经授权的用户访问这些数据的风险。

### 修复
<a name="athena-1-remediation"></a>

要为 Athena 工作组启用静态加密，请参阅 *Amazon Athena 用户指南*中的[编辑工作组](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups)。在**查询结果配置**部分，选择**加密查询结果**。

## [Athena.2] 应标记 Athena 数据目录
<a name="athena-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Athena::DataCatalog`

**AWS Config 规则:**`tagged-athena-datacatalog`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件用于检查 Amazon Athena 数据目录是否具有带参数 `requiredTagKeys` 中定义的特定键的标签。如果数据目录没有任何标签键或未在参数 `requiredTagKeys` 中指定所有键，则此控件会失败。如果未提供 `requiredTagKeys` 参数，则此控件仅会检查是否存在标签键，如果数据目录未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="athena-2-remediation"></a>

要向 Athena 数据目录添加标签，请参阅《Amazon Athena 用户指南》**中的[标记 Athena 资源](https://docs.aws.amazon.com/athena/latest/ug/tags.html)。

## [Athena.3] 应标记 Athena 工作组
<a name="athena-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Athena::WorkGroup`

**AWS Config 规则:**`tagged-athena-workgroup`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件用于检查 Amazon Athena 工作组是否具有带参数 `requiredTagKeys` 中定义的特定键的标签。如果工作组没有任何标签键或未在参数 `requiredTagKeys` 中指定所有键，则此控件会失败。如果未提供参数 `requiredTagKeys`，则此控件仅会检查是否存在标签键，如果工作组未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="athena-3-remediation"></a>

要向 Athena 工作组添加标签，请参阅《Amazon Athena 用户指南》**中的[在单个工作组中添加和删除标签](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete)。

## [Athena.4] Athena 工作组应启用日志记录
<a name="athena-4"></a>

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::Athena::WorkGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon Athena 工作组是否启用了日志记录。如果工作组未启用日志记录，则此控件将失败。

审计日志跟踪和监控系统活动。它们提供了事件记录，可以帮助您检测安全漏洞、调查事件并遵守法规。审计日志还可以增强组织的整体问责制并提高组织透明度。

### 修复
<a name="athena-4-remediation"></a>

*有关为 Athena 工作组启用日志记录的信息，[请参阅 Amazon Athena 用户指南中的在 Athena 中启用 CloudWatch 查询指标](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html)。*

# Security Hub CSPM 控件适用于 AWS Backup
<a name="backup-controls"></a>

这些 Security Hub CSPM 控件用于评估 AWS Backup 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密
<a name="backup-1"></a>

**相关要求：**NIST.800-53.r5 CP-9（8）、NIST.800-53.r5 SI-12

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::Backup::RecoveryPoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 AWS Backup 恢复点是否处于静态加密状态。如果未对恢复点进行静态加密，则控制失败。

 AWS Backup 恢复点是指在备份过程中创建的特定数据副本或快照。它代表备份数据的特定时刻，可作为恢复点，以防原始数据丢失、损坏或无法访问。对备份恢复点进行加密可增加额外的保护层来阻止未经授权的访问。加密是保护备份数据的机密性、完整性和安全性的最佳实践。

### 修复
<a name="backup-1-remediation"></a>

要加密 AWS Backup 恢复点，请参阅《*AWS Backup 开发人员指南》 AWS Backup*[中的备份加](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)密。

## [Backup.2] 应标记 AWS Backup 恢复点
<a name="backup-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Backup::RecoveryPoint`

**AWS Config规则:**`tagged-backup-recoverypoint`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS Backup 恢复点是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果恢复点没有任何标签键或未在参数 `requiredTagKeys` 中指定所有键，则此控件会失败。如果未提供参数 `requiredTagKeys`，则此控件仅会检查是否存在标签键，如果恢复点未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="backup-2-remediation"></a>

**向 AWS Backup 恢复点添加标签**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在导航窗格中，选择**备份计划**。

1. 从列表中选择备份计划。

1. 在**备份计划标签**部分中，选择**管理标签**。

1. 输入标签的键和值。选择**添加新标签**以添加其他键值对。

1. 完成添加标签后，选择**保存**。

## [Backup.3] 应 AWS Backup 标记文件库
<a name="backup-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Backup::BackupVault`

**AWS Config规则:**`tagged-backup-backupvault`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS Backup 文件库是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果恢复点没有任何标签键或未在参数 `requiredTagKeys` 中指定所有键，则此控件会失败。如果未提供参数 `requiredTagKeys`，则此控件仅会检查是否存在标签键，如果恢复点未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="backup-3-remediation"></a>

**向 AWS Backup 文件库添加标签**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在导航窗格中，选择**备份保管库**。

1. 从列表中选择备份保管库。

1. 在**备份保管库标签**部分中，选择**管理标签**。

1. 输入标签的键和值。选择**添加新标签**以添加其他键值对。

1. 完成添加标签后，选择**保存**。

## [Backup.4] 应 AWS Backup 标记报告计划
<a name="backup-4"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Backup::ReportPlan`

**AWS Config规则:**`tagged-backup-reportplan`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS Backup 报告计划是否包含参数中定义的特定键的标签`requiredTagKeys`。如果报告计划没有任何标签键或者未在参数 `requiredTagKeys` 中指定所有键，则此控件会失败。如果未提供参数 `requiredTagKeys`，则此控件仅会检查是否存在标签键，如果报告计划未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="backup-4-remediation"></a>

**向 AWS Backup 报告计划添加标签**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在导航窗格中，选择**备份保管库**。

1. 从列表中选择备份保管库。

1. 在**备份保管库标签**部分中，选择**管理标签**。

1. 选择**添加新标签**。输入标签的键和值。针对其他键值对重复此操作。

1. 完成添加标签后，选择**保存**。

## [Backup.5] 应 AWS Backup 标记备份计划
<a name="backup-5"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Backup::BackupPlan`

**AWS Config规则:**`tagged-backup-backupplan`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS Backup 备份计划是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果备份计划没有任何标签键或者未在参数 `requiredTagKeys` 中指定所有键，则此控件会失败。如果未提供参数 `requiredTagKeys`，则此控件仅会检查是否存在标签键，如果备份计划未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="backup-5-remediation"></a>

**向 AWS Backup 备份计划添加标签**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在导航窗格中，选择**备份保管库**。

1. 从列表中选择备份保管库。

1. 在**备份保管库标签**部分中，选择**管理标签**。

1. 选择**添加新标签**。输入标签的键和值。针对其他键值对重复此操作。

1. 完成添加标签后，选择**保存**。

# Security Hub CSPM 控件适用于 AWS Batch
<a name="batch-controls"></a>

这些 Security Hub CSPM 控件用于评估 AWS Batch 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Batch.1] 应标记批处理作业队列
<a name="batch-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Batch::JobQueue`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS Batch 作业队列是否具有参数中定义的特定键的标签`requiredKeyTags`。如果作业队列没有任何标签键或未在 `requiredKeyTags` 参数中指定所有键，则此控件会失败。如果未提供 `requiredKeyTags` 参数，则控件仅检查是否存在标签键，如果作业队列未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="batch-1-remediation"></a>

要向批处理作业队列添加标签，请参阅《AWS Batch 用户指南》**中的[标记您的资源](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html)。

## [Batch.2] 应标记批处理计划策略
<a name="batch-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Batch::SchedulingPolicy`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS Batch 调度策略是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果计划策略没有任何标签键或未在 `requiredKeyTags` 参数中指定所有键，则此控件会失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果计划策略未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="batch-2-remediation"></a>

要向批处理计划策略添加标签，请参阅《AWS Batch 用户指南》**中的[标记您的资源](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html)。

## [Batch.3] 应标记批处理计算环境
<a name="batch-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Batch::ComputeEnvironment`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS Batch 计算环境是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果计算环境没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件会失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果计算1环境未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="batch-3-remediation"></a>

要向批处理计算环境添加标签，请参阅《AWS Batch 用户指南》**中的[标记您的资源](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html)。

## [Batch.4] 应标记托管批处理计算环境中的计算资源属性
<a name="batch-4"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Batch::ComputeEnvironment`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查托管 AWS Batch 计算环境中的计算资源属性是否具有 `requiredKeyTags` 参数指定的标签键。如果计算资源属性没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果计算资源属性没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。此控件不评估非托管计算环境或使用 AWS Fargate 资源的托管环境。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="batch-4-remediation"></a>

有关在托管 AWS Batch 计算环境中为计算资源添加[标签的信息，请参阅*AWS Batch 用户指南*中的为资源](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html)添加标签。

# Security Hub CSPM 控件适用于 AWS Certificate Manager
<a name="acm-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS Certificate Manager (ACM) 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订
<a name="acm-1"></a>

**相关要求：** NIST.800-53.r5 SC-28 (3)、 NIST.800-53.r5 SC-7 (16)、nist.800-171.r2 3.13.15、PCI DSS v4.0.1/4.2.1

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::ACM::Certificate`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)

**计划类型：**已触发更改且定期进行

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `daysToExpiration`  |  必须续订 ACM 证书的天数  |  整数  |  `14` 到 `365`  |  `30`  | 

此控件检查 AWS Certificate Manager (ACM) 证书是否在指定的时间段内续订。它会检查导入的证书和 ACM 提供的证书。如果证书未在指定的时间段内续订，则控制失败。除非您为续订期提供自定义参数值，否则 Security Hub CSPM 将使用默认值 30 天。

ACM 可以自动续订使用 DNS 验证的证书。对于使用电子邮件验证的证书，您必须回复域验证电子邮件。ACM 不会自动续订您导入的证书。您必须手动续订导入的证书。

### 修复
<a name="acm-1-remediation"></a>

ACM 为您的 Amazon 颁发的 SSL/TLS 证书提供托管续订。这意味着 ACM 要么自动续订您的证书（如果您使用 DNS 验证），要么在证书即将到期时向您发送电子邮件通知。对于公有和私有 ACM 证书，都提供这些服务。

**对于通过电子邮件验证的域**  
当证书到期 45 天后，ACM 会向域所有者发送一封针对每个域名的电子邮件。要验证域名并完成续订，您必须回复电子邮件通知。  
有关更多信息，请参阅 *AWS Certificate Manager 用户指南*中的[续订通过电子邮件验证的域](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html)。

**对于通过 DNS 验证的域**  
ACM 自动续订使用 DNS 验证的证书。 到期前 60 天，ACM 验证证书是否可以续订。  
如果无法验证域名，ACM 会发送需要手动验证的通知。它会在到期前 45 天、30 天、7 天和 1 天发送这些通知。  
有关详细信息，请参阅 *AWS Certificate Manager 用户指南*中的[通过 DNS 验证的域的续订](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html)。

## [ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度
<a name="acm-2"></a>

**相关要求：**PCI DSS v4.0.1/4.2.1

**类别：**识别 > 库存 > 库存服务

**严重性：**高

**资源类型：**`AWS::ACM::Certificate`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查管理的 RSA 证书是否 AWS Certificate Manager 使用至少 2,048 位的密钥长度。如果密钥长度小于 2,048 位，则控制失败。

加密的强度与密钥大小直接相关。我们建议密钥长度至少为 2,048 位，以保护您的 AWS 资源，因为计算能力变得越来越便宜，服务器也变得更加先进。

### 修复
<a name="acm-2-remediation"></a>

ACM 颁发的 RSA 证书的最小密钥长度已经是 2,048 位。有关使用 ACM 颁发新 RSA 证书的说明，请参阅 *AWS Certificate Manager 用户指南*中的[颁发和管理证书](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)。

虽然 ACM 允许您导入密钥长度较短的证书，但您必须使用至少 2,048 位的密钥才能通过此控制。导入证书后，您无法变更密钥长度。相反，您必须删除密钥长度小于 2,048 位的证书。有关将证书导入到 ACM 的更多信息，请参阅 *AWS Certificate Manager 用户指南*中的[导入证书的先决条件](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html)。

## [ACM.3] 应标记 ACM 证书
<a name="acm-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::ACM::Certificate`

**AWS Config 规则:**`tagged-acm-certificate`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS Certificate Manager (ACM) 证书是否具有参数`requiredTagKeys`中定义的特定密钥的标签。如果证书没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查标是否存在签密键，如果证书未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="acm-3-remediation"></a>

要向 ACM 证书添加标签，请参阅*AWS Certificate Manager 用户*指南中的[标记 AWS Certificate Manager 证书](https://docs.aws.amazon.com/acm/latest/userguide/tags.html)。

# Security Hub CSPM 控件适用于 CloudFormation
<a name="cloudformation-controls"></a>

这些 Security Hub CSPM 控件用于评估 AWS CloudFormation 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [CloudFormation.1] CloudFormation 堆栈应与简单通知服务 (SNS) 集成 Simple Notification Service
<a name="cloudformation-1"></a>

**重要**  
Security Hub CSPM 于 2024 年 4 月取消了该控制权。有关更多信息，请参阅 [Security Hub CSPM 控件的更改日志](controls-change-log.md)。

**相关要求：**NIST.800-53.r5 SI-4（12）、NIST.800-53.r5 SI-4（5）。

**分类：**检测 > 检测服务 > 应用程序监控

**严重性：**低

**资源类型：**`AWS::CloudFormation::Stack`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon Simple Notification Service 通知是否与 CloudFormation 堆栈集成。如果没有与 CloudFormation 堆栈相关联的 SNS 通知，则该堆栈的控制将失败。

在堆栈中配置 SNS 通知有助于立即将 CloudFormation 堆栈中发生的任何事件或更改通知利益相关者。

### 修复
<a name="cloudformation-1-remediation"></a>

要集成堆 CloudFormation 栈和 SNS 主题，请参阅*AWS CloudFormation 用户*指南中的[直接更新堆栈](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html)。

## [CloudFormation.2] 应 CloudFormation 标记堆栈
<a name="cloudformation-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::CloudFormation::Stack`

**AWS Config 规则:**`tagged-cloudformation-stack`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS CloudFormation 堆栈是否具有参数中定义的特定键的标签`requiredTagKeys`。如果堆栈没有任何标签键或未在参数 `requiredTagKeys` 中指定所有键，则此控件会失败。如果未提供参数 `requiredTagKeys`，则此控件仅会检查是否存在标签键，如果堆栈未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="cloudformation-2-remediation"></a>

要向 CloudFormation 堆栈添加标签，请参阅 *AWS CloudFormation API 参考[CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)*中的。

## [CloudFormation.3] CloudFormation 堆栈应启用终止保护
<a name="cloudformation-3"></a>

**类别：**保护 > 数据保护 > 数据删除保护

**严重性：**中

**资源类型：**`AWS::CloudFormation::Stack`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS CloudFormation 堆栈是否启用了终止保护。如果 CloudFormation 堆栈上未启用终止保护，则控制失败。

CloudFormation 有助于将相关资源作为一个称为堆栈的单个单元进行管理。您可以通过在堆栈上启用终止保护来防止堆栈被意外删除。如果用户尝试删除已启用终止保护的堆栈，则删除操作会失败，并且堆栈及其状态将保持不变。您可以为状态为 `DELETE_IN_PROGRESS` 或 `DELETE_COMPLETE` 之外任何状态的堆栈设置终止保护。

**注意**  
如果在堆栈上启用或禁用终止保护，则也会将相同的选择传递给属于该堆栈的任何嵌套堆栈。不能直接在嵌套堆栈上启用或禁用终止保护。您无法直接删除属于启用了终止保护的堆栈的嵌套堆栈。如果堆栈名称旁边显示 NESTED，则该堆栈为嵌套堆栈。您只能在该嵌套堆栈所属的根堆栈上更改终止保护。

### 修复
<a name="cloudformation-3-remediation"></a>

要在 CloudFormation 堆栈上启用终止保护，请参阅*《AWS CloudFormation 用户指南》*中的[保护 CloudFormation 堆栈不被删除](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html)。

## [CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色
<a name="cloudformation-4"></a>

**类别：**检测 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::CloudFormation::Stack`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS CloudFormation 堆栈是否有与之关联的服务角色。如果没有服务角色与 CloudFormation 堆栈关联，则该堆栈的控制将失败。

通过 AWS Organizations 可信访问集成，服务管理 StackSets 使用执行角色。该控件还会为服务管理创建的 AWS CloudFormation 堆栈生成失败的查找结果， StackSets 因为没有与之关联的服务角色。由于服务管理的 StackSets 身份验证方式，无法为这些堆栈填充该`roleARN`字段。

在 CloudFormation 堆栈中使用服务角色有助于实现最低权限访问，方法是将 creates/updates 堆叠用户和资源所需的权限分开。 CloudFormation create/update 这降低了权限升级的风险，并有助于维护不同操作角色之间的安全边界。

**注意**  
创建堆栈后，无法删除附加到堆栈的服务角色。拥有权限，可对此堆栈执行操作的其他用户可以使用该角色，无论这些用户是否拥有 `iam:PassRole` 权限。如果该角色包含用户不应具有的权限，则您可能无意中提升了用户的权限。确保该角色授予最低权限。

### 修复
<a name="cloudformation-4-remediation"></a>

要将服务角色与 CloudFormation 堆栈关联，请参阅*AWS CloudFormation 用户指南*中的[CloudFormation 服务角色](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html)。

# 适用于亚马逊的 Security Hub CSPM 控件 CloudFront
<a name="cloudfront-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon CloudFront 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [CloudFront.1] CloudFront 发行版应配置默认根对象
<a name="cloudfront-1"></a>

**相关要求：** NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7 (16)、PCI DSS v4.0.1/2.6

**类别：**保护 > 安全访问管理 > 不可公开访问的资源

**严重性：**高

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)

**计划类型：**已触发变更

**参数：**无

此控件检查源为 S3 的 Amazon CloudFront 分配是否配置为返回默认根对象的特定对象。如果 CloudFront 分配使用 S3 源且未配置默认根对象，则控制失败。此控件不适用于使用自定义来源的 CloudFront 分配。

用户有时可能会请求分配的根 URL，而不是分配中的对象。发生这种情况时，指定默认根对象可以帮助您避免暴露 Web 分发的内容。

### 修复
<a name="cloudfront-1-remediation"></a>

要为 CloudFront 分配配置默认根对象，请参阅 *Amazon CloudFront 开发者指南*中的[如何指定默认根对象](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine)。

## [CloudFront.3] CloudFront 发行版在传输过程中应要求加密
<a name="cloudfront-3"></a>

**相关要求：** NIST.800-53.r5 AC-17 (2)、、(1) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3)、3、3 (3)、( NIST.800-53.r5 SC-13)、 NIST.800-53.r5 SC-2 (4)、 NIST.800-53.r5 SC-2 (1)、 NIST.800-53.r5 SC-7 (2)、nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)、PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon CloudFront 分配是否要求查看者直接使用 HTTPS 或是否使用重定向。如果 `ViewerProtocolPolicy` 对于 `defaultCacheBehavior` 或 `cacheBehaviors` 设置为 `allow-all`，则控制失败。

HTTPS (TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。只能允许通过 HTTPS（TLS）进行加密连接。加密传输中数据可能会影响性能。您应该使用此功能测试应用程序，以了解性能概况和 TLS 的影响。

### 修复
<a name="cloudfront-3-remediation"></a>

要对传输中的 CloudFront 分配进行加密，请参阅《*亚马逊 CloudFront 开发者指南》*中的 “[需要 HTTPS 才能 CloudFront在查看者之间进行通信](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html)”。

## [CloudFront.4] CloudFront 发行版应配置源站故障转移
<a name="cloudfront-4"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**低

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 Amazon CloudFront 配送是否配置了具有两个或更多来源的起源组。

CloudFront 源站故障转移可以提高可用性。如果主源不可用或返回特定的 HTTP 响应状态代码，则源失效转移会自动将流量重定向到辅助源。

### 修复
<a name="cloudfront-4-remediation"></a>

要为 CloudFront 分配配置源故障转移，请参阅 *Amazon CloudFront 开发者指南*中的[创建源组](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating)。

## [CloudFront.5] CloudFront 发行版应启用日志记录
<a name="cloudfront-5"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 CloudFront 发行版上是否启用了服务器访问日志记录。如果未为分配启用访问日志记录，则控制失败。此控件仅评估是否为分配启用了标准日志记录（旧版）。

CloudFront 访问日志提供有关 CloudFront收到的每个用户请求的详细信息。每个日志都包含诸如收到请求的日期和时间、发出请求的查看器的 IP 地址、请求的来源以及查看器请求的端口号等信息。这些日志对于安全和访问审计、取证调查等应用很有用。有关分析访问日志的更多信息，请参阅 [Amazon *Athena 用户指南中的查询亚马逊 CloudFront *日志](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html)。

### 修复
<a name="cloudfront-5-remediation"></a>

要为 CloudFront 分配配置标准日志（旧版），请参阅 *Amazon CloudFront 开发者指南*中的[配置标准日志（旧版）](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html)。

## [CloudFront.6] CloudFront 发行版应启用 WAF
<a name="cloudfront-6"></a>

**相关要求：** NIST.800-53.r5 AC-4(21)、PCI DSS v4.0.1/6.4.2

**类别：**保护 > 防护服务

**严重性：**中

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 CloudFront 发行版是否与 AWS WAF Classic 或 AWS WAF Web 相关联 ACLs。如果分配未与 Web ACL 关联，则控制失败。

AWS WAF 是一种 Web 应用程序防火墙，可帮助保护 Web 应用程序和 APIs免受攻击。通过它，您可以配置一组规则（称为 Web 访问控制列表，即 Web ACL），基于可自定义的 Web 安全规则以及您定义的条件，允许、阻止或统计 Web 请求。确保您的 CloudFront 发行版与 AWS WAF Web ACL 关联，以帮助保护其免受恶意攻击。

### 修复
<a name="cloudfront-6-remediation"></a>

要将 AWS WAF 网页 ACL 与 CloudFront 分配相关联，请参阅 *Amazon CloudFront 开发者指南*中的[使用 AWS WAF 来控制对内容的访问权限](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html)。

## [CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS
<a name="cloudfront-7"></a>

**相关要求：** NIST.800-53.r5 AC-17 (2)、、(1) NIST.800-53.r5 AC-4、2 NIST.800-53.r5 IA-5 (3)、3、3 (3)、(3)、 NIST.800-53.r5 SC-1 (4)、 NIST.800-53.r5 SC-2 (1)、( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-7 nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)、nist.800-171.r2 3.13.15 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**低

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 CloudFront 发行版是否使用默认SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS证书。

 自定义 SSL/TLS 允许您的用户使用备用域名访问内容。您可以将自定义证书存储在 AWS Certificate Manager （推荐）中，也可以存储在 IAM 中。

### 修复
<a name="cloudfront-7-remediation"></a>

要使用自定义 SSL/TLS 证书为 CloudFront 分配添加备用域名，请参阅*亚马逊 CloudFront *开发[者指南中的添加备用域名](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME)。

## [CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求
<a name="cloudfront-8"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**保护 > 安全网络配置

**严重性：**低

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 Amazon CloudFront 分发是否使用自定义 SSL/TLS 证书，以及是否配置为使用 SNI 来处理 HTTPS 请求。如果关联了自定义 SSL/TLS 证书，但 SSL/TLS 支持方法是专用 IP 地址，则此控件将失败。

服务器名称指示（SNI）是对 TLS 协议的扩展，2010 年以后发布的浏览器和客户端均支持。如果您配置 CloudFront 为使用 SNI 处理 HTTPS 请求，请 CloudFront 将您的备用域名与每个边缘站点的 IP 地址相关联。当查看器提交针对内容的 HTTPS 请求时，DNS 将该请求传送到正确边缘站点的 IP 地址。您的域名的 IP 地址是在 SSL/TLS 握手协商期间确定的；IP 地址不是专用于您的分发的。

### 修复
<a name="cloudfront-8-remediation"></a>

要将 CloudFront 分配配置为使用 SNI 处理 HTTPS 请求，请参阅《 CloudFront开发者指南》中的 “[使用 SNI 处理 HTTPS 请求（适用于大多数客户端）](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni)”。有关自定义 SSL 证书的信息，[请参阅使用 SSL/TLS 证书的要求 CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html)。

## [CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量
<a name="cloudfront-9"></a>

**相关要求：** NIST.800-53.r5 AC-17 (2)、、(1) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3)、3、3 (3)、( NIST.800-53.r5 SC-13)、 NIST.800-53.r5 SC-2 (4)、 NIST.800-53.r5 SC-2 (1)、 NIST.800-53.r5 SC-7 (2)、nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)、PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon CloudFront 分配是否正在加密流向自定义来源的流量。对于源协议策略允许 “仅限 http” 的 CloudFront 分发，此控制失败。如果分配的源协议策略为 “match-viewer”，而查看器协议策略为 “allow-all”，则此控制也会失败。

HTTPS（TLS）可用于帮助防止侦听或操纵网络流量。只能允许通过 HTTPS（TLS）进行加密连接。

### 修复
<a name="cloudfront-9-remediation"></a>

要更新源协议策略以要求对 CloudFront 连接进行加密，请参阅《*亚马逊 CloudFront 开发者指南*》中的[要求 CloudFront 与您的自定义源之间的通信需要 HTTPS](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html)。

## [CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议
<a name="cloudfront-10"></a>

**相关要求：** NIST.800-53.r5 AC-17 (2)、、(1)、2 NIST.800-53.r5 IA-5 (3) NIST.800-53.r5 AC-4、3、3、(4)、、(1)、 NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-2 nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)、 NIST.800-53.r5 SC-8 nist.800-171.r2 3.13.15、PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon CloudFront 分配是否使用已弃用的 SSL 协议进行 CloudFront 边缘站点和您的自定义源站之间的 HTTPS 通信。如果 CloudFront 分配`OriginSslProtocols`包含 where includes，则`CustomOriginConfig`此控件将失败`SSLv3`。

2015 年，国际互联网工程任务组（IETF）正式宣布，由于该协议不够安全，应弃用 SSL 3.0。建议您使用 TLSv1 .2 或更高版本与自定义源进行 HTTPS 通信。

### 修复
<a name="cloudfront-10-remediation"></a>

要更新 CloudFront 分配的 Origin SSL 协议，请参阅 *Amazon CloudFront 开发者指南*中的[要求 HTTPS 才能 CloudFront 与您的自定义源进行通信](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html)。

## [CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源
<a name="cloudfront-12"></a>

**相关要求：**NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2（2）、PCI DSS v4.0.1/2.2.6

**类别：**识别 > 资源配置

**严重性：**高

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)

**计划类型：**定期

**参数：**无

此控件可检查亚马逊 CloudFront 分发是否指向不存在的 Amazon S3 来源。如果源配置为指向不存在的存储桶，则 CloudFront 分配的控制将失败。此控件仅适用于没有静态网站托管的 S3 存储桶是 S3 来源的 CloudFront 分配。

当您账户中的 CloudFront 分配配置为指向不存在的存储桶时，恶意第三方可以创建引用的存储桶，并通过您的分配提供自己的内容。无论路由行为如何，我们都建议您检查所有源，以确保分布指向适当的源。

### 修复
<a name="cloudfront-12-remediation"></a>

要修改 CloudFront 分配以指向新的来源，请参阅《*Amazon CloudFront 开发者指南*》中的[更新分配](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html)。

## [CloudFront.13] CloudFront 发行版应使用源站访问控制
<a name="cloudfront-13"></a>

**类别：**保护 > 安全访问管理 > 资源不公开访问

**严重性：**中

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查源为 Amazon S3 的亚马逊 CloudFront 分发是否配置了源站访问控制 (OAC)。如果没有为 CloudFront分发配置 OAC，则控制失败。

使用 S3 存储桶作为 CloudFront 分配的源时，您可以启用 OAC。这仅允许通过指定的 CloudFront分配访问存储桶中的内容，并禁止直接从存储桶或其他分配进行访问。尽管 CloudFront 支持原始访问身份 (OAI)，但 OAC 提供了其他功能，使用 OAI 的发行版可以迁移到 OAC。尽管 OAI 提供了一种安全的方式来访问 S3 源，但它也有一些局限性，例如不支持精细的策略配置和使用需要 AWS 签名版本 4 (Sigv4) AWS 区域 的 POST 方法的 HTTP/HTTPS 请求。OAI 也不支持使用进行加密。 AWS Key Management Service OAC 基于使用 IAM 服务主体向 S3 源进行身份验证 AWS 的最佳实践。

### 修复
<a name="cloudfront-13-remediation"></a>

要为具有 S3 来源的 CloudFront 分配配置 OAC，请参阅《亚马逊* CloudFront 开发者指南》*中的[限制对 Amazon S3 来源的访问权限](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。

## [CloudFront.14] 应 CloudFront 标记发行版
<a name="cloudfront-14"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则:**`tagged-cloudfront-distribution`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件会检查 Amazon CloudFront 分配是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果分配没有任何标签键或未在参数 `requiredTagKeys` 中指定所有键，则此控件会失败。如果未提供参数 `requiredTagKeys`，则此控件仅会检查是否存在标签键，如果分配未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="cloudfront-14-remediation"></a>

要为 CloudFront 分配添加标签，请参阅《亚马逊* CloudFront 开发者指南》中的 “为亚马逊 CloudFront*[分配添加标签](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html)”。

## [CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略
<a name="cloudfront-15"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)

**计划类型：**已触发变更

**参数：**`securityPolicies`：`TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025`（不可自定义）

此控件会检查 Amazon CloudFront 分配是否配置为使用推荐的 TLS 安全策略。如果 CloudFront 分配未配置为使用推荐的 TLS 安全策略，则控制失败。

如果您将 Amazon CloudFront 分配配置为要求查看者使用 HTTPS 访问内容，则必须选择安全策略并指定要使用的最低 SSL/TLS 协议版本。这决定了 CloudFront 使用哪个协议版本与查看者通信，以及 CloudFront 用于加密通信的密码。我们建议使用 CloudFront 提供的最新安全策略。这样可以确保 CloudFront 使用最新的密码套件来加密在查看器和分发之间传输的数据。 CloudFront

**注意**  
此控件仅为配置为使用自定义 SSL 证书且未配置为支持旧版客户端的 CloudFront 发行版生成调查结果。

### 修复
<a name="cloudfront-15-remediation"></a>

有关为 CloudFront 分配配置安全策略的信息，请参阅 *Amazon CloudFront 开发者指南*中的[更新分配](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html)。当为分配配置安全策略时，请选择最新的安全策略。

## [CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制
<a name="cloudfront-16"></a>

**类别：**保护 > 安全访问管理 > 访问控制

**严重性：**中

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查以 AWS Lambda 函数 URL 为来源的 Amazon CloudFront 分配是否启用了源站访问控制 (OAC)。如果 CloudFront分配以 Lambda 函数 URL 作为来源，并且未启用 OAC，则控制失败。

 AWS Lambda 函数 URL 是 Lambda 函数的专用 HTTPS 终端节点。如果 Lambda 函数 URL 是 CloudFront 分配的来源，则该函数 URL 必须是可公开访问的。因此，作为安全最佳实践，您应该创建一个 OAC 并将其添加到分配中的 Lambda 函数 URL。OAC 使用 IAM 服务委托人对 CloudFront 和函数 URL 之间的请求进行身份验证。它还支持使用基于资源的策略，仅当请求代表策略中指定的 CloudFront 分配时才允许调用函数。

### 修复
<a name="cloudfront-16-remediation"></a>

有关为使用 Lambda 函数 URL 作为来源的亚马逊 CloudFront 分配配置 OAC 的信息，[请参阅* CloudFront 亚马逊*开发者指南中的限制 AWS Lambda 对函数 URL 来源的访问](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html)。

## [CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie
<a name="cloudfront-17"></a>

**类别：**保护 > 安全访问管理 > 访问控制

**严重性：**中

**资源类型：**`AWS::CloudFront::Distribution`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon CloudFront 分配是否配置为使用可信密钥组进行签名 URL 或签名 Cookie 身份验证。如果 CloudFront分发使用可信签名者，或者分配未配置身份验证，则控制失败。

要使用签名 URLs 或签名的 Cookie，您需要签名者。签名者可以是您在中创建的可信密钥组 CloudFront，也可以是包含 CloudFront 密钥对的 AWS 账户。我们建议您使用可信密钥组，因为对于 CloudFront 密钥组，您无需使用 AWS 账户 root 用户来管理 CloudFront 已签名 URLs 和已签名 Cookie 的公钥。

**注意**  
此控件不评估多租户 CloudFront 分布`(connectionMode=tenant-only)`。

### 修复
<a name="cloudfront-17-remediation"></a>

有关使用带签名 URLs 和 Cookie 的可信密钥组的信息，请参阅《*亚马逊 CloudFront 开发者指南*》中的[使用可信密钥组](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html)。

# Security Hub CSPM 控件适用于 AWS CloudTrail
<a name="cloudtrail-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS CloudTrail 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
<a name="cloudtrail-1"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/3.1、CIS AWS 基金会基准 v1.2.0/2.1、CIS AWS 基金会基准 v1.4.0/3.1、CIS 基金会基准 v3.0.0/3.1、 NIST.800-53.r5 AC-2 (4)、(26)、(9)、(9)、 NIST.800-53.r5 AC-4 (22) AWS NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8

**类别：**识别 > 日志记录

**严重性：**高

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)

**计划类型：**定期

**参数：**
+ `readWriteType`：`ALL`（不可自定义）

  `includeManagementEvents`：`true`（不可自定义）

此控件检查是否至少有一个捕获读写管理事件的多区域 AWS CloudTrail 跟踪。如果 CloudTrail 禁用或没有至少一条 CloudTrail 跟踪可以捕获读写管理事件，则控件将失败。

AWS CloudTrail 记录您的账户 AWS 的 API 调用并将日志文件发送给您。记录的信息包括：
+ API 调用方的身份
+ API 调用的时间
+ API 调用方的源 IP 地址
+ 请求参数
+ 返回的响应元素 AWS 服务

CloudTrail 提供账户 AWS 的 API 调用历史记录，包括通过、 AWS 管理控制台 AWS SDKs、命令行工具进行的 API 调用。历史记录还包括来自更高级别的 API 调用， AWS 服务 例如。 AWS CloudFormation

生成的 AWS API 调用历史记录 CloudTrail 支持安全分析、资源变更跟踪和合规性审计。多区域跟踪还提供以下好处。
+ 多区域跟踪有助于检测在其他本不应使用的区域中发生的意外活动。
+ 多区域跟踪可确保默认情况下为跟踪启用全局服务事件日志记录。全球服务事件日志记录记录 AWS 全球服务生成的事件。
+ 对于多区域跟踪，所有读取和写入操作的管理事件可确保 CloudTrail 记录中所有资源的管理操作。 AWS 账户

默认情况下，使用创建的 CloudTrail 跟踪 AWS 管理控制台 是多区域跟踪。

### 修复
<a name="cloudtrail-1-remediation"></a>

要在中创建新的多区域跟踪 CloudTrail，请参阅*AWS CloudTrail 用户指南*中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。使用以下值：


| Field | Value | 
| --- | --- | 
|  其他设置，日志文件验证  |  已启用  | 
|  选择日志事件、管理事件、API 活动  |  **读**和**写**。清除排除项的复选框。  | 

要更新现有跟踪，请参阅 *AWS CloudTrail 用户指南*中的[更新跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html)。在**管理事件**中，对于 **API 活动**，选择**读取**和**写入**。

## [CloudTrail.2] CloudTrail 应该启用静态加密
<a name="cloudtrail-2"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/3.5、CIS 基金会基准 v1.2.0/2.7、CIS AWS 基金会基准 v1.4.0/3.7、CIS 基金会基准 v3.0.0/3.5、(1)、(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1)、(10)、nist.800-53.r5 SI AWS -7 (6)、nist.800-171.r2 3. NIST.800-53.r5 SC-2 8、PCI DSS v3.2.1/3.4、PCI DSS v3.2.1/3.4、 NIST.800-53.r5 SC-2 PCI DSS v3.2.1/3.4 I DSS v4.0.1/10.3.2 AWS NIST.800-53.r5 SC-7

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::CloudTrail::Trail`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查 CloudTrail 是否配置为使用服务器端加密 (SSE) AWS KMS key 加密。如果 `KmsKeyId` 未定义，则控制失败。

为了增加敏感 CloudTrail 日志文件的安全性，您应该使用[服务器端加密和 AWS KMS keys (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) 对 CloudTrail 日志文件进行静态加密。请注意，默认情况下，传送 CloudTrail 到您的存储桶的日志文件由[亚马逊服务器端加密，使用 Amazon S3 托管的加密密钥 (SSE-S3) 进行加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)。

### 修复
<a name="cloudtrail-2-remediation"></a>

要为 CloudTrail 日志文件启用 SSE-KMS 加密，请参阅*AWS CloudTrail 用户*指南中的[更新跟踪以使用 KMS 密钥](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail)。

## [CloudTrail.3] 应至少启用一条 CloudTrail 跟踪
<a name="cloudtrail-3"></a>

**相关要求：**NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7、PCI DSS v3.2.1/10.1、PCI DSS v3.2.1/10.2.1、PCI DSS v3.2.1/10.2.2、PCI DSS v3.2.1/10.2.3、PCI DSS v3.2.1/10.2.4、PCI DSS v3.2.1/10.2.5、PCI DSS v3.2.1/10.2.6、PCI DSS v3.2.1/10.2.7、PCI DSS v3.2.1/10.3.1、PCI DSS v3.2.1/10.3.2、PCI DSS v3.2.1/10.3.3、PCI DSS v3.2.1/10.3.4、PCI DSS v3.2.1/10.3.5、PCI DSS v3.2.1/10.3.6、PCI DSS v4.0.1/10.2.1

**类别：**识别 > 日志记录

**严重性：**高

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)

**计划类型：**定期

**参数：**无

此控件可检查您的中是否启用了 AWS CloudTrail 跟踪 AWS 账户。如果您的账户未启用至少一条 CloudTrail 跟踪，则控制失败。

但是，某些 AWS 服务不允许记录所有 APIs 和事件。除了 “[CloudTrail 支持的 CloudTrail 服务和集成” 中每项服务的](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)文档之外，您还应实施任何其他审计跟踪。

### 修复
<a name="cloudtrail-3-remediation"></a>

要开始使用 CloudTrail 和创建跟踪，请参阅《*AWS CloudTrail 用户指南》*中的[入门 AWS CloudTrail 教程](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html)。

## [CloudTrail.4] 应启用 CloudTrail 日志文件验证
<a name="cloudtrail-4"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/3.2、独联体基金会基准 v1.2.0/2.2、独联体基金会基准 v1.4.0/3.2、独联体 AWS 基金会基准 v3.0.0/3.2、nist.800-53.r5 AU-9、nist.800-53.r5 SI AWS -4、nist.800-53.r5 SI AWS -7 (1)、nist.800-53.r5 SI-7 (3))、nist.800-53.r5 SI-7 (7)、nist.800-171.r2 3.8、PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/10.5.5、PCI DSS v4.0.1/10.3.2

**类别：**数据保护 > 数据完整性

**严重性：**低

**资源类型：**`AWS::CloudTrail::Trail`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查是否在 CloudTrail跟踪上启用了日志文件完整性验证。

CloudTrail 日志文件验证会创建一个经过数字签名的摘要文件，其中包含 CloudTrail 写入 Amazon S3 的每个日志的哈希值。您可以使用这些摘要文件来确定日志文件在 CloudTrail 传送日志后是更改、删除还是未更改。

Security Hub CSPM 建议您在所有跟踪中启用文件验证。日志文件验证可对 CloudTrail 日志进行额外的完整性检查。

### 修复
<a name="cloudtrail-4-remediation"></a>

要启用 CloudTrail 日志文件验证，请参阅*AWS CloudTrail 用户指南 CloudTrail*中的[启用日志文件完整性验证](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html)。

## [CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
<a name="cloudtrail-5"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/3.4、PCI DSS v3.2.1/10.5.3、CIS 基金会基准 v1.2.0/2.4、CIS AWS 基金会基准 v1.4.0/3.4、(4)、(26)、(9)、(9)、nist.800-53.r5 SI-20、nist.800-53.r5 SI AWS -3 (8)、nist.800-53.r5 SI-3 NIST.800-53.r5 AC-2 (8)、 NIST.800-53.r5 AC-4 nist.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) 4 (20) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (5)、nist.800-53.r5 SI-7 (8)

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::CloudTrail::Trail`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查是否已将 CloudTrail 跟踪配置为向日志发送 CloudWatch 日志。如果跟踪的 `CloudWatchLogsLogGroupArn` 属性为空，则控制失败。

CloudTrail 记录在给定账户中进行的 AWS API 调用。记录的信息包括以下内容：
+ API 调用者的身份
+ API 调用时间间
+ API 调用方的源 IP 地址
+ 请求参数
+ 返回的响应元素 AWS 服务

CloudTrail 使用 Amazon S3 进行日志文件存储和传输。您可以捕获指定 S3 存储桶中的 CloudTrail 日志以进行长期分析。要执行实时分析，您可以配置为将日志发送 CloudTrail 到 CloudWatch 日志。

对于在账户中所有区域启用的跟踪， CloudTrail 会将所有这些区域的日志文件发送到 CloudWatch 日志日志组。

Security Hub CSPM 建议您将 CloudTrail 日志发送到日志。 CloudWatch 请注意，此建议旨在确保捕获、监视账户活动并适当发出警报。你可以使用 CloudWatch Logs 来设置你的 AWS 服务。此建议并不排除使用不同的解决方案。

将 CloudTrail 日志发送到 CloudWatch 日志便于根据用户、API、资源和 IP 地址进行实时和历史活动记录。您可以使用此方法为异常或敏感账户活动建立警报和通知。

### 修复
<a name="cloudtrail-5-remediation"></a>

要 CloudTrail 与 CloudWatch 日志集成，请参阅*AWS CloudTrail 用户指南*中的[向 CloudWatch 日志发送事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html)。

## [CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问
<a name="cloudtrail-6"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/2.3、CIS 基金会基准 v1.4.0/3.3、PCI DSS v AWS 4.0.1/1.4.4

**类别：**识别 > 日志记录

**严重性：**严重

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期计划和触发变更

**参数：**无

CloudTrail 记录在您的账户中进行的每个 API 调用。这些日志文件存储在 S3 存储桶中。CIS 建议将 S3 存储桶策略或访问控制列表 (ACL) 应用于 CloudTrail 记录的 S3 存储桶，以防止公众访问 CloudTrail 日志。允许公众访问 CloudTrail 日志内容可能有助于对手识别受影响账户使用或配置中的弱点。

要运行此检查，Security Hub CSPM 首先使用自定义逻辑来查找存储 CloudTrail 日志的 S3 存储桶。然后，它使用 AWS Config 托管规则来检查存储桶是否可公开访问。

如果您将日志聚合到单个集中式 S3 存储桶中，则 Security Hub CSPM 仅对集中式 S3 存储桶所在的账户和区域进行检查。对于其他账户和区域，控件状态为**无数据**。

如果存储桶可公开访问，则检查会生成失败的调查发现。

### 修复
<a name="cloudtrail-6-remediation"></a>

要阻止公众访问您的 CloudTrail S3 存储桶，请参阅《A *mazon 简单存储服务用户指南》中的 “为您的 S3 存储*[桶配置阻止公开访问设置”](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)。选择所有四个 Amazon S3 屏蔽公共访问权限。

## [CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
<a name="cloudtrail-7"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/2.6、CIS 基金会基准 v1.4.0/3.6、CIS AWS 基金会基准 v3.0.0/3.4、PCI DSS v4.0.1/10.2.1 AWS 

**类别：**识别 > 日志记录

**严重性：**低

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

S3 存储桶访问日志记录会生成一个日志，其中包含对 S3 存储桶发出的每个请求的访问记录。访问日志记录包含与请求有关的详细信息，如请求类型、处理过的请求中指定的资源和请求的处理时间和日期。

CIS 建议您在 S3 存储桶上启用存储 CloudTrail 桶访问日志记录。

通过在目标 S3 存储桶上启用 S3 存储桶日志记录，您可以捕获可能影响目标存储桶中对象的所有事件。将日志配置为存放在单独的存储桶中可实现对日志信息的访问，这在安全和事故响应工作流程中非常有用。

要运行此检查，Security Hub CSPM 首先使用自定义逻辑查找存储 CloudTrail 日志的存储桶，然后使用 AWS Config 托管规则检查是否启用了日志记录。

如果 AWS 账户 将多个日志文件 CloudTrail 传送到单个目标 Amazon S3 存储桶，则 Security Hub CSPM 仅针对其所在地区的目标存储桶评估此控制权。这简化了调查发现。但是，您应该 CloudTrail 在所有将日志传送到目标存储桶的账户中开启。对于除持有目标存储桶的账户以外的所有账户，控件状态均为**无数据**。

### 修复
<a name="cloudtrail-7-remediation"></a>

要为 CloudTrail S3 存储桶启用服务器访问日志记录，请参阅《[亚马逊*简单存储服务用户指南》中的 “启用 Amazon* S3 服务器访问日志](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging)”。

## [CloudTrail.9] CloudTrail 路径应加标签
<a name="cloudtrail-9"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::CloudTrail::Trail`

**AWS Config 规则:**`tagged-cloudtrail-trail`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS CloudTrail 跟踪是否具有参数中定义的特定键的标签`requiredTagKeys`。如果跟踪记录没有任何标签键或未在参数 `requiredTagKeys` 中指定所有键，则此控件会失败。如果未提供参数 `requiredTagKeys`，则此控件仅会检查是否存在标签键，如果跟踪记录未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="cloudtrail-9-remediation"></a>

要为 CloudTrail 跟踪添加标签，请参阅 *AWS CloudTrail API 参考[AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)*中的。

## [CloudTrail.10] CloudTrail 湖泊事件数据存储应使用客户托管进行加密 AWS KMS keys
<a name="cloudtrail-10"></a>

**相关要求：** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1)、(10)、2 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::CloudTrail::EventDataStore`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  评估中 AWS KMS keys 要包含的 Amazon 资源名称 (ARNs) 列表。如果事件数据存储未使用列表中的 KMS 密钥进行加密，则该控件会生成 `FAILED` 调查发现。  |  StringList （最多 3 件商品）  |  1—3 个 ARNs 现有 KMS 密钥。例如：`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。  |  无默认值  | 

此控件检查 AWS CloudTrail Lake 事件数据存储是否在客户托管的情况下进行静态加密 AWS KMS key。如果未使用客户自主管理型 KMS 密钥对事件数据存储进行加密，则该控件会失败。您可以选择为控件指定要包含在评估中的 KMS 密钥列表。

默认情况下， AWS CloudTrail Lake 使用 AES-256 算法使用亚马逊 S3 托管密钥 (SSE-S3) 对存储的事件数据进行加密。为了获得更多控制，您可以将 CloudTrail Lake 配置为使用客户托管 AWS KMS key (SSE-KMS) 加密事件数据存储。客户托管的 KMS 密钥 AWS KMS key 是您在自己中创建、拥有和管理的密钥 AWS 账户。您可以完全控制此类 KMS 密钥。这包括定义和维护密钥策略、管理授权、轮换加密材料、分配标签、创建别名以及启用和禁用密钥。您可以在加密操作中使用客户托管的 KMS 密钥来管理您的 CloudTrail 数据，并通过 CloudTrail 日志审核使用情况。

### 修复
<a name="cloudtrail-10-remediation"></a>

有关使用您指定的加密 AWS CloudTrail Lake 事件数据存储的信息，请参阅*AWS CloudTrail 用户指南*中的[更新事件数据存储](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html)。 AWS KMS key 在将事件数据存储与 KMS 密钥关联后，将无法移除或更改 KMS 密钥。

# 适用于亚马逊的 Security Hub CSPM 控件 CloudWatch
<a name="cloudwatch-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon CloudWatch 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [CloudWatch.1] “root” 用户应有日志指标筛选器和警报
<a name="cloudwatch-1"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/1.1、独联体基金会基准 v1.2.0/3.3、独联体基金会基准 v1.4.0/1.7、独联体 AWS 基金会基准 v1.4.0/4.3、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7、PCI AWS DSS v3.2.1/7.2.1 AWS 

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

根用户可以不受限制地访问 AWS 账户中的所有服务和资源。我们强烈建议您避免使用根用户执行日常任务。最大限度地减少根用户的使用并采用最低权限原则进行访问管理，可以降低意外更改和意外泄露高权限凭证的风险。

作为最佳实践，仅在需要[执行账户和服务管理任务](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)时才使用根用户凭证。将 AWS Identity and Access Management (IAM) 策略直接应用于群组和角色，但不适用于用户。有关如何设置管理员以供日常使用的教程，请参阅 *IAM 用户指南*中的[创建第一个 IAM 管理员用户和组](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0中为控制1.7规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-1-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报
<a name="cloudwatch-2"></a>

**相关要求：**CIS AWS 基金会基准 v1.2.0/3.1、nist.800-171.r2 3.13.1、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您创建指标筛选条件并对未经授权的 API 调用发出警报。监控未经授权的 API 调用有助于发现应用程序错误，并可能减少检测恶意活动所花费的时间。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) v1.2中为控制3.1规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-2-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报
<a name="cloudwatch-3"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.2

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您创建不受 MFA 保护的指标筛选条件和警报控制台登录。监控单因素控制台登录可提高不受 MFA 保护的账户的可见性。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) v1.2中为控制3.2规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-3-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报
<a name="cloudwatch-4"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.4、CIS 基金会基准 v1.4.0/4.4、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14. AWS 6、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

此控件通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报来检查您是否实时监控 API 调用。

CIS 建议您为 IAM policy 的更改创建指标筛选条件和警报。监控此类更改有助于确保身份验证和授权控制保持不变。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-4-remediation"></a>

**注意**  
我们在这些补救步骤中推荐的筛选条件模式与 CIS 指南中的筛选条件模式不同。我们推荐的筛选条件仅针对来自 IAM API 调用的事件。

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.5] 确保存在 CloudTrail 配置更改的日志指标筛选器和警报
<a name="cloudwatch-5"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.5、CIS 基金会基准 v1.4.0/4.5、nist.800-171.r2 3.8、nist.800-171.r2 3. AWS 8、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您为对 CloudTrail 配置设置的更改创建指标筛选条件和警告。监控此类更改有助于确保账户中活动的持续可见性。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0中为控制4.5规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-5-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.6] 确保存在针对 AWS 管理控制台 身份验证失败的日志指标筛选器和警报
<a name="cloudwatch-6"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.6、CIS 基金会基准 v1.4.0/4.6、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7 AWS 

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您为失败的控制台身份验证尝试创建指标筛选条件和警报。监控失败的控制台登录可能会缩短检测暴力破解凭证尝试的准备时间，这可能会提供可供您在其他事件相关性分析中使用的指标，例如源 IP。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0中为控制4.6规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-6-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报
<a name="cloudwatch-7"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.7、CIS 基金会基准 v1.4.0/4.7、nist.800-171.r2 3.13.10、nist.800-171.r2 3.13. AWS 16、nist.800-171.r2 3.13.16、nist.800-171.r2 3.14.7、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您为已将状态更改为禁用或计划删除的客户管理密钥创建指标筛选条件和警报。您无法再访问使用已禁用或已删除的密钥加密的数据。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0中为控制4.7规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。如果 `ExcludeManagementEventSources` 包含 `kms.amazonaws.com`，则控制也会失败。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-7-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报
<a name="cloudwatch-8"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.8、CIS 基金会基准 v1.4.0/4.8、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14. AWS 6、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您为 S3 存储桶策略更改创建指标筛选条件和警告。监控此类更改可能会缩短检测和纠正敏感 S3 存储桶的宽松策略的时间。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0中为控制4.8规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-8-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.9] 确保存在 AWS Config 配置更改的日志指标筛选器和警报
<a name="cloudwatch-9"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.9、CIS 基金会基准 v1.4.0/4.9、nist.800-171.r2 3.8、nist.800-171.r2 3. AWS 8、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您为对 AWS Config 配置设置的更改创建指标筛选条件和警告。监控此类更改有助于确保账户中配置项的持续可见性。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0中为控制4.9规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-9-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报
<a name="cloudwatch-10"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.10、CIS 基金会基准 v1.4.0/4.10、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.6、 AWS nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。安全组是有状态的数据包筛选器，可用于控制 VPC 的传入和传出流量。

CIS 建议您为安全组更改创建指标筛选条件和警告。监控此类更改有助于确保不会意外公开 资源和服务。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)准测试v1.4.0中为控制4.10规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-10-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报
<a name="cloudwatch-11"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.11、独联体基金会基准 v1.4.0/4.11、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.6、 AWS nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。 NACLs 用作无状态数据包过滤器，用于控制 VPC 中子网的入口和出口流量。

CIS 建议您创建指标筛选器并发出警报，以应对所做的更改 NACLs。监控这些更改有助于确保 AWS 资源和服务不会被无意中暴露。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)准测试v1.4.0中为控制4.11规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-11-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报
<a name="cloudwatch-12"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.12、CIS 基金会基准 v1.4.0/4.12、nist.800-171.r2 3.3.1、nist.800-171.r2 3.1、 AWS nist.800-171.r2 3.13.1

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。需要网络网关才能向位于 VPC 以外的目标发送流量或从其接收流量。

CIS 建议您为网络网关更改创建指标筛选条件和警告。监控此类更改有助于确保所有传入和传出流量都通过受控路径穿过 VPC 边界。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)准测试v1.2中为控制4.12规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-12-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报
<a name="cloudwatch-13"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.13、CIS 基金会基准 v1.4.0/4.13、nist.800-171.r2 3.1、nist.800-171.r2 3.13.1、nist.8 AWS 00-171.r2 3.13.1、nist.800-171.r2 3.13.1、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

此控件通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报来检查您是否实时监控 API 调用。路由表在子网和网络网关之间路由网络流量。

CIS 建议您为路由表更改创建指标筛选条件和警告。监控此类更改有助于确保所有 VPC 流量都流经预期路径。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-13-remediation"></a>

**注意**  
我们在这些补救步骤中推荐的筛选条件模式与 CIS 指南中的筛选条件模式不同。我们推荐的筛选条件仅针对来自 Amazon Elastic Compute Cloud（EC2）API 调用的事件。

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报
<a name="cloudwatch-14"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.14、CIS 基金会基准 v1.4.0/4.14、nist.800-171.r2 3.1、nist.800-171.r2 3.13.1、nist.800-171.r2 3.13.1、ni AWS st.800-171.r2 3.13.1、nist.800-171.r2 3.13.1、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。一个账户中可以有多个 VPC，并且可以在两个 VPC 之间创建对等连接 VPCs，从而使网络流量能够在两个 VPC 之间进行路由 VPCs。

CIS 建议您创建指标筛选器并发出警报，以应对所做的更改 VPCs。监控此类更改有助于确保身份验证和授权控制保持不变。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)准测试v1.4.0中为控制4.14规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-14-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.15] CloudWatch 警报应配置指定操作
<a name="cloudwatch-15"></a>

**相关要求：** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7，nist.800-53.r5 IR-4 (1)、nist.800-53.r5 IR-4 (5)、nist.800-53.r5 SI-2、nist.800-53.r5 SI-20、nist.800-53.r5 SI-4 (12)、nist.800-53.r5 SI-4 (5)、nist.800-53.r5 SI-4 (5)、nist.800-53.r5 SI-4 (5)、nist.800-53.r5 SI-4 (5)、nist.800-53.r5 SI-4 (5) -171.r2 3.3.4，nist.800-171.r2 3.14.6

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::CloudWatch::Alarm`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  如果将参数设置为 `true` 并且警报状态变更为 `ALARM` 时警报会执行操作，则控件会生成`PASSED` 调查发现。  |  布尔值  |  不可自定义  |  `true`  | 
|  `insufficientDataActionRequired`  |  如果将参数设置为 `true` 并且警报状态变更为 `INSUFFICIENT_DATA` 时警报会执行操作，则控件会生成`PASSED` 调查发现。  |  布尔值  |  `true` 或者 `false`  |  `false`  | 
|  `okActionRequired`  |  如果将参数设置为 `true` 并且警报状态变更为 `OK` 时警报会执行操作，则控件会生成`PASSED` 调查发现。  |  布尔值  |  `true` 或者 `false`  |  `false`  | 

此控件检查 Amazon CloudWatch 警报是否为该`ALARM`状态配置了至少一个操作。如果警报没有为 `ALARM` 状态配置操作，则控制失败。或者，您可以包含自定义参数值，以便也要求对 `INSUFFICIENT_DATA` 或 `OK` 状态执行警报操作。

**注意**  
Security Hub CSPM 根据 CloudWatch 指标警报评估此控件。指标警报可能是复合警报的一部分，这些复合警报配置了指定操作。在以下情况下，控件会生成 `FAILED` 调查发现：  
没有为指标警报配置指定操作。
此指标警报是某个复合警报的一部分，该复合警报配置了指定操作。

此控件侧重于 CloudWatch 警报是否配置了警报操作，而 [CloudWatch.17](#cloudwatch-17) 侧重于 CloudWatch 警报操作的激活状态。

我们建议采取 CloudWatch 警报措施，以便在监控的指标超出定义的阈值时自动提醒您。当警报进入特定状态时，监控警报可帮助您识别异常活动并快速响应安全和操作问题。最常见的警报操作类型是通过向 Amazon Simple Notification Service（Amazon SNS）主题发送消息来通知一个或多个用户。

### 修复
<a name="cloudwatch-15-remediation"></a>

有关 CloudWatch 警报支持的操作的信息，请参阅 *Amazon CloudWatch 用户指南*中的[警报操作](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions)。

## [CloudWatch.16] CloudWatch 日志组应在指定的时间段内保留
<a name="cloudwatch-16"></a>

**类别：**识别 > 日志记录

**相关要求：** NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7，nist.800-53.r5 SI-12

**严重性：**中

**资源类型：**`AWS::Logs::LogGroup`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |   CloudWatch 日志组的最小保留期（以天为单位）  |  枚举  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

此控件检查 Amazon CloudWatch 日志组的保留期是否至少为指定的天数。如果保留期少于指定天数，则控制失败。除非您为保留期提供自定义参数值，否则 Security Hub CSPM 将使用默认值 365 天。

CloudWatch 日志将来自所有系统、应用程序的日志集中到一个高度可扩展的服务 AWS 服务 中。您可以使用 CloudWatch 日志来监控、存储和访问来自亚马逊弹性计算云 (EC2) 实例 AWS CloudTrail、Amazon Route 53 和其他来源的日志文件。将日志保留至少 1 年可以帮助您遵守日志保留标准。

### 修复
<a name="cloudwatch-16-remediation"></a>

要配置日志保留设置，请参阅《*Amazon CloudWatch 用户指南》*[中的 “ CloudWatch 日志” 中的 “更改日志数据保留期](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)”。

## [CloudWatch.17] 应激 CloudWatch 活警报动作
<a name="cloudwatch-17"></a>

**类别：**检测 > 检测服务

**相关要求：** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7，nist.800-53.r5 SI-2、nist.800-53.r5 SI-4 (12)

**严重性：**高

**资源类型：**`AWS::CloudWatch::Alarm`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``

**计划类型：**已触发变更

**参数：**无

此控件检查 CloudWatch 警报操作是否已激活（`ActionEnabled`应设置为 true）。如果警报的警报动作被停用， CloudWatch 则控制失败。

**注意**  
Security Hub CSPM 根据 CloudWatch 指标警报评估此控件。指标警报可能是复合警报的一部分，这些复合警报已激活警报操作。在以下情况下，控件会生成 `FAILED` 调查发现：  
没有为指标警报配置指定操作。
此指标警报是某个复合警报的一部分，该复合警报已激活警报操作。

此控件侧重于 CloudWatch 警报操作的激活状态，而 [CloudWatch.15](#cloudwatch-15) 侧重于 CloudWatch 警报中是否配置了任何`ALARM`操作。

当监控的指标超出定义的阈值时，警报操作会自动向您发出警报。如果警报操作被停用，则警报状态变更时不会运行任何操作，也不会提醒您注意监控指标的变化。我们建议您激活 CloudWatch 警报操作，以帮助您快速应对安全和操作问题。

### 修复
<a name="cloudwatch-17-remediation"></a>

**激活 CloudWatch 警报操作（控制台）**

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。

1. 在导航窗格中的**警报**下，选择**所有警报**。

1. 选择要激活操作的警报。

1. 在**操作**中，选择**警报操作-新建**，然后选择**启用**。

有关激活 CloudWatch 警报操作的更多信息，请参阅 *Amazon CloudWatch 用户指南*中的[警报操作](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions)。

# Security Hub CSPM 控件适用于 CodeArtifact
<a name="codeartifact-controls"></a>

这些 Security Hub CSPM 控件用于评估 AWS CodeArtifact 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [CodeArtifact.1] 应标记CodeArtifact 存储库
<a name="codeartifact-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::CodeArtifact::Repository`

**AWS Config 规则:**`tagged-codeartifact-repository`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS CodeArtifact 存储库是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果存储库没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果存储库未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳实践，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="codeartifact-1-remediation"></a>

要向 CodeArtifact 仓库添加标签，请参阅《*AWS CodeArtifact 用户指南》 CodeArtifact*[中的为仓库添加标签](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html)。

# Security Hub CSPM 控件适用于 CodeBuild
<a name="codebuild-controls"></a>

这些 Security Hub CSPM 控件用于评估 AWS CodeBuild 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证
<a name="codebuild-1"></a>

**相关要求：** NIST.800-53.r5 SA-3，PCI DSS v3.2.1/8.2.1，PCI DSS v4.0.1/8.3.2

**类别：**保护 > 安全开发

**严重性：**严重

**资源类型：**`AWS::CodeBuild::Project`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS CodeBuild 项目 Bitbucket 源存储库 URL 是否包含个人访问令牌或用户名和密码。如果 Bitbucket 源存储库 URL 包含个人访问令牌或用户名和密码，则此控件将失败。

**注意**  
此控件会评估 CodeBuild 构建项目的主要来源和次要来源。有关项目源的更多信息，请参阅《AWS CodeBuild User Guide》**中的 [Multiple input sources and output artifacts sample](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html)。

登录凭证不应以明文形式存储或传输，也不应出现在源存储库 URL 中。与其使用个人访问令牌或登录凭证，您应该在中访问您的源提供商 CodeBuild，并将源存储库 URL 更改为仅包含 Bitbucket 存储库位置的路径。使用个人访问令牌或登录凭证可能会导致意外的数据泄露和未经授权的访问。

### 修复
<a name="codebuild-1-remediation"></a>

您可以更新您的 CodeBuild 项目以供使用 OAuth。

**从 CodeBuild 项目源中移除基本身份验证/(GitHub) 个人访问令牌**

1. 打开 CodeBuild 控制台，网址为[https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/)。

1. 选择包含个人访问令牌或用户名和密码的构建项目。

1. 从 **Edit（编辑）** 中，选择 **Source（源）**。

1. **从 GitHub /Bitbucket 中选择断开连接**。

1. 选择 “**使用连接**” OAuth，然后选择 “**连接到 GitHub /Bitbucke** t”。

1. 出现提示时，选择**相应授权**。

1. 根据需要，重新配置存储库 URL 和其他配置设置。

1. 选择**更新源**。

有关更多信息，请参阅《*AWS CodeBuild 用户指南》*中[基于CodeBuild 用例的示例](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html)。

## [CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证
<a name="codebuild-2"></a>

**相关要求：** NIST.800-53.r5 IA-5(7)、PCI DSS v3.2.1/8.2.1 NIST.800-53.r5 SA-3、PCI DSS v4.0.1/8.3.2

**类别：**保护 > 安全开发

**严重性：**严重

**资源类型：**`AWS::CodeBuild::Project`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)

**计划类型：**已触发变更

**参数：**无

该控制检查项目是否包含环境变量 `AWS_ACCESS_KEY_ID` 和 `AWS_SECRET_ACCESS_KEY`。

身份验证凭证 `AWS_ACCESS_KEY_ID` 和 `AWS_SECRET_ACCESS_KEY` 决不能以明文方式存储，因为这可能会导致意外的数据暴露和未经授权的访问。

### 修复
<a name="codebuild-2-remediation"></a>

要从 CodeBuild 项目中移除环境变量，请参阅*AWS CodeBuild 用户指南 AWS CodeBuild*[中的更改构建项目的设置](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html)。确保没有为**环境变量**选择任何内容。

您可以将带有敏感值的环境变量存储在 P AWS Systems Manager arameter Store 中 AWS Secrets Manager ，也可以从构建规范中检索它们。有关说明，请参阅 *AWS CodeBuild 用户指南*中[“环境”部分](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment)中标有**重要**的方框。

## [CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密
<a name="codebuild-3"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、nist.800-53.r5 SI- NIST.800-53.r5 SC-2 7 (6)、PCI DSS v4.0.1/10.3.2

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**低

**资源类型：**`AWS::CodeBuild::Project`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 AWS CodeBuild 项目的 Amazon S3 日志是否已加密。如果对 CodeBuild 项目的 S3 日志停用加密，则控制失败。

建议对静态数据进行加密，以在数据周围添加一层访问管理。对静态日志进行加密可以降低未经身份验证的 AWS 用户访问存储在磁盘上的数据的风险。它添加了另一组访问控制来限制未经授权的用户访问数据的能力。

### 修复
<a name="codebuild-3-remediation"></a>

要更改 CodeBuild 项目 S3 日志的加密设置，请参阅*AWS CodeBuild 用户指南 AWS CodeBuild*[中的更改构建项目的设置](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html)。

## [CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config
<a name="codebuild-4"></a>

**相关要求：** NIST.800-53.r5 AC-2(12)、(4)、(26)、 NIST.800-53.r5 AC-2 (9)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-4、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::CodeBuild::Project`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 CodeBuild 项目环境是否至少有一个日志选项，要么是 S3 日志选项，要么是启用了 CloudWatch 日志。如果 CodeBuild 项目环境没有启用至少一个日志选项，则此控件将失败。

从安全角度来看，日志记录是一项重要功能，可以在发生任何安全事件时为将来的取证工作提供支持。将 CodeBuild 项目中的异常与威胁检测关联起来，可以增强人们对这些威胁检测准确性的信心。

### 修复
<a name="codebuild-4-remediation"></a>

有关如何配置 CodeBuild 项目日志设置的更多信息，请参阅《 CodeBuild 用户指南》中的[创建构建项目（控制台）](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs)。

## [CodeBuild.5] CodeBuild 项目环境不应启用特权模式
<a name="codebuild-5"></a>

**重要**  
Security Hub CSPM 于 2024 年 4 月取消了该控制权。有关更多信息，请参阅 [Security Hub CSPM 控件的更改日志](controls-change-log.md)。

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 AC-6 (10)、 NIST.800-53.r5 AC-6 (2)

**类别：**保护 > 安全访问管理

**严重性：**高

**资源类型：**`AWS::CodeBuild::Project`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS CodeBuild 项目环境是启用还是禁用了特权模式。如果 CodeBuild 项目环境启用了特权模式，则控制失败。

默认情况下，Docker 容器不允许访问任何设备。特权模式将授予构建项目的 Docker 容器访问所有设备的权限。使用 `true` 值进行设置 `privilegedMode` 允许 Docker 进程守护程序在 Docker 容器内运行。Docker 进程守护程序侦听 Docker API 请求并管理 Docker 对象，例如映像、容器、网络和卷。仅当构建项目用于构建 Docker 映像时，才应将此参数设置为 true。否则，应禁用此设置，以防止意外访问 Docker APIs 以及容器的底层硬件。`privilegedMode` 设置为 `false` 有助于保护关键资源免遭篡改和删除。

### 修复
<a name="codebuild-5-remediation"></a>

要配置 CodeBuild 项目环境设置，请参阅*《CodeBuild 用户指南》*中的[创建构建项目（控制台）](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment)。在**环境**部分中，不要选择**特权**设置。

## [CodeBuild.7] 应对 CodeBuild 报告组导出进行静态加密
<a name="codebuild-7"></a>

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::CodeBuild::ReportGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)

**计划类型：**已触发变更

**参数：**无

此控件检查导出到亚马逊简单存储服务 (Amazon S3) Storage Service 存储桶 AWS CodeBuild 的报告组的测试结果是否经过静态加密。如果未对报告组进行静态加密，则此控件将失败。

静态数据是指存储在持久、非易失性存储介质中的数据，无论存储时长如何。对静态数据进行加密可帮助您保护数据的机密性，降低未经授权的用户访问这些数据的风险。

### 修复
<a name="codebuild-7-remediation"></a>

要加密导出到 S3 的报告组，请参阅《AWS CodeBuild User Guide》**中的 [Update a report group](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html)。

# 适用于 Amazon Profiler 的 Security Hub CSPM 控件 CodeGuru
<a name="codeguruprofiler-controls"></a>

这些 Security Hub CSPM 控件用于评估 Amazon CodeGuru Profiler 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组
<a name="codeguruprofiler-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::CodeGuruProfiler::ProfilingGroup`

**AWS Config 规则：**`codeguruprofiler-profiling-group-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 Amazon CodeGuru Profiler 分析组是否具有参数`requiredKeyTags`中定义的特定密钥的标签。如果分析组没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件会失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果分析组未使用任何键进行标记，则此控件会失效。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="codeguruprofiler-1-remediation"></a>

要向 CodeGuru Profiler 分析组添加标签，请参阅 A *mazon P CodeGuru rofiler* 用户指南中的为[分析组添加标签](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html)。

# 适用于 Amazon Reviewer 的 Security Hub CSPM 控件 CodeGuru
<a name="codegurureviewer-controls"></a>

这些 Security Hub CSPM 控件用于评估 Amazon CodeGuru Reviewer 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联
<a name="codegurureviewer-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::CodeGuruReviewer::RepositoryAssociation`

**AWS Config 规则：**`codegurureviewer-repository-association-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 Amazon CodeGuru Reviewer 存储库关联是否具有参数`requiredKeyTags`中定义的特定密钥的标签。如果存储库关联没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件会失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果存储库关联未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="codegurureviewer-1-remediation"></a>

要向 CodeGuru 审阅者存储库关联添加标签，请参阅 A *mazon Rev CodeGuru iewer 用户*[指南中的为存储库关联添加标签](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html)。

# 适用于亚马逊 Cognito 的 Security Hub CSPM 控件
<a name="cognito-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon Cognito 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Cognito.1] Cognito 用户池应激活威胁防护，并采用完全功能强制模式进行标准身份验证
<a name="cognito-1"></a>

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::Cognito::UserPool`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `SecurityMode`  |  控件检查的威胁防护强制模式。  |  字符串  |  `AUDIT`, `ENFORCED`  |  `ENFORCED`  | 

此控件检查 Amazon Cognito 用户池是否已激活威胁防护，并将强制模式设置为采用全功能进行标准身份验证。如果用户池已停用威胁防护，或者强制模式未设置为采用全功能进行标准身份验证，则该控件会失败。除非您提供自定义参数值，否则 Security Hub CSPM 将使用默认值`ENFORCED`作为标准身份验证的强制模式设置为全功能。

创建 Amazon Cognito 用户池后，您可以激活威胁防护并自定义针对不同风险采取的操作。或者，您可以使用审计模式收集与检测到的风险相关的指标，而无需应用任何安全缓解措施。在审计模式下，威胁防护会向 Amazon 发布指标 CloudWatch。在 Amazon Cognito 生成其第一个事件后，您即可看到指标。

### 修复
<a name="cognito-1-remediation"></a>

有关为 Amazon Cognito 用户池激活威胁防护的信息，请参阅《Amazon Cognito 开发人员指南》**中的[具备威胁防护的高级安全功能](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html)。

## [Cognito.2] Cognito 身份池不应允许未经身份验证的身份
<a name="cognito-2"></a>

**类别：**保护 > 安全访问管理 > 无密码身份验证

**严重性：**中

**资源类型：**`AWS::Cognito::IdentityPool`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon Cognito 身份池是否配置为允许未经身份验证的身份。如果激活身份池的访客访问权限（`AllowUnauthenticatedIdentities` 参数设置为 `true`），则该控件会失败。

如果 Amazon Cognito 身份池允许未经身份验证的身份，则该身份池将向尚未通过身份提供者进行身份验证的用户（访客）提供临时 AWS 证书。这会带来安全风险，因为它允许匿名访问 AWS 资源。如果您停用访客访问权限，则可以帮助确保只有经过适当身份验证的用户才能访问您的 AWS 资源，从而降低未经授权访问和潜在安全漏洞的风险。作为最佳实践，身份池应要求通过支持的身份提供者进行身份验证。如果需要未经身份验证的访问，请务必谨慎限制未经身份验证的身份的权限，并定期审查和监控其使用情况。

### 修复
<a name="cognito-2-remediation"></a>

有关停用 Amazon Cognito 身份池的访客访问权限的信息，请参阅《Amazon Cognito 开发人员指南》**中的[激活或停用访客访问权限](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities)。

## [Cognito.3] Cognito 用户池的密码策略应具有可靠的配置
<a name="cognito-3"></a>

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::Cognito::UserPool`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `minLength`  | 密码必须包含的最少字符数。 | 整数 | `8` 到 `128` | `8 ` | 
|  `requireLowercase`  | 密码中要求至少包含一个小写字符。 | 布尔值 | `True`, `False` | `True`  | 
|  `requireUppercase`  | 密码中要求至少包含一个大写字符。 | 布尔值 | `True`, `False` | `True`  | 
|  `requireNumbers`  | 密码中要求至少包含一个数字。 | 布尔值 | `True`, `False` | `True`  | 
|  `requireSymbols`  | 密码中要求至少包含一个符号。 | 布尔值 | `True`, `False` | `True`  | 
|  `temporaryPasswordValidity`  | 密码过期前可以存在的最长天数。 | 整数 | `7` 到 `365` | `7`  | 

此控件根据密码策略的推荐设置，检查 Amazon Cognito 用户池的密码策略是否要求使用强密码。如果用户池的密码策略不要求使用强密码，则此控件会失败。您可以选择为控件检查的策略设置指定自定义值。

强密码是 Amazon Cognito 用户池的一项安全最佳实践。弱密码可以将用户的凭证暴露给会猜测密码并尝试访问数据的系统。对于向互联网开放的应用程序来说尤其如此。密码策略是用户目录安全的核心要素。通过使用密码策略，您可以配置用户池，使其要求密码复杂度和其他符合您的安全标准和要求的设置。

### 修复
<a name="cognito-3-remediation"></a>

有关创建或更新 Amazon Cognito 用户池的密码策略的信息，请参阅《Amazon Cognito 开发人员指南》**中的[添加用户池密码要求](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies)。

## [Cognito.4] Cognito 用户池应激活威胁防护，并使用全功能强制模式进行自定义身份验证
<a name="cognito-4"></a>

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::Cognito::UserPool`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon Cognito 用户池是否已激活威胁防护，并将强制模式设置为完整功能以进行自定义身份验证。如果用户池禁用了威胁防护，或者自定义身份验证的强制模式未设置为完整功能，则控制失败。

威胁防护（此前称为高级安全功能）是一组监控用户池中不必要活动的工具，也是用于自动关闭潜在恶意活动的配置工具。创建 Amazon Cognito 用户池后，您可以激活具有全功能强制模式的威胁防护，以进行自定义身份验证，并自定义为应对不同风险而采取的操作。全功能模式包括一组自动反应，用于检测不想要的活动和泄露的密码。

### 修复
<a name="cognito-4-remediation"></a>

有关为 Amazon Cognito 用户池激活威胁防护的信息，请参阅《Amazon Cognito 开发人员指南》**中的[具备威胁防护的高级安全功能](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html)。

## [Cognito.5] 应为 Cognito 用户池启用 MFA
<a name="cognito-5"></a>

**类别：**保护 > 安全访问管理 > 多因素身份验证

**严重性：**中

**资源类型：**`AWS::Cognito::UserPool`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查配置了仅限密码登录策略的 Amazon Cognito 用户池是否启用了多重身份验证 (MFA)。如果配置了仅限密码登录策略的用户池未启用 MFA，则控制失败。

多重身份验证 (MFA) 在你知道的因素（通常是用户名和密码）中添加了一个你有身份验证因子。对于联合用户，Amazon Cognito 将身份验证委托给身份提供者 (IdP)，并且不提供额外的身份验证因素。但是，如果您的本地用户具有密码身份验证，则为用户池配置 MFA 可以提高他们的安全性。

**注意**  
此控件不适用于联合用户和使用无密码因素登录的用户。

### 修复
<a name="cognito-5-remediation"></a>

*有关如何为 Amazon Cognito 用户池配置 MFA 的信息，请参阅 Amazon Cognito 开发者指南[中的向用户池添加 MFA](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html)。*

## [Cognito.6] Cognito 用户池应启用删除保护
<a name="cognito-6"></a>

**类别：**保护 > 数据保护 > 数据删除保护

**严重性：**中

**资源类型：**`AWS::Cognito::UserPool`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 Amazon Cognito 用户池是否启用了删除保护。如果禁用了用户池的删除保护，则控件将失败。

删除保护有助于确保您的用户池不会被意外删除。在为用户池配置删除保护时，任何用户都无法删除该池。删除保护可防止您请求删除用户池，除非您先修改用户池并停用删除保护。

### 修复
<a name="cognito-6-remediation"></a>

要为 Amazon Cognito 用户池配置删除保护，请参阅 A *mazon Cognito* 开发者指南中的[用户池删除保护](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html)。

# Security Hub CSPM 控件适用于 AWS Config
<a name="config-controls"></a>

这些 Security Hub CSPM 控件用于评估 AWS Config 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录
<a name="config-1"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/3.3、CIS 基金会基准 v1.2.0/2.5、CIS AWS 基金会基准 v1.4.0/3.5、CIS 基金会基准 v3.0.0/3.3、nist.800-53.r5 C AWS M-3、nist.800-53.r5 C AWS M-8、nist.800-53.r5 CM-8 (2))、PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/11.5

**类别：**识别 > 清单

**严重性：**严重

**资源类型：**`AWS::::Account`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `includeConfigServiceLinkedRoleCheck`  |  如果参数设置为，则控件不会评估是否 AWS Config 使用服务相关角色。`false`  |  布尔值  |  `true` 或者 `false`  |  `true`  | 

此控件检查您的账户当前 AWS Config 是否已启用 AWS 区域，记录与当前区域中启用的控件对应的所有资源，并使用[服务相关 AWS Config 角色](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)。服务相关角色的名称是**AWSServiceRoleForConfig**。如果您不使用服务相关角色且未将`includeConfigServiceLinkedRoleCheck`参数设置为`false`，则控制失败，因为其他角色可能不具备准确记录您的资源的必要权限。 AWS Config 

该 AWS Config 服务对您的账户中支持的 AWS 资源执行配置管理，并向您提供日志文件。记录的信息包括配置项目（AWS 资源）、配置项目之间的关系以及资源中的任何配置更改。全局资源是指在任何区域中都可用的资源。

控件评估方式如下：
+ 如果将当前区域设置为[聚合区域](finding-aggregation.md)，则只有在记录 AWS Identity and Access Management (IAM) 全球资源时（如果您启用了需要这些资源的控件），控件才会生成`PASSED`调查结果。
+ 如果将当前区域设置为关联区域，则此控件不会评估是否记录了 IAM 全局资源。
+ 如果当前区域不在您的聚合器中，或者您的账户中未设置跨区域聚合，则此控件仅在记录了 IAM 全局资源（如果您启用了需要这些资源的控件）时，才会生成 `PASSED` 调查发现。

无论您选择每天还是连续记录 AWS Config中资源状态的变化，都不会影响控件的结果。但是，如果您配置了自动启用新控件或具有自动启用新控件的中心配置策略，则在发布新控件时，此控件的结果可能会发生变化。在这些情况下，如果您没有记录所有资源，则必须配置与新控件关联的资源记录才能获得 `PASSED` 调查发现。

Security Hub CSPM 安全检查只有 AWS Config 在所有区域中启用并针对需要它的控制配置资源记录时，才能按预期运行。

**注意**  
Config.1 要求 AWS Config 在您使用 Security Hub CSPM 的所有区域中启用该功能。  
由于 Security Hub CSPM 是一项区域服务，因此对该控件执行的检查仅评估账户的当前区域。  
要允许针对每个区域中的 IAM 全局资源进行安全检查，您还必须记录该区域中的 IAM 全局资源。未记录 IAM 全局资源的区域将收到用于检查 IAM 全局资源的控件的默认 `PASSED` 调查发现。由于 IAM 全球资源各不相同 AWS 区域，因此我们建议您仅在本地区记录 IAM 全球资源（如果您的账户中启用了跨区域聚合）。IAM 资源将仅记录在已开启全局资源记录的区域中。  
 AWS Config 支持的 IAM 全球记录资源类型包括 IAM 用户、群组、角色和客户托管策略。您可以考虑在关闭全局资源记录的区域禁用用于检查这些资源类型的 Security Hub CSPM 控件。有关更多信息，请参阅 [建议在 Security Hub CSPM 中禁用的控件](controls-to-disable.md)。

### 修复
<a name="config-1-remediation"></a>

在主区域和不属于聚合器的区域中，请记录当前区域中启用的控件所需的所有资源，包括 IAM 全局资源（如果您启用了需要 IAM 全局资源的控件）。

在关联的区域中，只要您 AWS Config 录制的是与当前区域中启用的控件相对应的所有资源，您就可以使用任何录制模式。在关联区域中，如果您启用了需要记录 IAM 全局资源的控件，则不会收到 `FAILED` 调查发现（您对其他资源的记录就已足够）。

调查发现的 `Compliance` 对象中的 `StatusReasons` 字段可帮助您确定此控件具有失败的调查发现的原因。有关更多信息，请参阅 [控件调查发现的合规性详细信息](controls-findings-create-update.md#control-findings-asff-compliance)。

有关必须为每个控件记录哪些资源的列表，请参阅[控制结果所需的 AWS Config 资源](controls-config-resources.md)。有关启用 AWS Config 和配置资源记录的一般信息，请参阅[为 Security Hub CSPM 启用和配置 AWS Config](securityhub-setup-prereqs.md)。

# 适用于 Amazon Connect 的 Security Hub CSPM 控件
<a name="connect-controls"></a>

这些 Security Hub CSPM 控件会评估 Amazon Connect 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型
<a name="connect-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::CustomerProfiles::ObjectType`

**AWS Config 规则：**`customerprofiles-object-type-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 Amazon Connect Customer Profiles 对象类型是否具有带特定键的标签，这些键在 `requiredKeyTags` 参数中进行定义。如果对象类型没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件会失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果对象类型未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="connect-1-remediation"></a>

要向 Customer Profiles 对象类型添加标签，请参阅《Amazon Connect 管理员指南》**中的[为 Amazon Connect 中的资源添加标签](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html)。

## [Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch
<a name="connect-2"></a>

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::Connect::Instance`

**AWS Config 规则：**[connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon Connect 实例是否配置为生成流日志并将其存储在亚马逊 CloudWatch 日志组中。如果 Amazon Connect 实例未配置为在日志组中生成和存储流日志， CloudWatch 则控制失败。

Amazon Connect 流日志提供有关 Amazon Connect 流中事件的实时详细信息。*流*定义客户在使用 Amazon Connect 联系中心时从开始到结束的体验。默认情况下，当您创建新的 Amazon Connect 实例时，系统会自动创建一个 Amazon CloudWatch 日志组来存储该实例的流日志。流日志可以帮助您分析流、发现错误和监控运营指标。您还可以为流中可能发生的特定事件设置警报。

### 修复
<a name="connect-2-remediation"></a>

有关为 Amazon Connect 实例[启用流日志的信息，请参阅 Amazon Connect *管理员指南中的在亚马逊 CloudWatch 日志组中启用 Amazon Connect* 流日](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html)志。

# 适用于亚马逊 Data Firehose 的 Security Hub CSPM 控件
<a name="datafirehose-controls"></a>

这些 Security Hub CSPM 控件用于评估 Amazon Data Firehose 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [DataFirehose.1] Firehose 传输流应在静态状态下进行加密
<a name="datafirehose-1"></a>

**相关要求：** NIST.800-53.r5 AC-3、 NIST.800-53.r5 AU-3, NIST.800-53.r5 SC-1 2、 NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::KinesisFirehose::DeliveryStream`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)

**计划类型：**定期

**参数：**无 

此控件可检查是否使用服务器端加密对 Amazon Data Firehose 传输流进行静态加密。如果未使用服务器端加密对 Firehose 传输流进行静态加密，则此控件将失败。

服务器端加密是 Amazon Data Firehose 交付流中的一项功能，它使用在 () 中创建 AWS Key Management Service 的密钥在数据静止之前自动对其进行加密。AWS KMS在数据写入 Data Firehose 流存储层之前对其进行加密，并在存储中检索之后进行解密。这样，您就可以遵守监管要求并增强您数据的安全性。

### 修复
<a name="datafirehose-1-remediation"></a>

要在 Firehose 传输流上启用服务器端加密，请参阅《Amazon Data Firehose 开发人员指南》**中的 [Amazon Data Firehose 中的数据保护](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html)。

# Security Hub CSPM 控件适用于 AWS Database Migration Service
<a name="dms-controls"></a>

这些 AWS Security Hub CSPM 控件会评估 AWS Database Migration Service (AWS DMS) 和 AWS DMS 资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [DMS.1] Database Migration Service 复制实例不应公开
<a name="dms-1"></a>

**相关要求：** NIST.800-53.r5 AC-21、、 NIST.800-53.r5 AC-3（7）、（21） NIST.800-53.r5 AC-3、、（11）、（16） NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4（20）、（21）、（3） NIST.800-53.r5 AC-6、（4） NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7（9）、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.2 2.1/1.3.6，PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**严重

**资源类型：**`AWS::DMS::ReplicationInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)

**计划类型：**定期

**参数：**无

此控件检查 AWS DMS 复制实例是否为公共实例。为此，它会检查 `PubliclyAccessible` 字段的值。

私有复制实例具有私有 IP 地址，您无法在复制网络外部访问该地址。当源数据库和目标数据库位于同一网络时，复制实例应具有私有 IP 地址。还必须使用 VPN 或 VPC 对等连接将网络连接到复制实例的 VPC。 Direct Connect要了解有关公有和私有复制实例的更多信息，请参阅 *AWS Database Migration Service 用户指南*中的[公有和私有复制实例](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate)。

您还应确保只有经过授权的用户才能访问您的 AWS DMS 实例配置。为此，请限制用户修改 AWS DMS 设置和资源的 IAM 权限。

### 修复
<a name="dms-1-remediation"></a>

创建 DMS 复制实例后，您无法变更其公共访问设置。要变更公共访问设置，[请删除您当前的实例](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html)，然后[重新创建实例](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html)。不要选择**公开访问**选项。

## [DMS.2] 应标记 DMS 证书
<a name="dms-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::DMS::Certificate`

**AWS Config 规则:**`tagged-dms-certificate`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS DMS 证书是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果证书没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查标是否存在签密键，如果证书未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="dms-2-remediation"></a>

要向 DMS 证书添加标签，请参阅《AWS Database Migration Service User Guide》**中的 [Tagging resources in AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html)。

## [DMS.3] 应标记 DMS 活动订阅
<a name="dms-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::DMS::EventSubscription`

**AWS Config 规则:**`tagged-dms-eventsubscription`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS DMS 事件订阅是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果事件订阅没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果事件订阅未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="dms-3-remediation"></a>

要向 DMS 事件订阅添加标签，请参阅《AWS Database Migration Service User Guide》**中的 [Tagging resources in AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html)。

## [DMS.4] 应标记 DMS 复制实例
<a name="dms-4"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::DMS::ReplicationInstance`

**AWS Config 规则:**`tagged-dms-replicationinstance`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS DMS 复制实例是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果复制实例没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果复制实例未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="dms-4-remediation"></a>

要向 DMS 复制实例添加标签，请参阅《AWS Database Migration Service User Guide》**中的 [Tagging resources in AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html)。

## [DMS.5] 应标记 DMS 复制子网组
<a name="dms-5"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::DMS::ReplicationSubnetGroup`

**AWS Config 规则:**`tagged-dms-replicationsubnetgroup`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS DMS 复制子网组是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果复制子网组没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果复制子网组未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="dms-5-remediation"></a>

要向 DMS 复制子网组添加标签，请参阅《AWS Database Migration Service User Guide》**中的 [Tagging resources in AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html)。

## [DMS.6] DMS 复制实例应启用自动次要版本升级
<a name="dms-6"></a>

**相关要求：**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2（2）、NIST.800-53.r5 SI-2（4）、NIST.800-53.r5 SI-2（5）、PCI DSS v4.0.1/6.3.3

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**中

**资源类型：**`AWS::DMS::ReplicationInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否为 AWS DMS 复制实例启用了自动次要版本升级。如果未为 DMS 复制实例启用自动次要版本升级，则控制失败。

DMS 为每个支持的复制引擎提供自动次要版本升级，以便您可以保留复制实例 up-to-date。次要版本可以引入新的软件功能、错误修复、安全补丁和性能改进。通过在 DMS 复制实例上启用自动次要版本升级，可以在维护时段内自动应用次要升级，或者如果**选择了“立即应用变更”选项**，则会立即应用次要升级。

### 修复
<a name="dms-6-remediation"></a>

要在 DMS 复制实例上启用自动次要版本升级，请参阅 *AWS Database Migration Service 用户指南*中的[修改复制实例](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html)。

## [DMS.7] 目标数据库的 DMS 复制任务应启用日志记录
<a name="dms-7"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::DMS::ReplicationTask`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否启用了日志记录，并且 DMS 复制任务 `TARGET_APPLY` 和 `TARGET_LOAD` 的最低严重级别为 `LOGGER_SEVERITY_DEFAULT`。如果未为这些任务启用日志记录，或者最低严重性级别低于 `LOGGER_SEVERITY_DEFAULT`，则控制失败。

在迁移过程中，DMS 使用 Amazon CloudWatch 来记录信息。使用日志记录任务设置，您可以指定记录哪些组件活动以及记录多少信息。您应该为以下任务指定日志记录：
+ `TARGET_APPLY`：数据和数据定义语言（DDL）语句应用于目标数据库。
+ `TARGET_LOAD`——数据将加载到目标数据库中。

日志记录通过启用监控、故障排除、审核、性能分析、错误检测和恢复以及历史分析和报告，在 DMS 复制任务中发挥着关键作用。日志记录有助于确保数据库之间数据的成功复制，同时保持数据完整性并符合法规要求。在故障排除期间，这些组件很少需要除了 `DEFAULT` 以外的其他日志级别。除非特别要求由 支持变更这些组件的日志级别，否则我们建议保留这些组件的日志级别 `DEFAULT`。最低日志级别为 `DEFAULT` 可确保将信息性消息、警告和错误消息写入日志。此控件检查上述复制任务的日志记录级别是否至少为以下级别之一：`LOGGER_SEVERITY_DEFAULT`、`LOGGER_SEVERITY_DEBUG` 或 `LOGGER_SEVERITY_DETAILED_DEBUG`。

### 修复
<a name="dms-7-remediation"></a>

要启用目标数据库 DMS 复制任务的日志记录，请参阅*《AWS Database Migration Service 用户指南》*中的[查看和管理 AWS DMS 任务日志](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs)。

## [DMS.8] 源数据库的 DMS 复制任务应启用日志记录
<a name="dms-8"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::DMS::ReplicationTask`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否启用了日志记录，并且 DMS 复制任务 `SOURCE_CAPTURE` 和 `SOURCE_UNLOAD` 的最低严重级别为 `LOGGER_SEVERITY_DEFAULT`。如果未为这些任务启用日志记录，或者最低严重性级别低于 `LOGGER_SEVERITY_DEFAULT`，则控制失败。

在迁移过程中，DMS 使用 Amazon CloudWatch 来记录信息。使用日志记录任务设置，您可以指定记录哪些组件活动以及记录多少信息。您应该为以下任务指定日志记录：
+ `SOURCE_CAPTURE`：正在进行的复制或变更数据捕获（CDC）数据从源数据库或服务中捕获，并传递到 `SORTER` 服务组件。
+ `SOURCE_UNLOAD`——数据在满负荷期间从源数据库或服务中卸载。

日志记录通过启用监控、故障排除、审核、性能分析、错误检测和恢复以及历史分析和报告，在 DMS 复制任务中发挥着关键作用。日志记录有助于确保数据库之间数据的成功复制，同时保持数据完整性并符合法规要求。在故障排除期间，这些组件很少需要除了 `DEFAULT` 以外的其他日志级别。除非特别要求由 支持变更这些组件的日志级别，否则我们建议保留这些组件的日志级别 `DEFAULT`。最低日志级别为 `DEFAULT` 可确保将信息性消息、警告和错误消息写入日志。此控件检查上述复制任务的日志记录级别是否至少为以下级别之一：`LOGGER_SEVERITY_DEFAULT`、`LOGGER_SEVERITY_DEBUG` 或 `LOGGER_SEVERITY_DETAILED_DEBUG`。

### 修复
<a name="dms-8-remediation"></a>

要启用源数据库 DMS 复制任务的日志记录，请参阅*《AWS Database Migration Service 用户指南》*中的[查看和管理 AWS DMS 任务日志](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs)。

## [DMS.9] DMS 端点应使用 SSL
<a name="dms-9"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 3、3 ( NIST.800-53.r5 SC-23)、( NIST.800-53.r5 SC-23)、(4)、 NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2)、PCI DSS v4.0.1/4.2.1

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::DMS::Endpoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS DMS 端点是否使用 SSL 连接。如果端点不使用 SSL，则控制失败。

SSL/TLS 连接通过加密 DMS 复制实例与数据库之间的连接来提供一层安全性。使用证书通过验证是否与预期数据库建立连接来提供额外的安全保护。它通过检查自动安装在您预置的所有数据库实例上的服务器证书来实现这一点。通过在 DMS 端点上启用 SSL 连接，您可以在迁移过程中保护数据的机密性。

### 修复
<a name="dms-9-remediation"></a>

要向新的或现有的 DMS 端点添加 SSL 连接，请参阅 *AWS Database Migration Service 用户指南*中的[将 SSL 与 AWS Database Migration Service配合使用](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure)。

## [DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权
<a name="dms-10"></a>

**相关要求：** NIST.800-53.r5 AC-2、、、 NIST.800-53.r5 AC-1 7 NIST.800-53.r5 AC-3、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5、PCI DSS v4.0.1/7.3.1

**类别：**保护 > 安全访问管理 > 无密码身份验证

**严重性：**中

**资源类型：**`AWS::DMS::Endpoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon Neptune 数据库的 AWS DMS 终端节点是否配置了 IAM 授权。如果 DMS 端点未启用 IAM 授权，则此控件将失败。

AWS Identity and Access Management (IAM) 提供细粒度的访问控制。 AWS通过 IAM，您可以指定谁可以在哪些条件下访问哪些服务和资源。使用 IAM 策略，您可以管理员工和系统的权限，以确保最低权限。通过在 Neptune 数据库的 AWS DMS 终端节点上启用 IAM 授权，您可以使用参数指定的服务角色向 IAM 用户授予授权权限。`ServiceAccessRoleARN`

### 修复
<a name="dms-10-remediation"></a>

要在 Neptune 数据库的 DMS 端点上启用 IAM 授权，请参阅《AWS Database Migration Service User Guide》**中的 [Using Amazon Neptune as a target for AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html)。

## [DMS.11] MongoDB 的 DMS 端点应启用身份验证机制
<a name="dms-11"></a>

**相关要求：** NIST.800-53.r5 AC-3、、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5、PCI DSS v4.0.1/7.3.1

**类别：**保护 > 安全访问管理 > 无密码身份验证

**严重性：**中

**资源类型：**`AWS::DMS::Endpoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 MongoDB 的 AWS DMS 端点是否配置了身份验证机制。如果没有为该端点设置身份验证类型，则此控件将失败。

AWS Database Migration Service **支持 MongoDB 的两种身份验证方法：MongoDB 版本 2.x 的 **MONGODB-CR 和** MongoDB 版本 3.x 或更高版本的 SCRAM-SHA-1。**如果用户想使用密码访问数据库，则使用这些身份验证方法对 MongoDB 密码进行身份验证和加密。 AWS DMS 端点身份验证可确保只有经过授权的用户才能访问和修改数据库之间迁移的数据。如果没有适当的身份验证，未经授权的用户可能会在迁移过程中访问敏感数据。这样可能导致数据泄露、数据丢失或其他安全事件。

### 修复
<a name="dms-11-remediation"></a>

要在 MongoDB 的 DMS 端点上启用身份验证机制，请参阅《AWS Database Migration Service User Guide》**中的 [Using MongoDB as a source for AWS DMS](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html)。

## [DMS.12] Redis OSS 的 DMS 端点应启用 TLS
<a name="dms-12"></a>

**相关要求：** NIST.800-53.r5 SC-8， NIST.800-53.r5 SC-13，PCI DSS v4.0.1/4.2.1

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::DMS::Endpoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Redis OSS 的 AWS DMS 终端节点是否配置了 TLS 连接。如果该端点未启用 TLS，则此控件将失败。

当数据通过互联网在应用程序或数据库之间发送时，TLS 可提供 end-to-end安全性。当您为 DMS 端点配置 SSL 加密时，其会在迁移过程中启用源数据库和目标数据库之间的加密通信。这有助于防止恶意行为者侦听和拦截敏感数据。如果没有 SSL 加密，敏感数据可能会被访问，从而导致数据泄露、数据丢失或其他安全事件。

### 修复
<a name="dms-12-remediation"></a>

要在 Redis 的 DMS 端点上启用 TLS 连接，请参阅《AWS Database Migration Service User Guide》**中的 [Using Redis as a target for AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html)。

## [DMS.13] DMS 复制实例应配置为使用多个可用区
<a name="dms-13"></a>

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::DMS::ReplicationInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS Database Migration Service (AWS DMS) 复制实例是否配置为使用多个可用区（多可用区部署）。如果 AWS DMS 复制实例未配置为使用多可用区部署，则该控件会失败。

在多可用区部署中，在不同的可用区 (AZ) 中 AWS DMS 自动配置和维护复制实例的备用副本。然后，主复制实例将同步复制到备用副本。如果主复制实例发生故障或没有响应，备用副本将以最少中断恢复任何正在运行的任务。有关更多信息，请参阅《AWS Database Migration Service 用户指南》**中的 [Working with a replication instance](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html)。

### 修复
<a name="dms-13-remediation"></a>

创建 AWS DMS 复制实例后，您可以更改其多可用区部署设置。有关更改现有复制实例的此设置和其他设置的信息，请参阅《AWS Database Migration Service 用户指南》**中的[修改复制实例](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html)。

# Security Hub CSPM 控件适用于 AWS DataSync
<a name="datasync-controls"></a>

这些 Security Hub CSPM 控件用于评估 AWS DataSync 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [DataSync.1] DataSync 任务应启用日志记录
<a name="datasync-1"></a>

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::DataSync::Task`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS DataSync 任务是否启用了日志记录。如果任务未启日志记录，则此控件将失败。

审计日志跟踪和监控系统活动。它们提供了事件记录，可以帮助您检测安全漏洞、调查事件并遵守法规。审计日志还可以增强组织的整体问责制并提高组织透明度。

### 修复
<a name="datasync-1-remediation"></a>

有关为 AWS DataSync 任务配置日志的信息，请参阅*AWS DataSync 用户指南*中的[使用 Amazon CloudWatch Logs 监控数据传输](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html)。

## [DataSync.2] 应标记 DataSync 任务
<a name="datasync-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::DataSync::Task`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 AWS DataSync 任务是否具有`requiredKeyTags`参数指定的标签密钥。如果任务没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果任务没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="datasync-2-remediation"></a>

有关为 AWS DataSync 任务添加标签的信息，请参阅《*AWS DataSync 用户指南》*中的为[AWS DataSync 任务添加标签](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html)。

# 适用于 Amazon Detective 的 Security Hub CSPM 控件
<a name="detective-controls"></a>

此 AWS Security Hub CSPM 控件用于评估 Amazon Detective 服务和资源。该控件可能并非在所有 AWS 区域都可用。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Detective.1] 应标记 Detective 行为图
<a name="detective-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Detective::Graph`

**AWS Config 规则:**`tagged-detective-graph`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon Detective 行为图是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果行为图没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供参数 `requiredTagKeys`，则此控件仅检查是否存在标签键，如果行为图未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="detective-1-remediation"></a>

要向 Detective 行为图添加标签，请参阅《Amazon Detective Administration Guide》**中的 [Adding tags to a behavior graph](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console)。

# 适用于亚马逊 DocumentDB 的 Security Hub CSPM 控件
<a name="documentdb-controls"></a>

这些 AWS Security Hub CSPM 控件评估亚马逊文档数据库（兼容 MongoDB）服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [DocumentDB.1] Amazon DocumentDB 集群应进行静态加密
<a name="documentdb-1"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon DocumentDB 集群是否进行静态加密。如果 Amazon DocumentDB 集群未进行静态加密，则控制失败。

静态数据指的是存储在持久、非易失性存储介质中的任何数据，无论存储时长如何。加密可帮助您保护此类数据的机密性，降低未经授权的用户访问这些数据的风险。Amazon DocumentDB 集群中的数据应进行静态加密，以增加安全性。Amazon DocumentDB 使用 256 位高级加密标准（AES-256），使用 AWS Key Management Service （AWS KMS）中存储的加密密钥来加密您的数据。

### 修复
<a name="documentdb-1-remediation"></a>

您可以在创建 Amazon DocumentDB 集群时启用静态加密。创建集群后，您将无法变更加密设置。有关更多信息，请参阅 *Amazon DocumentDB 开发人员指南*中的[为 Amazon DocumentDB 集群启用静态加密](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling)。

## [DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期
<a name="documentdb-2"></a>

**相关要求：**NIST.800-53.r5 SI-12、PCI DSS v4.0.1/3.2.1

**类别：**恢复 > 弹性 > 启用备份

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  最小备份保留期（以天为单位）  |  整数  |  `7` 到 `35`  |  `7`  | 

此控件检查 Amazon DocumentDB 集群的备份保留期是否大于或等于指定时间范围。如果备份保留期小于指定时间范围，则控制失败。除非您为备份保留期提供自定义参数值，否则 Security Hub CSPM 将使用默认值 7 天。

备份可帮助您更快地从安全事件中恢复并增强系统的故障恢复能力。通过自动备份 Amazon DocumentDB 集群，您将能够将系统恢复到某个时间点并最大限度地减少停机时间和数据丢失。在 Amazon DocumentDB 中，集群的默认备份保留期为 1 天。必须将其增加到 7 到 35 天之间的值才能通过此控件。

### 修复
<a name="documentdb-2-remediation"></a>

要变更 Amazon DocumentDB 集群的备份保留期，请参阅 *Amazon DocumentDB 开发人员指南*中的[修改 Amazon DocumentDB 集群](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html)。对于**备份**，选择备份保留期。

## [DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开
<a name="documentdb-3"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、、(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**类别：**保护 > 安全网络配置

**严重性：**严重

**资源类型：**`AWS::RDS::DBClusterSnapshot`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon DocumentDB 手动集群快照是否是公开的。如果手动集群快照是公共的，则控制失败。

除非有意图，否则 Amazon DocumentDB 手动集群快照不应公开。如果您将未加密的手动快照公开共享，则该快照可供所有 AWS 账户使用。公开快照可能会导致意外的数据泄露。

**注意**  
此控件评估手动集群快照。您无法共享 Amazon DocumentDB 自动集群快照。但是，您可以通过复制自动快照来创建手动快照，然后共享该副本。

### 修复
<a name="documentdb-3-remediation"></a>

要移除对 Amazon DocumentDB 手动集群快照的公开访问权限，请参阅 *Amazon DocumentDB 开发人员指南*中的[共享快照](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots)。通过编程方式，您可以使用 Amazon DocumentDB `modify-db-snapshot-attribute` 操作。将 `attribute-name` 设置为 `restore`，并将 `values-to-remove` 设置为 `all`。

## [documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch
<a name="documentdb-4"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.3.3 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon DocumentDB 集群是否将审核日志发布到亚马逊 CloudWatch 日志。如果集群不向日志发布审核日 CloudWatch 志，则控制失败。

Amazon DocumentDB（与 MongoDB 兼容）允许您审核在集群中执行的事件。记录的事件的示例包括成功和失败的身份验证尝试、删除数据库中的集合或创建索引。默认情况下，审计在 Amazon DocumentDB 中处于禁用状态，需要您采取措施才能启用审计。

### 修复
<a name="documentdb-4-remediation"></a>

要将 Amazon DocumentDB 审计日志发布到 CloudWatch 日志，请参阅*亚马逊 DocumentDB 开发者指南*中的[启用审计](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing)。

## [DocumentDB.5] Amazon DocumentDB 集群应启用删除保护
<a name="documentdb-5"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**类别：**保护 > 数据保护 > 数据删除保护

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon DocumentDB 集群是否已启用删除保护。如果集群未启用删除保护，则控制失败。

启用集群删除保护可提供额外保护，防止数据库意外删除或未经授权的用户删除。在启用删除保护时，无法删除 Amazon DocumentDB 集群。您必须先禁用删除保护，删除请求才能成功。当您在 Amazon DocumentDB 控制台中创建集群时，删除保护默认启用。

### 修复
<a name="documentdb-5-remediation"></a>

要为现有 Amazon DocumentDB 集群启用删除保护，请参阅 *Amazon DocumentDB 开发人员指南*中的[修改 Amazon DocumentDB 集群](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html)。在**修改集群**部分中，为**删除保护**选择**启用**。

## [DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密
<a name="documentdb-6"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)

**计划类型：**定期

**参数：** `excludeTlsParameters`：`disabled`、`enabled`（不可自定义）

此控件检查 Amazon DocumentDB 集群是否需要 TLS 才能连接到集群。如果与集群关联的集群参数组不同步，或者 TLS 集群参数设置为 `disabled` 或 `enabled`，则该控件会失败。

您可以使用 TLS 加密应用程序与 Amazon DocumentDB 集群之间的连接。使用 TLS 可帮助防止数据在应用程序和 Amazon DocumentDB 集群之间传输时被拦截。Amazon DocumentDB 集群的传输中加密通过与该集群关联的集群参数组中的 TLS 参数进行管理。启用传输中加密后，需要使用 TLS 进行安全连接才能连接到集群。我们建议使用以下 TLS 参数：`tls1.2+`、`tls1.3+` 和 `fips-140-3`。

### 修复
<a name="documentdb-6-remediation"></a>

有关更改 Amazon DocumentDB 集群的 TLS 设置的信息，请参阅《Amazon DocumentDB 开发人员指南》**中的[加密传输中数据](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html)。

# 适用于 DynamoDB 的 Security Hub CSPM 控件
<a name="dynamodb-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估亚马逊 DynamoDB 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [DynamoDB.1] DynamoDB 表应根据需求自动扩展容量
<a name="dynamodb-1"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::DynamoDB::Table`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 有效的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `minProvisionedReadCapacity`  |  DynamoDB 自动扩缩的预置读取容量单位的最小数量  |  整数  |  `1` 到 `40000`  |  无默认值  | 
|  `targetReadUtilization`  |  读取容量的目标使用率百分比  |  整数  |  `20` 到 `90`  |  无默认值  | 
|  `minProvisionedWriteCapacity`  |  DynamoDB 自动扩缩的预置写入容量单位的最小数量  |  整数  |  `1` 到 `40000`  |  无默认值  | 
|  `targetWriteUtilization`  |  写入容量的目标使用率百分比  |  整数  |  `20` 到 `90`  |  无默认值  | 

此控件检查 Amazon DynamoDB 表是否可以根据需要扩展其读取和写入容量。如果表不使用按需容量模式或配置了自动扩缩的预置模式，则控制失败。默认情况下，此控件只需要配置其中一种模式，而不考虑特定的读取或写入容量级别。或者，您可以提供自定义参数值，以便要求特定的读取和写入容量级别或目标利用率。

按需扩展容量可以避免节流异常，这有助于保持应用程序的可用性。使用按需容量模式的 DynamoDB 表仅受 DynamoDB 吞吐量默认表配额的限制。要提高这些配额，您可以向提交支持请求 支持。使用预置模式且具有自动扩缩功能的 DynamoDB 表会根据流量模式动态调整预置的吞吐能力。有关 DynamoDB 请求节流的更多信息，请参阅《Amazon DynamoDB 开发人员指南》**中的[请求节流和容量暴增](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling)。

### 修复
<a name="dynamodb-1-remediation"></a>

要在容量模式下对现有表启用 DynamoDB 自动扩缩，请参阅《Amazon DynamoDB 开发人员指南》**中的[在现有表上启用 DynamoDB 自动扩缩](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable)。

## [DynamoDB.2] DynamoDB 表应该启用恢复功能 point-in-time
<a name="dynamodb-2"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-12、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 启用备份

**严重性：**中

**资源类型：**`AWS::DynamoDB::Table`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否为亚马逊 DynamoDB 表启用了 point-in-time恢复 (PITR)。

备份可以帮助您更快地从安全事件中恢复。它们还增强了系统的故障恢复能力。DynamoDB 恢复功能可 point-in-time自动对 DynamoDB 表进行备份。它可以缩短从意外删除或写入操作中恢复的时间。启用 PITR 的 DynamoDB 表可以恢复到过去 35 天内的任何时间点。

### 修复
<a name="dynamodb-2-remediation"></a>

要将 DynamoDB 表恢复到某个时间点，请参阅 *Amazon DynamoDB 开发人员指南*中的[将 DynamoDB 表恢复到某个时间点](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html)。

## [DynamoDB.3] DynamoDB Accelerator（DAX）集群应在静态状态下进行加密
<a name="dynamodb-3"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::DAX::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)

**计划类型：**定期

**参数：**无

此控件可检查是否对 Amazon DynamoDB Accelerator（DAX）集群进行了静态加密。如果 DAX 集群未进行静态加密，则此控件将失败。

对静态数据进行加密可降低存储在磁盘上的数据被未经身份验证的用户访问的风险。 AWS加密添加了另一组访问控制，以限制未经授权的用户访问数据的能力。例如，需要 API 权限才能解密数据，然后才能读取数据。

### 修复
<a name="dynamodb-3-remediation"></a>

创建集群后，您无法启用或禁用静态加密。您必须重新创建集群才能启用静态加密。有关如何创建启用静态加密的 DAX 集群的详细说明，请参阅 *Amazon DynamoDB 开发人员指南*中的[使用 AWS 管理控制台启用静态加密](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console)。

## [DynamoDB.4] 备份计划中应有 DynamoDB 表
<a name="dynamodb-4"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-12、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 启用备份

**严重性：**中

**资源类型：**`AWS::DynamoDB::Table`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html)**``

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  如果将参数设置为，`true`并且资源使用 AWS Backup 文件库锁定，则控件会生成`PASSED`结果。  |  布尔值  |  `true` 或者 `false`  |  无默认值  | 

此控件评估备份计划是否涵盖了处于 `ACTIVE` 状态的 Amazon DynamoDB 表。如果备份计划不涵盖 DynamoDB 表，则控制失败。如果将`backupVaultLockCheck`参数设置为`true`，则只有在锁定的文件库中备份 DynamoDB 表时，控制才会通过。 AWS Backup 

AWS Backup 是一项完全托管的备份服务，可帮助您集中和自动备份数据 AWS 服务。使用 AWS Backup，您可以创建定义备份要求的备份计划，例如备份数据的频率以及保留这些备份的时间。将 DynamoDB 表纳入备份计划可帮助您保护数据免遭意外丢失或删除。

### 修复
<a name="dynamodb-4-remediation"></a>

*要向备份计划添加 DynamoDB 表，[请参阅开发人员指南中的AWS Backup 为备份计划分配资源](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)。 AWS Backup *

## [DynamoDB.5] 应标记 DynamoDB 表
<a name="dynamodb-5"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::DynamoDB::Table`

**AWS Config 规则:**`tagged-dynamodb-table`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon DynamoDB 表是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果表没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果表未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="dynamodb-5-remediation"></a>

要向 DynamoDB 表添加标签，请参阅《Amazon DynamoDB 开发者指南》**中的[在 DynamoDB 中为资源添加标签](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html)。

## [DynamodB.6] DynamoDB 表应启用删除保护
<a name="dynamodb-6"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**类别：**保护 > 数据保护 > 数据删除保护

**严重性：**中

**资源类型：**`AWS::DynamoDB::Table`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html)**``

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon DynamoDB 表是否已启用删除保护。如果 DynamoDB 表未启用删除保护，则控制失败。

您可以使用删除保护属性保护 DynamoDB 表免遭意外删除。为表启用此属性有助于确保在管理员执行常规表管理操作期间不会意外删除表。这有助于防止您的常规业务运营受到干扰。

### 修复
<a name="dynamodb-6-remediation"></a>

要为 DynamoDB 表启用删除保护，请参阅《Amazon DynamoDB 开发者指南》**中的[使用删除保护](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection)。

## [DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密
<a name="dynamodb-7"></a>

**相关要求：** NIST.800-53.r5 AC-17、、3、 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 3 NIST.800-53.r5 SC-8、PCI DSS v4.0.1/4.2.1

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::DAX::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)

**计划类型：**定期

**参数：**无

此控件可检查 Amazon DynamoDB Accelerator（DAX）集群是否在传输过程中进行加密，其端点加密类型设置为 TLS。如果 DAX 集群未在传输过程中进行加密，则此控件将失败。

HTTPS (TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。应该只允许通过 TLS 加密连接来访问 DAX 集群。但是，加密传输中数据可能会影响性能。您应该在启用加密的情况下测试应用程序，以了解性能概况和 TLS 的影响。

### 修复
<a name="dynamodb-7-remediation"></a>

创建 DAX 集群后，将无法更改 TLS 加密设置。要加密现有 DAX 集群，请创建启用了传输中加密的新集群，将应用程序的流量转移到该集群，然后删除旧集群。有关更多信息，请参阅《Amazon DynamoDB 开发人员指南》**中的[使用删除保护](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection)。

# 适用于亚马逊 EC2 的 Security Hub CSPM 控件
<a name="ec2-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估亚马逊弹性计算云 (Amazon EC2) 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [EC2.1] Amazon EBS 快照不应公开恢复
<a name="ec2-1"></a>

**相关要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3（7）、、（21）、、（11）、（16）、（20）、（21） NIST.800-53.r5 AC-3、（20）、（21）、（3） NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4（4） NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7（9） NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**严重 

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon Elastic Block Store 快照是否非公开。如果任何人都可以恢复 Amazon EBS 快照，则控制失败。

EBS 快照用于将 EBS 卷上的数据在特定时间点备份到 Amazon S3。您可以使用快照还原 EBS 卷的先前状态。与公众共享快照几乎是不允许的。通常，公开共享快照的决定要么是决策错误，要么是没有完全理解其含义。此检查有助于确保所有此类共享都是完全经过规划并且是有意进行的。

### 修复
<a name="ec2-1-remediation"></a>

要将公有 EBS 快照设为私有，请参阅《Amazon EC2 用户指南》**中的[共享快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot)。在**操作、修改权限**中，选择**私有**。

## [EC2.2] VPC 默认安全组不应允许入站或出站流量
<a name="ec2-2"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/5.5、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/2.1、CIS 基金会基准 v1.2.0/4.3、CIS AWS 基金会基准 v1.4.0/5.3、、（21）、（11）、（16）、（21）、（4）、（5）) AWS AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**高 

**资源类型：**`AWS::EC2::SecurityGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 VPC 的默认安全组是否允许入站或出站流量。如果安全组允许入站或出站流量，则控制失败。

[默认安全组](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html)的规则允许来自分配给相同安全组的网络接口（及其关联实例）的所有出站和入站流量。我们建议您不要使用默认安全组。由于无法删除默认安全组，因此您应更改默认安全组规则设置以限制入站和出站流量。如果意外为 EC2 实例等资源配置了默认安全组，这可以防止意外的流量。

### 修复
<a name="ec2-2-remediation"></a>

要修复此问题，请先创建新的最低权限安全组。有关说明，请参阅 *Amazon VPC 用户指南*中的[创建安全组](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups)。然后，将新的安全组分配给 EC2 实例。有关说明，请参阅《Amazon EC2 用户指南》**中的[更改实例的安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group)。

将新安全组分配给资源后，从默认安全组中删除所有入站和出站规则。有关说明，请参阅《Amazon VPC 用户指南》**中的[配置安全组规则](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html)。

## [EC2.3] 挂载的 Amazon EBS 卷应进行静态加密
<a name="ec2-3"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::EC2::Volume`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)

**计划类型：**已触发变更

**参数：**无

该控制检查处于连接状态的 EBS 卷是否已加密。要通过此检查，EBS 卷必须处于使用中并加密。如果 EBS 卷未挂载，则不需要接受此检查。

为了增加 EBS 卷中敏感数据的安全性，您应该启用静态 EBS 加密。Amazon EBS 加密提供了直接用于 EBS 资源的加密解决方案，无需您构建、维护和保护自己的密钥管理基础设施。它在创建加密卷和快照时使用 KMS 密钥。

要了解有关 Amazon EBS 加密的更多信息，请参阅《Amazon EC2 用户指南》**中的 [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)。

### 修复
<a name="ec2-3-remediation"></a>

没有直接对现有未加密卷或快照进行加密的方法。您只能在新的卷或快照创建时对其进行加密。

如果您启用了默认加密，Amazon EBS 使用您用于 Amazon EBS 加密的默认密钥对生成的新卷或快照实施加密。即使您未启用默认加密，也可以在创建单个卷或快照时启用加密。在这两种情况下，您都可以覆盖 Amazon EBS 加密的默认密钥并选择对称的客户管理密钥。

有关更多信息，请参阅《Amazon EC2 用户指南》**中的[创建 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html)和[复制 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html)。

## [EC2.4] 停止的 EC2 实例应在指定时间段后删除
<a name="ec2-4"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)

**类别：**识别 > 清单

**严重性：**中

**资源类型：**`AWS::EC2::Instance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `AllowedDays`  |  在生成失败的调查发现之前，允许 EC2 实例处于停止状态的天数。  |  整数  |  `1` 到 `365`  |  `30`  | 

此控件检查 Amazon EC2 实例是否已停止超过允许的天数。如果 EC2 实例的停止时间超过允许的最大时间段，则控制失败。除非您为允许的最大时间段提供自定义参数值，否则 Security Hub CSPM 将使用 30 天的默认值。

当 EC2 实例在很长一段时间内没有运行时，会造成安全风险，因为该实例没有得到积极维护（分析、修补、更新）。如果稍后启动，则由于缺乏适当的维护，可能会导致您的 AWS 环境出现意外问题。要安全地将 EC2 实例长期保持不活动状态，请定期启动已对其进行维护，然后在维护后将其停止。理想情况下，这应是一个自动化的过程。

### 修复
<a name="ec2-4-remediation"></a>

要终止非活动 EC2 实例，请参阅《Amazon EC2 用户指南》**中的[终止实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console)。

## [EC2.6] 应全部启用 VPC 流量记录 VPCs
<a name="ec2-6"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/3.7、CIS 基金会基准 v1.2.0/2.9、独联体基金会基准 v1.4.0/3.9、CIS AWS 基金会基准 v3.0.0/3.7、 NIST.800-53.r5 AC-4 (26)、、nist.800-53.r5 SI AWS -7 (8)、nist.800-171.r2 3.1.20、nist.800-171.r2 3.1、nist.800-171.r2 3.1、nist.800-171.r2 3.1、nist.800-171.r2 3.1、nist.800-171.r2 3.1、nist.800-171.r2 3.1 13.1、PCI AWS DSS v3.2.1/10.3.3 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、PCI DSS v3.2.1/10.3.4、PCI DSS v3.2.1/10.3.5、PCI DSS v3.2.1/10.3.5、PCI DSS v3.2.1/10.3.6

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::EC2::VPC`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)

**计划类型：**定期

**参数：**
+ `trafficType`：`REJECT`（不可自定义）

此控件检查是否已找到并启用了 Amazon VPC 流日志 VPCs。流量类型设置为 `Reject`。如果您的账户中未启用 VPC 流日志， VPCs 则控制失败。

**注意**  
此控件不会检查是否通过 Amazon Security Lake 为 AWS 账户启用了 Amazon VPC 流日志。

通过 VPC 流日志功能，您可以捕获有关进出 VPC 中网络接口的 IP 地址流量的信息。创建流日志后，可以在 CloudWatch 日志中查看和检索其数据。为了降低成本，您还可以将流日志发送到 Amazon S3。

Security Hub CSPM 建议您为的拒绝数据包启用流量记录。 VPCs流日志提供了对穿过 VPC 的网络流量的可见性，并且可以检测异常流量或在安全工作流程期间提供见解。

默认情况下，记录包括 IP 地址流的不同组件的值，包括源、目标和协议。有关日志字段的更多信息和描述，请参阅 *Amazon VPC 用户指南*中的 [VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。

### 修复
<a name="ec2-6-remediation"></a>

要创建 VPC 流日志，请参阅 *Amazon VPC 用户指南*中的[创建流日志](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log)。打开 Amazon VPC 控制台后，选择**您的 VPCs**。对于**筛选条件**，选择**拒绝**或**全部**。

## [EC2.7] 应启用 EBS 默认加密
<a name="ec2-7"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/5.1.1、CIS 基金会基准 v1.4.0/2.2.1、CIS AWS 基金会基准 v3.0.0/2.2.1、(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、(1)、 NIST.800-53.r5 CA-9 (1)、(10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI AWS -7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)

**计划类型：**定期

**参数：**无

此控件检查默认情况下 Amazon Elastic Block Store（Amazon EBS）卷是否启用账户级加密。如果 EBS 卷未启用账户级别加密，则该控件会失败。

为账户启用加密后，Amazon EBS 卷和快照副本将进行静态加密。这为数据增加了一层额外的保护。有关更多信息，请参阅《Amazon EC2 用户指南》**中的[默认加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)。

### 修复
<a name="ec2-7-remediation"></a>

要配置 Amazon EBS 卷的默认加密，请参阅《Amazon EC2 用户指南》**中的[默认加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)。

## [EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2
<a name="ec2-8"></a>

**相关要求：**CIS AWS 基金会基准 v5.0.0/5.7、CIS AWS 基金会基准 v3.0.0/5.6、、 NIST.800-53.r5 AC-3 (15)、(7)、 NIST.800-53.r5 AC-3、PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**类别：**保护 > 网络安全

**严重性：**高

**资源类型：**`AWS::EC2::Instance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查您的 EC2 实例元数据版本是否配置了实例元数据服务版本 2 (IMDSv2)。如果设置`HttpTokens`为 “必需”，则控制通过 IMDSv2。如果设置为，`HttpTokens`则控制失败`optional`。

您可以使用实例元数据来配置或管理正在运行的实例。IMDS 提供对临时的、经常轮换的凭证的访问权限。这些凭证消除了手动或以编程方式对实例进行硬编码或分发敏感凭证的需要。IMDS 在本地连接到每个 EC2 实例。它在特殊的“链路本地地址”IP 地址 169.254.169.254。该 IP 地址只能由实例上运行的软件访问。

IMDS 版本 2 为以下类型的漏洞添加了新的保护。这些漏洞可用于尝试访问 IMDS。
+ 打开网站应用程序防火墙
+ 打开反向代理
+ 服务器端请求伪造（SSRF）漏洞
+ 打开第 3 层防火墙和网络地址转换（NAT）

Security Hub CSPM 建议您使用配置 EC2 实例。 IMDSv2

### 修复
<a name="ec2-8-remediation"></a>

要使用配置 EC2 实例 IMDSv2，请参阅 *Amazon EC2 用户指南 IMDSv2*中的[推荐请求路径](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2)。

## [EC2.9] 亚马逊 EC2 实例不应有公有地址 IPv4
<a name="ec2-9"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**高

**资源类型：**`AWS::EC2::Instance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 EC2 实例是否具有公有 IP 地址。如果EC2实例配置项中存在 `publicIp` 字段，则控制失败。此控件仅适用于 IPv4 地址。

公共 IPv4 地址是可从 Internet 访问的 IP 地址。如果您使用公共 IP 地址启动实例，则可以通过 Internet 访问 EC2 实例。私有 IPv4 地址是无法从 Internet 访问的 IP 地址。您可以使用私有 IPv4 地址在同一 VPC 或连接的私有网络中的 EC2 实例之间进行通信。

IPv6 地址是全球唯一的，因此可以从互联网访问。但是，默认情况下，所有子网的 IPv6 寻址属性都设置为 false。有关更多信息 IPv6，请参阅 *Amazon VPC 用户指南中的您的 VPC 中的* [IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html)。

如果您有合法的用例来维护带有公有 IP 地址的 EC2 实例，则可以隐藏此控件的调查发现。有关前端架构选项的更多信息，请参阅[AWS 架构博客](https://aws.amazon.com/blogs/architecture/)或 “[这就是我的架构” 系列](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile) AWS 视频系列。

### 修复
<a name="ec2-9-remediation"></a>

使用非默认 VPC，以便默认情况下实例不会被分配公有 IP 地址。

当您在默认 VPC 中启动 EC2 实例时，系统会为其分配一个公共 IP 地址。当您在非默认 VPC 中启动 EC2 实例时，子网配置决定其是否接收公有 IP 地址。子网具有一个属性，用于确定子网中的新 EC2 实例是否从公有地址池接收公有 IP IPv4 地址。

您可以将自动分配的公有 IP 地址与 EC2 实例解除关联。有关更多信息，请参阅 *Amazon EC2 用户指南*中的[公有 IPv4 地址和外部 DNS 主机名](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses)。

## [EC2.10] 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点
<a name="ec2-10"></a>

**相关要求：** NIST.800-53.r5 AC-21、、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3、(21)、、、(11) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (16)、(20) NIST.800-53.r5 AC-6、(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4)、nist.800-171.r2 3.1.3、 NIST.800-53.r5 SC-7 nist.800-171.r2 3.1.3、nist.800-171.r2 3.13.1 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置 > API 私有访问

**严重性：**中

**资源类型：**`AWS::EC2::VPC`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)

**计划类型：**定期

**参数：**
+ `serviceName`：`ec2`（不可自定义）

此控件检查是否为每个 VPC 创建了 Amazon EC2 的服务端点。如果 VPC 没有为 Amazon EC2 服务创建 VPC 端点，则控制失败。

此控件评估单个账户中的资源。它不能描述账户之外的资源。由于而 AWS Config 且 Security Hub CSPM 不进行跨账户检查，因此您将看到跨账户共享 VPCs 的`FAILED`结果。Security Hub CSPM 建议你隐瞒这些`FAILED`发现。

要改善 VPC 的安全状况，您可以将 Amazon EC2 配置为使用接口 VPC 端点。接口终端节点由一项技术提供支持 AWS PrivateLink，该技术使您能够私下访问 Amazon EC2 API 操作。它将 VPC 和 Amazon EC2 之间的所有网络流量限制为 Amazon 网络。由于端点仅在同一区域内受支持，因此您无法在 VPC 和不同区域中的服务之间创建端点。这样可以防止对其他区域进行意外的 Amazon EC2 API 调用。

要了解有关为 Amazon EC2 创建 VPC 端点的更多信息，请参阅《Amazon EC2 用户指南》**中的 [Amazon EC2 和接口 VPC 端点](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html)。

### 修复
<a name="ec2-10-remediation"></a>

要从 Amazon VPC 控制台创建到 Amazon EC2 的接口端点，请参阅 *AWS PrivateLink 指南*中的[创建 VPC 端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。对于**服务名称**，请选择 **com.amazonaws。 *region*.ec2。**

您还可以创建端点策略并将其附加到 VPC 端点以控制对 Amazon EC2 API 的访问。有关创建 VPC 端点策略的说明，请参阅《Amazon EC2 用户指南》**中的[创建端点策略](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy)。

## [EC2.12] EIPs 应移除未使用的亚马逊 EC2
<a name="ec2-12"></a>

**相关要求：**PCI DSS v3.2.1/2.4、NIST.800-53.r5 CM-8（1）。

**类别：**保护 > 安全网络配置

**严重性：**低

**资源类型：**`AWS::EC2::EIP`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)

**计划类型：**已触发变更

**参数：**无

此控件检查分配给 VPC 的弹性 IP (EIP) 地址是否已连接到 EC2 实例或正在使用的弹性网络接口 () ENIs。

如果发现失败，则表示您可能有未使用的 EC2 EIPs。

这将帮助您在持卡人数据环境 (CDE) EIPs 中维护准确的资产清单。

### 修复
<a name="ec2-12-remediation"></a>

要释放未使用的 EIP，请参阅《Amazon EC2 用户指南》**中的[释放弹性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing)。

## [EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量
<a name="ec2-13"></a>

**相关要求：**CIS AWS 基金会基准 v1.2.0/4.1、、(21)、(11)、(16) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、(4) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5)、 NIST.800-53.r5 SC-7 nist.800-171.r2 3.1.3、 NIST.800-53.r5 SC-7 nist.800-171.r2 3.13.1、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/2.2、PCI DSS v3.2.1/2.2，PCI DSS v4.0.1/1.3.1 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**高

**资源类型：**`AWS::EC2::SecurityGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)

**计划类型：**已触发更改且定期进行

**参数：**无

该控件检查 Amazon EC2 安全组是否允许从 0.0.0.0/0 或 ::/0 进入端口 22。如果安全组允许从 0.0.0.0/0 或 ::/0 进入端口 22，则控制失败。

安全组为 AWS 资源提供传入和传出网络流量的有状态筛选。我们建议不要让任何安全组允许对端口 22 进行不受限制的传入访问。删除与 SSH 等远程控制台服务的自由连接可减少服务器暴露的风险。

### 修复
<a name="ec2-13-remediation"></a>

要禁止进入端口 22，请移除允许与 VPC 关联的每个安全组进行此类访问的规则。有关说明，请参阅《Amazon EC2 用户指南》**中的[更新安全组规则](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules)。在 Amazon EC2 控制台中选择安全组后，请选择**操作、编辑入站规则**。删除允许访问端口 22 的规则。

## [EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量
<a name="ec2-14"></a>

**相关要求：**CIS AWS 基金会基准 v1.2.0/4.2、PCI DSS v4.0.1/1.3.1

**类别：**保护 > 安全网络配置

**严重性：**高

**资源类型：**`AWS::EC2::SecurityGroup`

**AWS Config 规则:[https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**（创建的规则是`restricted-rdp`）

**计划类型：**已触发更改且定期进行

**参数：**无

该控件检查 Amazon EC2 安全组是否允许从 0.0.0.0/0 或 ::/0 进入端口 3389。如果安全组允许从 0.0.0.0/0 或 ::/0 进入端口 3389，则控制失败。

安全组为 AWS 资源提供传入和传出网络流量的有状态筛选。我们建议不要让任何安全组允许对端口 3389 进行不受限制的传入访问。删除与 RDP 等远程控制台服务的自由连接可减少服务器暴露的风险。

### 修复
<a name="ec2-14-remediation"></a>

要禁止进入端口 3389，请移除允许与 VPC 关联的每个安全组进行此类访问的规则。有关说明，请参阅 *Amazon VPC 用户指南*中的[更新安全组规则](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules)。在 Amazon VPC 控制台中选择安全组后，选择**操作、编辑入站规则**。删除允许访问端口 3389 的规则。

## [EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址
<a name="ec2-15"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、、(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**类别：**保护 > 网络安全

**严重性：**中

**资源类型：**`AWS::EC2::Subnet`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查亚马逊虚拟私有云 (Amazon VPC) 子网是否配置为自动分配公有 IP 地址。如果子网配置为自动分配公用 IPv4 或 IPv6 地址，则控制失败。

子网具有决定网络接口是否自动接收公用 IPv6 地址 IPv4 和地址的属性。对于 IPv4，`TRUE`对于默认子网和`FALSE`非默认子网，此属性设置为（通过 EC2 启动实例向导创建的非默认子网除外，该向导设置为）。`TRUE`对于 IPv6，默认情况下，所有子网`FALSE`的此属性均设置为。启用这些属性后，在子网中启动的实例会自动在其主网络接口上收到相应的 IP 地址（IPv4 或 IPv6）。

### 修复
<a name="ec2-15-remediation"></a>

要将子网配置为不分配公有 IP 地址，请参阅《Amazon VPC 用户指南》**中的[修改子网的 IP 寻址属性](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html)。

## [EC2.16] 应删除未使用的网络访问控制列表
<a name="ec2-16"></a>

**相关要求：**NIST.800-53.r5 CM-8（1）、NIST.800-171.r2 3.4.7、PCI DSS v4.0.1/1.2.7

**类别：**保护 > 网络安全

**严重性：**低

**资源类型：**`AWS::EC2::NetworkAcl`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查您的虚拟私有云 (VPC ACLs) 中是否存在任何未使用的网络访问控制列表（网络）。如果网络 ACL 未与某个子网关联，则此控件将失败。此控件不会为未使用的默认网络 ACL 生成调查发现。

此控件检查资源 `AWS::EC2::NetworkAcl` 的项目配置并确定网络 ACL 的关系。

如果唯一的关系是网络 ACL 的 VPC，则此控件将失败。

如果列出了其他关系，则控件通过。

### 修复
<a name="ec2-16-remediation"></a>

有关删除未使用的网络 ACL 的说明，请参阅 *Amazon VPC 用户指南*中的[删除网络 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL)。您无法删除默认网络 ACL 或与子网相关联的 ACL。

## [EC2.17] 亚马逊 EC2 实例不应使用多个 ENIs
<a name="ec2-17"></a>

**相关要求：** NIST.800-53.r5 AC-4(21)

**类别：**保护 > 网络安全

**严重性：**低

**资源类型：**`AWS::EC2::Instance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 EC2 实例是否使用多个弹性网络接口（ENI）或 Elastic Fabric Adapters（EFA）。如果使用单个网络适配器，则此控制通过。该控件包括一个可选参数列表，用于标识允许的 ENI。如果属于 Amazon EKS 集群的 EC2 实例使用多个 ENI，则此控制也会失败。如果您的 EC2 实例需要在 Amazon EKS 集群中包含多个 ENIs 实例，则可以隐藏这些控制结果。

多个实例 ENIs 可能导致双宿主实例，即具有多个子网的实例。这会增加网络安全的复杂性并引入意外的网络路径和访问。

### 修复
<a name="ec2-17-remediation"></a>

要将网络接口与 EC2 实例分离，请参阅《Amazon EC2 用户指南》**中的[将网络接口与实例分离](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni)。

## [EC2.18] 安全组应只允许授权端口不受限制的传入流量
<a name="ec2-18"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、(11)、(16)、(21)、(4) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5)、 NIST.800-53.r5 SC-7 nist.800-171.r2 3.1.3、 NIST.800-53.r5 SC-7 nist.800-171.r2 3.1.2 3.1.20、nist.800-171.r2 3.1.20、nist.800-171.r2 3.13.1 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置 > 安全组配置

**严重性：**高

**资源类型：**`AWS::EC2::SecurityGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `authorizedTcpPorts`  |  授权的 TCP 端口列表  |  IntegerList （最少 1 件商品，最多 32 件商品）  |  `1` 到 `65535`  |  `[80,443]`  | 
|  `authorizedUdpPorts`  |  授权的 UDP 端口列表  |  IntegerList （最少 1 件商品，最多 32 件商品）  |  `1` 到 `65535`  |  无默认值  | 

此控件检查 Amazon EC2 安全组是否允许从未经授权的端口传入不受限制的流量。控制状态如下所示确定：
+ 如果您使用 `authorizedTcpPorts` 的默认值，则当安全组允许从端口 80 和 443 以外的任何端口传入无限制流量时，则控制失败。
+ 如果您为 `authorizedTcpPorts` 或 `authorizedUdpPorts` 提供自定义值，则当安全组允许从任何未列出的端口传入无限制流量时，则控制失败。

安全组提供对 AWS的传入和传出网络流量的状态筛选。安全组规则应遵循最低权限访问的原则。不受限制的访问（带有 /0 后缀的 IP 地址）增加了黑客 denial-of-service攻击、攻击和数据丢失等恶意活动的机会。除非明确允许某个端口，否则该端口应拒绝不受限制的访问。

### 修复
<a name="ec2-18-remediation"></a>

要修改安全组，请参阅《Amazon VPC 用户指南》**中的[使用安全组](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html)。

## [EC2.19] 安全组不应允许不受限制地访问高风险端口
<a name="ec2-19"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、(1)、(11)、 NIST.800-53.r5 CA-9 (16)、(21)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7、nist.800-171.r2 3.1.3、 NIST.800-53.r5 SC-7 nist.800-171.r2 3.1.r2 3.1.20、nist.800-171.r2 3.1.20、nist.800-171.r2 3.13.1 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 受限网络访问

**严重性：**严重

**资源类型：**`AWS::EC2::SecurityGroup`

**AWS Config 规则:[https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**（创建的规则是`vpc-sg-restricted-common-ports`）

**计划类型：**已触发更改且定期进行

**参数：**`"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"`（不可自定义）

此控件检查高风险的指定端口是否可以访问 Amazon EC2 安全组的不受限制的传入流量。如果安全组中的任何规则允许从“0.0.0.0/0”或“::/0”传入这些端口的流量，则控制失败。

安全组为 AWS 资源提供传入和传出网络流量的有状态筛选。不受限制的访问 (0.0.0.0/0) 增加了恶意活动的机会，例如黑客 denial-of-service攻击、攻击和数据丢失。任何安全组都不应允许对以下端口进行不受限制的入口访问：
+ 20、21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ 110 (POP3)
+ 135 (RPC)
+ 143 (IMAP)
+ 445 (CIFS)
+ 1433、1434（MSSQL）
+ 3000（Go、Node.js 和 Ruby Web 开发框架）
+ 3306 (MySQL)
+ 3389 (RDP)
+ 4333 (ahsp)
+ 5000（Python 网络开发框架）
+ 5432 (postgresql)
+ 5500 (fcp-addr-srvr1) 
+ 5601（仪表板）OpenSearch 
+ 8080（代理）
+ 8088（传统的 HTTP 端口）
+ 8888（备用 HTTP 端口）
+ 9200 或 9300 () OpenSearch

### 修复
<a name="ec2-19-remediation"></a>

要删除安全组中的规则，请参阅《Amazon EC2 用户指南》**中的[删除安全组中的规则](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule)。

## [EC2.20] VPN 连接的两个 VPN 隧道都应 AWS Site-to-Site 处于开启状态
<a name="ec2-20"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)、nist.800-171.r2 3.1.13、nist.800-171.r2 3.1.r2 3.1.20

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中 

**资源类型：**`AWS::EC2::VPNConnection`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)

**计划类型：**已触发变更

**参数：**无

VPN 隧道是一种加密链路，数据可以在其中从客户网络传入 VPN 连接或传出 AWS AWS Site-to-Site VPN 连接。每个 VPN 连接均包括两条 VPN 隧道，可以同时使用这两条隧道来实现高可用性。确保两个 VPN 隧道都已开通 VPN 连接对于确认 VP AWS C 和远程网络之间的安全且高度可用的连接非常重要。

此控件会检查 VPN 提供的两个 V AWS Site-to-Site PN 隧道是否都处于 UP 状态。如果一条或两条隧道都处于关闭状态，则控制失败。

### 修复
<a name="ec2-20-remediation"></a>

要修改 VPN 隧道选项，请参阅《[ Site-to-SiteVPN 用户指南》中的修改 AWS Site-to-Site VPN 隧道选项](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html)。

## [EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
<a name="ec2-21"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/5.2、CIS 基金会基准 v1.4.0/5.1、CIS AWS 基金会基准 v3.0.0/5.1、(21)、(21)、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 SC-7 (5)、nist.800-171.r2 3.1.3、nist.800-171.r2 3.1.20 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 nist.800-171.r2 3.13.1、PCI AWS DSS v4.0.1/1.1 NIST.800-53.r5 CA-9

**类别：**保护 > 安全网络配置

**严重性：**中 

**资源类型：**`AWS::EC2::NetworkAcl`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)

**计划类型：**已触发变更

**参数：**无

此控件检查网络访问控制列表（网络 ACL）是否允许入 SSH/RDP 口流量不受限制地访问默认 TCP 端口。如果网络 ACL 入站条目允许 TCP 端口 22 或 3389 的源 CIDR 块为“0.0.0.0/0”或“::/0”，则此控件将失败。此控件不会为默认网络 ACL 生成调查发现。

对远程服务器管理端口（例如端口 22（SSH）和端口 3389（RDP））的访问不应公开访问，因为这可能会允许对 VPC 内的资源进行意外访问。

### 修复
<a name="ec2-21-remediation"></a>

要编辑网络 ACL 流量规则，请参阅 *Amazon VPC 用户指南 ACLs*中的使用[网络](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks)。

## [EC2.22] 应删除未使用的 Amazon EC2 安全组
<a name="ec2-22"></a>

**类别：**识别 > 清单

**严重性：**中 

**资源类型：**`AWS::EC2::NetworkInterface`、`AWS::EC2::SecurityGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)

**计划类型：**定期

**参数：**无

此控件可检查安全组是否已附加到 Amazon Elastic Compute Cloud（Amazon EC2）实例或弹性网络接口。如果安全组未与 Amazon EC2 实例或弹性网络接口关联，则此控件将失败。

**重要**  
2023 年 9 月 20 日，Security Hub CSPM 从《 AWS 基础安全最佳实践》和 NIST SP 800-53 修订版 5 标准中删除了此控件。这种控制仍然是 AWS Control Tower 服务管理标准的一部分。如果安全组连接到 EC2 实例或弹性网络接口，此控件会生成一个通过的调查发现。但是，对于某些用例，未附加的安全组不会构成安全风险。您可以使用其他 EC2 控件（例如 EC2.2、EC2.13、EC2.14、EC2.18 和 EC2.19）来监控您的安全组。

### 修复
<a name="ec2-22-remediation"></a>

要创建、分配和删除安全组，请参阅《Amazon EC2 用户指南》**中的 [EC2 实例的安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html)。

## [EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求
<a name="ec2-23"></a>

**相关要求：** NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 CA-9 (1)、nist.800-53.r5 CM-2

**类别：**保护 > 安全网络配置

**严重性：**高 

**资源类型：**`AWS::EC2::TransitGateway`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 EC2 中转网关是否自动接受共享 VPC 附件。对于自动接受共享 VPC 附件请求的中转网关，此控制失败。

开启后，中转网关将 `AutoAcceptSharedAttachments` 配置为自动接受任何跨账户 VPC 附件请求，无需验证请求或源自哪个账户。为了遵循授权和身份验证的最佳实践，我们建议关闭此功能，以确保仅接受经过授权的 VPC 附件请求。

### 修复
<a name="ec2-23-remediation"></a>

要修改中转网关，请参阅 Amazon VPC 开发人员指南中的[修改中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying)。

## [EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型
<a name="ec2-24"></a>

**相关要求：**NIST.800-53.r5 CM-2,NIST.800-53.r5 CM-2（2）

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**中 

**资源类型：**`AWS::EC2::Instance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 EC2 实例的虚拟化类型是否为半虚拟化。如果 EC2 实例的 `virtualizationType` 设置为 `paravirtual`，则控制失败。

Linux Amazon 机器映像 (AMIs) 使用两种虚拟化类型之一：半虚拟化 (PV) 或硬件虚拟机 (HVM)。PV 和 HVM AMIs 之间的主要区别在于它们的启动方式，以及它们能否利用特殊的硬件扩展（CPU、网络和存储）来提高性能。

从历史上看，在许多情况下，PV 来宾的性能都比 HVM 客户机好，但是由于硬件虚拟机虚拟化的增强以及硬件虚拟机的 PV 驱动程序的可用性 AMIs，这种情况已不再如此。有关更多信息，请参阅《Amazon EC2 用户指南》中的 [Linux AMI 虚拟化类型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html)。

### 修复
<a name="ec2-24-remediation"></a>

要将 EC2 实例更新为新的实例类型，请参阅《Amazon EC2 用户指南》**中的[更改实例类型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html)。

## [EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口
<a name="ec2-25"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、、(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**高 

**资源类型：**`AWS::EC2::LaunchTemplate`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon EC2 启动模板是否配置为在启动时将公共 IP 地址分配给网络接口。如果 EC2 启动模板配置为向网络接口分配公共 IP 地址，或者至少有一个网络接口具有公共 IP 地址，则则控制失败。

公共 IP 地址是可通过 Internet 访问的地址。如果您使用公共 IP 地址配置网络接口，则可以通过 Internet 访问与这些网络接口关联的资源。EC2 资源不应公开访问，因为这可能会导致对工作负载的意外访问。

### 修复
<a name="ec2-25-remediation"></a>

要更新 EC2 启动模板，请参阅 *Amazon EC2 Auto Scaling 用户指南*中的[变更默认网络接口设置](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface)。

## [EC2.28] 备份计划应涵盖 EBS 卷
<a name="ec2-28"></a>

**类别：**恢复 > 弹性 > 启用备份

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-12、nist.800-53.r5 SI-13 (5)

**严重性：**低

**资源类型：**`AWS::EC2::Volume`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html)**``

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  如果将参数设置为 `true` 并且资源使用 AWS Backup 文件库锁定，则控件会生成 `PASSED` 调查发现。  |  布尔值  |  `true` 或者 `false`  |  无默认值  | 

此控件评估备份计划是否涵盖处于 `in-use` 状态的 Amazon EBS 卷。如果备份计划不涵盖某个 EBS 卷，则控制失败。如果将`backupVaultLockCheck`参数设置为`true`，则仅当 EBS 卷备份到 AWS Backup 锁定的存储库中时，控制才会通过。

备份可帮助您更快地从安全事件中恢复。它们还增强了系统的故障恢复能力。将 Amazon EBS 卷包含在备份计划中可帮助您保护数据免遭意外丢失或删除。

### 修复
<a name="ec2-28-remediation"></a>

要将 Amazon EBS 卷添加到 AWS Backup 备份计划中，请参阅*AWS Backup 开发人员指南*中的[为备份计划分配资源](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)。

## [EC2.33] 应标记 EC2 中转网关连接
<a name="ec2-33"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::TransitGatewayAttachment`

**AWS Config 规则:**`tagged-ec2-transitgatewayattachment`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 中转网关连接是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果中转网关连接没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果中转网关连接没有使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-33-remediation"></a>

要向 EC2 中转网关连接添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.34] 应标记 EC2 中转网关路由表
<a name="ec2-34"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::TransitGatewayRouteTable`

**AWS Config 规则:**`tagged-ec2-transitgatewayroutetable`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 中转网关路由表是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果中转网关路由表没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果中转网关路由表未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-34-remediation"></a>

要向 EC2 中转网关路由表添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.35] 应标记 EC2 网络接口
<a name="ec2-35"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::NetworkInterface`

**AWS Config 规则:**`tagged-ec2-networkinterface`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 网络接口是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果网络接口没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果网络接口未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-35-remediation"></a>

要向 EC2 网络接口添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.36] 应标记 EC2 客户网关
<a name="ec2-36"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::CustomerGateway`

**AWS Config 规则:**`tagged-ec2-customergateway`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 客户网关是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果客户网关没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果客户网关未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-36-remediation"></a>

要向 EC2 客户网关添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.37] 应标记 EC2 弹性 IP 地址
<a name="ec2-37"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::EIP`

**AWS Config 规则:**`tagged-ec2-eip`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 弹性 IP 地址是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果弹性 IP 地址没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果弹性 IP 地址未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-37-remediation"></a>

要向 EC2 弹性 IP 地址添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.38] 应标记 EC2 实例
<a name="ec2-38"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::Instance`

**AWS Config 规则:**`tagged-ec2-instance`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 实例是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果实例没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果实例未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-38-remediation"></a>

要向 EC2 实例的信息添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.39] 应标记 EC2 互联网网关
<a name="ec2-39"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::InternetGateway`

**AWS Config 规则:**`tagged-ec2-internetgateway`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 互联网网关是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果互联网网关没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果互联网网关未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-39-remediation"></a>

要向 EC2 互联网网关添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.40] 应标记 EC2 NAT 网关
<a name="ec2-40"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::NatGateway`

**AWS Config 规则:**`tagged-ec2-natgateway`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 网络地址转换（NAT）网关是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果 NAT 网关没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果 NAT 网关未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-40-remediation"></a>

要向 EC2 NAT 网关添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.41] ACLs 应标记 EC2 网络
<a name="ec2-41"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::NetworkAcl`

**AWS Config 规则:**`tagged-ec2-networkacl`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 网络访问控制列表（网络 ACL）是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果网络 ACL 没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果网络 ACL 未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-41-remediation"></a>

要向 EC2 网络 ACL 添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.42] 应标记 EC2 路由表
<a name="ec2-42"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::RouteTable`

**AWS Config 规则:**`tagged-ec2-routetable`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 路由表是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果路由表没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果路由表未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-42-remediation"></a>

要向 EC2 路由表添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.43] 应标记 EC2 安全组
<a name="ec2-43"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::SecurityGroup`

**AWS Config 规则:**`tagged-ec2-securitygroup`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 安全组是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果安全组没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果安全组未使用任何键进行标记，则此控件将失效。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-43-remediation"></a>

要向 EC2 安全组添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.44] 应标记 EC2 子网
<a name="ec2-44"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::Subnet`

**AWS Config 规则:**`tagged-ec2-subnet`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 子网是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果子网没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果子网未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-44-remediation"></a>

要向 EC2 子网添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.45] 应标记 EC2 卷
<a name="ec2-45"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::Volume`

**AWS Config 规则:**`tagged-ec2-volume`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 卷是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果卷没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果卷未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-45-remediation"></a>

要向 EC2 卷添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.46] VPCs 应该给亚马逊贴上标签
<a name="ec2-46"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::VPC`

**AWS Config 规则:**`tagged-ec2-vpc`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon Virtual Private Cloud（Amazon VPC）是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果 Amazon VPC 没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果 Amazon VPC 未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-46-remediation"></a>

要向 VPC 添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.47] 应标记 Amazon VPC 端点服务
<a name="ec2-47"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::VPCEndpointService`

**AWS Config 规则:**`tagged-ec2-vpcendpointservice`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon VPC 端点服务是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果端点服务没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果端点服务未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-47-remediation"></a>

要向 Amazon VPC 端点服务添加标签，请参阅《AWS PrivateLink 指南》**[配置端点服务](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html)一节中的[管理标签](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags)。

## [EC2.48] 应标记 Amazon VPC 流日志
<a name="ec2-48"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::FlowLog`

**AWS Config 规则:**`tagged-ec2-flowlog`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon VPC 流日志是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果流日志没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果流日志未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-48-remediation"></a>

要向 Amazon VPC 流日志添加标签，请参阅《Amazon VPC 用户指南》**中的[标记流日志](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs)。

## [EC2.49] 应标记 Amazon VPC 对等连接
<a name="ec2-49"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::VPCPeeringConnection`

**AWS Config 规则:**`tagged-ec2-vpcpeeringconnection`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon VPC 对等连接是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果对等连接没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果对等连接未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-49-remediation"></a>

要向 Amazon VPC 对等连接添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。

## [EC2.50] 应标记 EC2 VPN 网关
<a name="ec2-50"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::VPNGateway`

**AWS Config 规则:**`tagged-ec2-vpngateway`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EC2 VPN 网关是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果 VPN 网关没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有密钥，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果 VPN 网关未使用任何键标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-50-remediation"></a>

要向 EC2 VPN 网关添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。

## [EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录
<a name="ec2-51"></a>

**相关要求：** NIST.800-53.r5 AC-2(12)、(4)、(26)、(9)、 NIST.800-53.r5 AC-2 (9)、(9)、 NIST.800-53.r5 AC-4 nist.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8)、nist.800-53.r5 SI-4、nist.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20)、nist.800-53.r5 SI-7 (8)、nist.800-171.r2 3.1.r2 3.1.r2 3.1.1 12，nist.800-171.r2 3.1.20，PCI DSS v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7

**类别：**识别 > 日志记录

**严重性：**低

**资源类型：**`AWS::EC2::ClientVpnEndpoint`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html)**``

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS Client VPN 端点是否启用了客户端连接日志记录。如果端点未启用客户端连接日志记录，则控制失败。

客户端 VPN 端点允许远程客户端安全地连接到 AWS中虚拟私有云（VPC）中的资源。连接日志允许您跟踪 VPN 端点上的用户活动并提供可见性。启用连接日志记录时，可以在日志组中指定日志流的名称。如果未指定日志流，Client VPN 服务会为您创建一个日志流。

### 修复
<a name="ec2-51-remediation"></a>

要启用连接日志记录，请参阅《AWS Client VPN 管理员指南》**中的[为现有 Client VPN 端点启用连接日志记录](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing)。

## [EC2.52] 应标记 EC2 中转网关
<a name="ec2-52"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::TransitGateway`

**AWS Config 规则:**`tagged-ec2-transitgateway`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon EC2 中转网关是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果中转网关没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果中转网关未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ec2-52-remediation"></a>

要向 EC2 中转网关添加标签，请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。

## [EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口
<a name="ec2-53"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/5.3、CIS 基金会基准 v3.0.0/5.2、PCI DSS AWS v4.0.1/1.3.1

**类别：**保护 > 安全网络配置 > 安全组配置

**严重性：**高

**资源类型：**`AWS::EC2::SecurityGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  IP 版本  |  字符串  |  不可自定义  |  `IPv4`  | 
|  `restrictPorts`  |  应拒绝入口流量的端口列表  |  IntegerList  |  不可自定义  |  `22,3389`  | 

此控件可检查 Amazon EC2 安全组是否允许从 0.0.0.0/0 进入远程服务器管理端口（端口 22 和 3389）。如果安全组允许从 0.0.0.0/0 进入端口 22 或 3389，则此控件将失败。

安全组为 AWS 资源提供传入和传出网络流量的有状态筛选。我们建议任何安全组都不应允许使用 TDP（6）、UDP（17）或 ALL（-1）协议对远程服务器管理端口进行不受限制的入口访问，例如 SSH 到端口 22，RDP 到端口 3389。允许对这些端口进行公共访问会增加资源攻击面和资源泄露的风险。

### 修复
<a name="ec2-53-remediation"></a>

要更新 EC2 安全组规则以禁止到指定端口的入口流量，请参阅《Amazon EC2 用户指南》**中的[更新安全组规则](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules)。在 Amazon EC2 控制台中选择安全组后，请选择**操作、编辑入站规则**。删除允许访问端口 22 或 3389 的规则。

## [EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口
<a name="ec2-54"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/5.4、CIS 基金会基准 v3.0.0/5.3、PCI DSS AWS v4.0.1/1.3.1

**类别：**保护 > 安全网络配置 > 安全组配置

**严重性：**高

**资源类型：**`AWS::EC2::SecurityGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  IP 版本  |  字符串  |  不可自定义  |  `IPv6`  | 
|  `restrictPorts`  |  应拒绝入口流量的端口列表  |  IntegerList  |  不可自定义  |  `22,3389`  | 

此控件可检查 Amazon EC2 安全组是否允许从 :: /0 进入远程服务器管理端口（端口 22 和 3389）。如果安全组允许从 ::/0 进入端口 22 或 3389，则此控件将失败。

安全组为 AWS 资源提供传入和传出网络流量的有状态筛选。我们建议任何安全组都不应允许使用 TDP（6）、UDP（17）或 ALL（-1）协议对远程服务器管理端口进行不受限制的入口访问，例如 SSH 到端口 22，RDP 到端口 3389。允许对这些端口进行公共访问会增加资源攻击面和资源泄露的风险。

### 修复
<a name="ec2-54-remediation"></a>

要更新 EC2 安全组规则以禁止到指定端口的入口流量，请参阅《Amazon EC2 用户指南》**中的[更新安全组规则](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules)。在 Amazon EC2 控制台中选择安全组后，请选择**操作、编辑入站规则**。删除允许访问端口 22 或 3389 的规则。

## [EC2.55] VPCs 应配置用于 ECR API 的接口端点
<a name="ec2-55"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)

**类别：**保护 > 安全访问管理 > 访问控制

**严重性：**中

**资源类型：**`AWS::EC2::VPC`、`AWS::EC2::VPCEndpoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**计划类型：**定期

**参数：**


| 参数 | 必需 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必需  | 控件所评估的服务的名称  | 字符串  | 不可自定义  | ecr.api | 
| vpcIds  | 可选  | 用逗号分隔的 VPC 终端节点的 Amazon V IDs PC 列表。如果提供，则当 serviceName 参数中指定的服务没有这些 VPC 端点之一时，此控件会失败。 | StringList  | 使用一个或多个 VPC 进行自定义 IDs  | 无默认值  | 

此控件检查您管理的虚拟私有云（VPC）是否具有用于 Amazon ECR API 的接口 VPC 端点。如果 VPC 没有用于 ECR API 的接口 VPC 端点，则此控件会失败。此控件评估单个账户中的资源。

AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务，同时将所有网络流量保持在 AWS 网络内。服务用户可以私密访问 PrivateLink 由 VPC 或本地提供支持的服务，无需使用公共服务 IPs，也无需流量通过 Internet 进行传输。

### 修复
<a name="ec2-55-remediation"></a>

要配置 VPC 终端节点，请参阅*AWS PrivateLink 指南中的[AWS 服务 使用接口 VPC 终端节点访问](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)和*。

## [EC2.56] VPCs 应配置 Docker Registry 的接口端点
<a name="ec2-56"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)

**类别：**保护 > 安全访问管理 > 访问控制

**严重性：**中

**资源类型：**`AWS::EC2::VPC`、`AWS::EC2::VPCEndpoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**计划类型：**定期

**参数：**


| 参数 | 必需 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必需  | 控件所评估的服务的名称  | 字符串  | 不可自定义  | ecr.dkr | 
| vpcIds  | 可选  | 用逗号分隔的 VPC 终端节点的 Amazon V IDs PC 列表。如果提供，则当 serviceName 参数中指定的服务没有这些 VPC 端点之一时，此控件会失败。 | StringList  | 使用一个或多个 VPC 进行自定义 IDs  | 无默认值  | 

此控件检查您管理的虚拟私有云（VPC）是否具有用于 Docker Registry 的接口 VPC 端点。如果 VPC 没有用于 Docker Registry 的接口 VPC 端点，则此控件会失败。此控件评估单个账户中的资源。

AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务，同时将所有网络流量保持在 AWS 网络内。服务用户可以私密访问 PrivateLink 由 VPC 或本地提供支持的服务，无需使用公共服务 IPs，也无需流量通过 Internet 进行传输。

### 修复
<a name="ec2-56-remediation"></a>

要配置 VPC 终端节点，请参阅*AWS PrivateLink 指南中的[AWS 服务 使用接口 VPC 终端节点访问](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)和*。

## [EC2.57] VPCs 应配置 Systems Manager 的接口端点
<a name="ec2-57"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)

**类别：**保护 > 安全访问管理 > 访问控制

**严重性：**中

**资源类型：**`AWS::EC2::VPC`、`AWS::EC2::VPCEndpoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**计划类型：**定期

**参数：**


| 参数 | 必需 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必需  | 控件所评估的服务的名称  | 字符串  | 不可自定义  | ssm | 
| vpcIds  | 可选  | 用逗号分隔的 VPC 终端节点的 Amazon V IDs PC 列表。如果提供，则当 serviceName 参数中指定的服务没有这些 VPC 端点之一时，此控件会失败。 | StringList  | 使用一个或多个 VPC 进行自定义 IDs  | 无默认值  | 

此控件检查您管理的虚拟私有云（VPC）是否具有用于 AWS Systems Manager的接口 VPC 端点。如果 VPC 没有用于 Systems Manager 的接口 VPC 端点，则此控件会失败。此控件评估单个账户中的资源。

AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务，同时将所有网络流量保持在 AWS 网络内。服务用户可以私密访问 PrivateLink 由 VPC 或本地提供支持的服务，无需使用公共服务 IPs，也无需流量通过 Internet 进行传输。

### 修复
<a name="ec2-57-remediation"></a>

要配置 VPC 终端节点，请参阅*AWS PrivateLink 指南中的[AWS 服务 使用接口 VPC 终端节点访问](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)和*。

## [EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点
<a name="ec2-58"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)

**类别：**保护 > 安全访问管理 > 访问控制

**严重性：**中

**资源类型：**`AWS::EC2::VPC`、`AWS::EC2::VPCEndpoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**计划类型：**定期

**参数：**


| 参数 | 必需 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必需  | 控件所评估的服务的名称  | 字符串  | 不可自定义  | ssm-contacts | 
| vpcIds  | 可选  | 用逗号分隔的 VPC 终端节点的 Amazon V IDs PC 列表。如果提供，则当 serviceName 参数中指定的服务没有这些 VPC 端点之一时，此控件会失败。 | StringList  | 使用一个或多个 VPC 进行自定义 IDs  | 无默认值  | 

此控件检查您管理的虚拟私有云 (VPC) 是否具有用于 AWS Systems Manager 事件管理员联系人的接口 VPC 终端节点。如果 VPC 没有用于 Systems Manager Incident Manager 联系人的接口 VPC 端点，则此控件会失败。此控件评估单个账户中的资源。

AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务，同时将所有网络流量保持在 AWS 网络内。服务用户可以私密访问 PrivateLink 由 VPC 或本地提供支持的服务，无需使用公共服务 IPs，也无需流量通过 Internet 进行传输。

### 修复
<a name="ec2-58-remediation"></a>

要配置 VPC 终端节点，请参阅*AWS PrivateLink 指南中的[AWS 服务 使用接口 VPC 终端节点访问](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)和*。

## [EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点
<a name="ec2-60"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)

**类别：**保护 > 安全访问管理 > 访问控制

**严重性：**中

**资源类型：**`AWS::EC2::VPC`、`AWS::EC2::VPCEndpoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**计划类型：**定期

**参数：**


| 参数 | 必需 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必需  | 控件所评估的服务的名称  | 字符串  | 不可自定义  | ssm-incidents | 
| vpcIds  | 可选  | 用逗号分隔的 VPC 终端节点的 Amazon V IDs PC 列表。如果提供，则当 serviceName 参数中指定的服务没有这些 VPC 端点之一时，此控件会失败。 | StringList  | 使用一个或多个 VPC 进行自定义 IDs  | 无默认值  | 

此控件检查您管理的虚拟私有云 (VPC) 是否具有用于 AWS Systems Manager 事件管理器的接口 VPC 终端节点。如果 VPC 没有用于 Systems Manager Incident Manager 的接口 VPC 端点，则此控件会失败。此控件评估单个账户中的资源。

AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务，同时将所有网络流量保持在 AWS 网络内。服务用户可以私密访问 PrivateLink 由 VPC 或本地提供支持的服务，无需使用公共服务 IPs，也无需流量通过 Internet 进行传输。

### 修复
<a name="ec2-60-remediation"></a>

要配置 VPC 终端节点，请参阅*AWS PrivateLink 指南中的[AWS 服务 使用接口 VPC 终端节点访问](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)和*。

## [EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2
<a name="ec2-170"></a>

**相关要求：**PCI DSS v4.0.1/2.2.6

**类别：**保护 > 网络安全

**严重性：**低

**资源类型：**`AWS::EC2::LaunchTemplate`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon EC2 启动模板是否配置了实例元数据服务版本 2 (IMDSv2)。如果设置为，`HttpTokens`则控制失败`optional`。

在支持的软件版本上运行资源可确保最佳性能、安全性和对最新功能的访问。定期更新可防止漏洞，这有助于确保稳定高效的用户体验。

### 修复
<a name="ec2-170-remediation"></a>

如果要求在 EC2 启动模板上使用 IMDSv2，请参阅《Amazon EC2 用户指南》**中的[配置实例元数据服务选项](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html)。

## [EC2.171] EC2 VPN 连接应启用日志记录
<a name="ec2-171"></a>

**相关要求：**CIS AWS 基金会基准 v3.0.0/5.3、PCI DSS v4.0.1/10.4.2

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::EC2::VPNConnection`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 AWS Site-to-Site VPN 连接是否为两条隧道都启用 CloudWatch 了 Amazon Logs。如果 Site-to-Site VPN 连接没有为两条隧道启用 CloudWatch 日志，则控制失败。

AWS Site-to-Site VPN 日志可让您更深入地了解 Site-to-Site VPN 部署。使用此功能，您可以访问 Site-to-Site VPN 连接日志，这些日志提供有关 IP 安全 (IPsec) 隧道建立、互联网密钥交换 (IKE) 协商和失效对等体检测 (DPD) 协议消息的详细信息。 Site-to-SiteVPN 日志可以发布到 CloudWatch 日志。此功能为客户提供了一种统一的方式来访问和分析其所有 Site-to-Site VPN 连接的详细日志。

### 修复
<a name="ec2-171-remediation"></a>

要在 EC2 VPN 连接上启用隧道[日志记录，请参阅AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs) *用户指南中的AWS Site-to-Site VPN* 日志。

## [EC2.172] EC2 VPC 阻止公开访问设置应阻止互联网网关流量
<a name="ec2-172"></a>

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**中

**资源类型：**`AWS::EC2::VPCBlockPublicAccessOptions`

**AWS Config 规则:**`ec2-vpc-bpa-internet-gateway-blocked`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `vpcBpaInternetGatewayBlockMode`  |  VPC BPA 选项模式的字符串值。  |  枚举  |  `block-bidirectional`, `block-ingress`  |  无默认值  | 

此控件检查是否将 Amazon EC2 VPC 阻止公有访问 (BPA) 设置配置为阻止所有亚马逊 VPCs 的互联网网关流量。 AWS 账户如果 VPC BPA 设置未配置为阻止互联网网关流量，则该控件会失败。要使控件通过，VPC BPA `InternetGatewayBlockMode` 必须设置为 `block-bidirectional` 或 `block-ingress`。如果提供了参数 `vpcBpaInternetGatewayBlockMode`，则只有当 `InternetGatewayBlockMode` 的 VPC BPA 值与该参数匹配时，该控件才会通过。

在中为您的账户配置 VPC BPA 设置后， AWS 区域 您可以阻止该区域中的资源 VPCs 和子网通过互联网网关和仅限出口 Internet 的网关访问或访问您在该区域拥有的子网。如果您需要特定的 VPCs 子网才能访问或通过互联网访问，则可以通过配置 VPC BPA 排除来将其排除。有关创建和删除排除项的说明，请参阅《Amazon VPC 用户指南》**中的[创建和删除排除项](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions)。

### 修复
<a name="ec2-172-remediation"></a>

要在账户级别启用双向 BPA，请参阅《Amazon VPC 用户指南》**中的[为您的账户启用 BPA 双向模式](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir)。要启用仅入口 BPA，请参阅[将 VPC BPA 模式更改为仅入口](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only)。要在组织级别启用 VPC BPA，请参阅[在组织级别启用 VPC BPA](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs)。

## [EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密
<a name="ec2-173"></a>

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::EC2::SpotFleet`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)

**计划类型：**已触发变更

**参数：**无

此控件检查指定启动参数的 Amazon EC2 竞价型实例集请求是否配置为对连接到 EC2 实例的所有 Amazon Elastic Block Store（Amazon EBS）卷启用加密。如果竞价型实例集请求指定了启动参数，但未对​​请求中指定的一个或多个 EBS 卷启用加密，则该控件会失败。

为了进一步提高安全性，您应该为 Amazon EBS 卷启用加密。然后，加密操作会在托管 Amazon EC2 实例的服务器上进行，这有助于确保实例与其附加的 EBS 存储之间传输的静态数据和传输中数据的安全。Amazon EBS 加密是一种直接加密解决方案，适用于与 EC2 实例关联的 EBS 资源。借助 EBS 加密，您无需构建、维护和保护自己的密钥管理基础设施。创建加密卷 AWS KMS keys 时使用 EBS 加密。

**注意**  
此控件不会为使用启动模板的 Amazon EC2 竞价型实例集请求生成调查发现。对于未明确指定 `encrypted` 参数值的竞价型实例集请求，它也不会生成调查发现。

### 修复
<a name="ec2-173-remediation"></a>

没有直接对现有未加密 Amazon EBS 卷进行加密的方法。您只能在创建新卷时对其进行加密。

但是，如果您默认情况下启用加密，Amazon EBS 将使用您的 EBS 加密默认密钥对新卷进行加密。如果默认情况下未启用加密，则可以在创建单个卷时启用加密。在这两种情况下，您都可以覆盖 EBS 加密的默认密钥，并选择客户管理型 AWS KMS key。有关 EBS 加密的更多信息，请参阅《Amazon EC2 用户指南》**中的 [Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。

有关创建 Amazon EC2 竞价型实例集请求的信息，请参阅《Amazon Elastic Compute Cloud 用户指南》**中的[创建竞价型实例集](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html)。

## [EC2.174] 应标记 EC2 DHCP 选项集
<a name="ec2-174"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::DHCPOptions`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 Amazon EC2 DHCP 选项集是否具有 `requiredKeyTags` 参数指定的标签键。如果选项集没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件将失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果选项集没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="ec2-174-remediation"></a>

有关向 Amazon EC2 DHCP 选项集添加标签的信息，请参阅《Amazon EC2 用户指南》**中的[标记您的 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。

## [EC2.175] 应标记 EC2 启动模板
<a name="ec2-175"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::LaunchTemplate`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 Amazon EC2 启动模板是否具有 `requiredKeyTags` 参数指定的标签键。如果启动模板没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果启动模板没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="ec2-175-remediation"></a>

有关向 Amazon EC2 启动模板添加标签的信息，请参阅《Amazon EC2 用户指南》**中的[标记您的 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。

## [EC2.176] 应标记 EC2 前缀列表
<a name="ec2-176"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::PrefixList`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 Amazon EC2 前缀列表是否具有 `requiredKeyTags` 参数指定的标签键。如果前缀列表没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件将失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果前缀列表没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="ec2-176-remediation"></a>

有关向 Amazon EC2 前缀列表添加标签的信息，请参阅《Amazon EC2 用户指南》**中的[标记您的 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。

## [EC2.177] 应标记 EC2 流量镜像会话
<a name="ec2-177"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::TrafficMirrorSession`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 Amazon EC2 流量镜像会话是否具有 `requiredKeyTags` 参数指定的标签键。如果会话没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件将失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果会话没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="ec2-177-remediation"></a>

有关向 Amazon EC2 流量镜像会话添加标签的信息，请参阅《Amazon EC2 用户指南》**中的[标记您的 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。

## [EC2.178] 应标记 EC2 流量镜像筛选条件
<a name="ec2-178"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::TrafficMirrorFilter`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 Amazon EC2 流量镜像筛选条件是否具有 `requiredKeyTags` 参数指定的标签键。如果筛选条件没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件将失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果筛选条件没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="ec2-178-remediation"></a>

有关向 Amazon EC2 流量镜像筛选条件添加标签的信息，请参阅《Amazon EC2 用户指南》**中的[标记您的 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。

## [EC2.179] 应标记 EC2 流量镜像目标
<a name="ec2-179"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EC2::TrafficMirrorTarget`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 Amazon EC2 流量镜像目标是否具有 `requiredKeyTags` 参数指定的标签键。如果目标没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件将失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果目标没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="ec2-179-remediation"></a>

有关向 Amazon EC2 流量镜像目标添加标签的信息，请参阅《Amazon EC2 用户指南》**中的[标记您的 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。

## [EC2.180] EC2 网络接口应启用检查功能 source/destination
<a name="ec2-180"></a>

**类别：**保护 > 网络安全

**严重性：**中

**资源类型：**`AWS::EC2::NetworkInterface`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件 source/destination 检查是否启用了对由用户管理的 Amazon EC2 弹性网络接口 (ENI) 的检查。如果禁用了对用户管理的 ENI 的 source/destination 检查，则控制失败。此控件仅检查以下类型 ENIs：`aws_codestar_connections_managed`、`branch``efa`、`interface`、`lambda`、和`quicksight`。

Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destination地址验证，可确保实例是其接收的任何流量的来源或目的地。这通过防止资源处理非预期流量和防止 IP 地址欺骗来提供额外网络安全层。

**注意**  
如果您将 EC2 实例用作 NAT 实例，但禁用了对其 ENI 的 source/destination 检查，则可以改用 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)。

### 修复
<a name="ec2-180-remediation"></a>

有关为 Amazon EC2 弹性网卡启用 source/destination 检查的信息，请参阅 *Amazon EC2 用户指南*中的[修改网络接口属性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check)。

## [EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密
<a name="ec2-181"></a>

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::EC2::LaunchTemplate`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon EC2 启动模板是否为所有连接的 EBS 卷启用加密。如果 EC2 启动模板指定的任何 EBS 卷的加密参数设置为 `False`，则该控件会失败。

Amazon EBS 加密是一种适用于与 Amazon EC2 实例关联的 EBS 资源的直接加密解决方案。借助 EBS 加密，您无需构建、维护和保护自己的密钥管理基础设施。创建加密卷和快照时，EBS 加密使用 AWS KMS keys 。加密操作会在托管 EC2 实例的服务器上进行，这有助于确保 EC2 实例与其附加的 EBS 存储之间传输的静态数据和传输中数据的安全。有关更多信息，请参阅《Amazon EBS 用户指南》**中的 [Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。

您可以在手动启动单个 EC2 实例期间启用 EBS 加密。然而，使用 EC2 启动模板并在这些模板中配置加密设置有很多好处。您可以将加密作为标准强制执行，并确保使用一致的加密设置。您还可以降低手动启动实例时可能会出现的错误和安全漏洞的风险。

**注意**  
当此控件检查 EC2 启动模板时，它只会评估模板明确指定的 EBS 加密设置。评估不包括继承自账户级 EBS 加密设置、AMI 块设备映射或源快照加密状态的加密设置。

### 修复
<a name="ec2-181-remediation"></a>

创建 Amazon EC2 启动模板后，您将无法对其进行修改。但是，您可以创建一个新版本的启动模板，并在该新版本的模板中更改加密设置。您还可以将新版本指定为启动模板的默认版本。然后，如果您从启动模板启动 EC2 实例，并且没有指定模板版本，则 EC2 在启动实例时会使用默认版本的设置。有关更多信息，请参阅《Amazon EC2 用户指南》**中的[修改启动模板](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html)。

## [EC2.182] Amazon EBS 快照不应向公众开放
<a name="ec2-182"></a>

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**高

**资源类型：**`AWS::EC2::SnapshotBlockPublicAccess`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)

**计划类型：**已触发变更

**参数：**无

该控件会检查是否启用了阻止公开访问以阻止所有共享 Amazon EBS 快照。如果未启用阻止公共访问以阻止所有 Amazon EBS 快照的所有共享，则控制失败。

要防止公开共享您的 Amazon EBS 快照，您可以为快照启用禁止公开访问功能。在某个区域启用了对快照的封禁公共访问后，任何在该区域公开共享快照的尝试都会被自动阻止。这有助于提高快照的安全性，并保护快照数据免遭未经授权或意外访问。

### 修复
<a name="ec2-182-remediation"></a>

要启用对快照的封锁公有访问，请参阅 Amazon EBS *用户*指南中的[为 Amazon EBS 快照配置屏蔽公开访问](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html)。在 “**阻止公共访问**” 中，选择 “**阻止所有公共访问**”。

# 适用于 Auto Scaling 的 Security Hub CSPM 控件
<a name="autoscaling-controls"></a>

这些 Security Hub CSPM 控件用于评估 Amazon A EC2 uto Scaling 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查
<a name="autoscaling-1"></a>

**相关要求：**PCI DSS v3.2.1/2.2、、nist.800-53.r5 CP-2 (2) NIST.800-53.r5 CA-7、nist.800-53.r5 SI-2

**类别：**识别 > 清单

**严重性：**低

**资源类型：**`AWS::AutoScaling::AutoScalingGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)

**计划类型：**已触发变更

**参数：**无

此控件检查与负载均衡器关联的 Amazon A EC2 uto Scaling 组是否使用弹性负载平衡 (ELB) 运行状况检查。如果自动扩缩组未使用 ELB 运行状况检查，则控件会失败。

ELB 运行状况检查可确保自动扩缩组可以根据负载均衡器提供的其他测试确定实例的运行状况。使用 Elastic Load Balancing 运行状况检查还有助于支持使用 EC2 Auto Scaling 组的应用程序的可用性。

### 修复
<a name="autoscaling-1-remediation"></a>

要添加 Elastic Load Balancing 运行状况检查，请参阅 *Amazon A EC2 uto Scaling 用户指南*中的[添加弹性负载平衡运行状况](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console)检查。

## [AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域
<a name="autoscaling-2"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::AutoScaling::AutoScalingGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  可用区的最小数量  |  枚举  |  `2, 3, 4, 5, 6`  |  `2`  | 

此控件检查 Amazon A EC2 uto Scaling 组是否至少跨越指定数量的可用区 (AZs)。如果 Auto Scaling 组的跨度不超过指定数量，则控制失败 AZs。除非您为最小数量提供自定义参数值 AZs，否则 Security Hub CSPM 将使用默认值为 2。 AZs

如果配置的单个可用区不可用，不跨越多个 AZs 的 Auto Scaling 组无法在另一个可用区中启动实例来补偿。但在某些使用案例中，例如批处理作业，或需要将可用区间传输成本保持在最低时，首选具有单个可用区的自动扩缩组。在这种情况下，您可以禁用此控件或隐藏其调查发现。

### 修复
<a name="autoscaling-2-remediation"></a>

要 AZs 添加到现有 Auto Scaling 组，请参阅 *Amazon A EC2 uto Scaling 用户指南*中的[添加和删除可用区](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html)。

## [AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)
<a name="autoscaling-3"></a>

**相关要求：** NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、(7)、、 NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1)、nist.800-53.r5 CM-2、PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-6

**类别：**保护 > 安全网络配置

**严重性：**高

**资源类型：**`AWS::AutoScaling::LaunchConfiguration`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 Amazon A EC2 uto Scaling 群组启动的所有实例是否 IMDSv2 已启用。如果实例元数据服务 (IMDS) 版本未包含在启动配置中或配置为（该设置允许 IMDSv1 或 IMDSv2之一）`token optional`，则控制失败。

IMDS 提供有关实例的数据，您可以使用这些数据来配置或管理正在运行的实例。

IMDS 第 2 版添加了新的保护措施，这些保护措施在进一步保护您的 EC2 实例 IMDSv1 时没有这些保护措施。

### 修复
<a name="autoscaling-3-remediation"></a>

自动扩缩组一次与一个启动配置关联。在创建启动配置后，您将无法对其进行修改。要更改 Auto Scaling 组的启动配置，请使用现有启动配置作为 IMDSv2 启用的新启动配置的基础。有关更多信息，请参阅 *Amazon EC2 用户指南*中的[为新实例配置实例元数据选项](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html)。

## [AutoScaling.4] Auto Scaling 组启动配置的元数据响应跳跃限制不应大于 1
<a name="autoscaling-4"></a>

**重要**  
Security Hub CSPM 于 2024 年 4 月取消了该控制权。有关更多信息，请参阅 [Security Hub CSPM 控件的更改日志](controls-change-log.md)。

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)

**类别：**保护 > 安全网络配置

**严重性：**高

**资源类型：**`AWS::AutoScaling::LaunchConfiguration`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)

**计划类型：**已触发变更

**参数：**无

此控件检查元数据令牌可以传输的网络跃点数。如果元数据响应跳数限制大于 `1`，则控制失败。

实例元数据服务 (IMDS) 提供有关 Amazon EC2 实例的元数据信息，可用于应用程序配置。将元数据服务的 HTTP `PUT` 响应限制为仅限 EC2 实例，可保护 IMDS 免遭未经授权的使用。

IP 数据包中的生存时间（TTL）字段每个跳点上减少一个。这种减少可用于确保包裹不会在外面传输 EC2。 IMDSv2 保护可能被错误配置为开放路由器、第 3 层防火墙 VPNs、隧道或 NAT 设备的 EC2 实例，从而防止未经授权的用户检索元数据。使用时 IMDSv2，包含密钥令牌的`PUT`响应无法传送到实例之外，因为默认的元数据响应跳跃限制设置为`1`。但是，如果此值大于`1`，则令牌可以离开 EC2 实例。

### 修复
<a name="autoscaling-4-remediation"></a>

要修改现有启动配置的元数据响应跳跃限制，请参阅 *Amazon EC2 用户指南*中的[修改现有实例的实例元数据选项](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances)。

## [Autoscaling.5] 使用 Auto Scaling 组启动配置启动的 EC2 亚马逊实例不应具有公有 IP 地址
<a name="autoscaling-5"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、、(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**高

**资源类型：**`AWS::AutoScaling::LaunchConfiguration`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查自动扩缩组的关联启动配置是否为该组的实例分配了[公有 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses)。如果关联的启动配置分配了公有 IP 地址，则控制失败。

Auto Scaling 组启动配置中的亚马逊 EC2 实例不应具有关联的公有 IP 地址，有限的边缘情况除外。Amazon EC2 实例只能从负载均衡器后面访问，而不是直接暴露在互联网上。

### 修复
<a name="autoscaling-5-remediation"></a>

自动扩缩组一次与一个启动配置关联。在创建启动配置后，您将无法对其进行修改。要更改 Auto Scaling 组的启动配置，请将现有的启动配置作为新启动配置的基础。然后，更新 Auto Scaling 组以使用新的启动配置。有关 step-by-step说明，请参阅 *Amazon Auto Scaling 用户指南中的更改 A EC2 uto Scaling* [组的启动配置](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html)。创建新的启动配置时，在**其他配置**下，在**高级详细信息、IP 地址类型**下，选择**不要为任何实例分配公有 IP 地址**。

变更启动配置后，自动扩缩会使用新的配置选项启动新实例。现有实例不受影响。要更新现有实例，我们建议您刷新实例，或者根据终止策略启用自动扩缩，以逐步使用较新实例替换较旧实例。有关更新 Auto Scaling 实例的更多信息，请参阅 *Amazon Auto Scaling 用户指南中的更新 A EC2 uto Scaling* [实](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances)例。

## [AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型
<a name="autoscaling-6"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::AutoScaling::AutoScalingGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)

**计划类型：**已触发变更

**参数：**无

此控件用于检查 Amazon A EC2 uto Scaling 组是否使用多种实例类型。如果自动扩缩组仅定义了一个实例类型，则控制失败。

您可以跨多个可用区中运行的多个实例类型部署应用程序以提高可用性。Security Hub CSPM 建议使用多种实例类型，这样 Auto Scaling 组可以在您选择的可用区域中的实例容量不足时启动另一种实例类型。

### 修复
<a name="autoscaling-6-remediation"></a>

要创建具有多种实例类型的 Auto Scaling 组，请参阅 *Amazon Auto Scaling 用户指南中的具有多种实例类型和购买选项的 A EC2 uto Scaling* [群](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html)组。

## [AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板
<a name="autoscaling-9"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)

**类别：**识别 > 资源配置

**严重性：**中

**资源类型：**`AWS::AutoScaling::AutoScalingGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 Amazon A EC2 uto Scaling 群组是否是根据 EC2 启动模板创建的。如果未使用启动模板创建 Amazon A EC2 uto Scaling 组，或者混合实例策略中未指定启动模板，则此控制将失败。

可以根据 EC2 启动模板或启动配置创建 A EC2 uto Scaling 组。但是，使用启动模板创建自动扩缩组可确保您能够访问最新功能和改进。

### 修复
<a name="autoscaling-9-remediation"></a>

要使用 EC2 启动模板创建 Auto Scaling 群组，请参阅 *Amazon Auto Scaling 用户指南中的使用启动模板创建 A EC2 uto Scaling* [群](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html)组。有关如何用启动模板替换启动配置的信息，请参阅 *Amazon EC2 用户指南*中的将[启动配置替换为启动模板](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html)。

## [AutoScaling.10] 应标记 EC2 Auto Scaling 群组
<a name="autoscaling-10"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::AutoScaling::AutoScalingGroup`

**AWS Config 规则:**`tagged-autoscaling-autoscalinggroup`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 Amazon A EC2 uto Scaling 组是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果自动扩缩组没有任何标签键或未在参数 `requiredTagKeys` 中指定所有键，则此控件会失败。如果未提供参数 `requiredTagKeys`，则此控件仅会检查是否存在标签键，如果自动扩缩组未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="autoscaling-10-remediation"></a>

要向 Auto Scaling 组添加[标签，请参阅 *Amazon Auto Scaling 用户指南中的为 EC2 自动缩放*组和实例](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html)添加标签。

# 适用于亚马逊 ECR 的 Security Hub CSPM 控件
<a name="ecr-controls"></a>

这些 Security Hub CSPM 控件评估亚马逊弹性容器注册表 (Amazon ECR) Container Registry 的服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [ECR.1] ECR 私有存储库应配置图像扫描
<a name="ecr-1"></a>

**相关要求：** NIST.800-53.r5 RA-5，PCI DSS v4.0.1/6.2.3，PCI DSS v4.0.1/6.2.4

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**高

**资源类型：**`AWS::ECR::Repository`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查私有 Amazon ECR 存储库是否配置了图像扫描。如果未将私有 ECR 存储库配置为推送时扫描或连续扫描，则控制失败。

ECR 映像扫描有助于识别容器映像中的软件漏洞。在 ECR 存储库上配置图像扫描为所存储图像的完整性和安全性添加了一层验证。

### 修复
<a name="ecr-1-remediation"></a>

要为 ECR 存储库配置图像扫描，请参阅 *Amazon Elastic Container Registry 用户指南*中的[图像扫描](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html)。

## [ECR.2] ECR 私有存储库应配置标签不可变性
<a name="ecr-2"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-8 (1)

**类别：**识别 > 清单 > 标记

**严重性：**中

**资源类型：**`AWS::ECR::Repository`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查私有 ECR 存储库是否启用了标签不可变性。如果私有 ECR 存储库禁用了标签不可变性，则此控制失败。如果启用了标签不可变性并且具有值 `IMMUTABLE`，则此规则通过。

Amazon ECR 标签不变性使客户能够依靠图像的描述性标签作为跟踪和唯一识别图像的可靠机制。不可变标签是静态的，这意味着每个标签都引用一个唯一的图像。这提高了可靠性和可扩展性，因为使用静态标签总是会导致部署相同的映像。配置后，标签不变性可防止标签被覆盖，从而减少攻击面。

### 修复
<a name="ecr-2-remediation"></a>

要创建配置了不可变标签的存储库或更新现有存储库的图像标签可变性设置，请参阅 *Amazon Elastic Container Registry 用户指南*中的[图像标签可变性](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html)。

## [ECR.3] ECR 存储库应至少配置一个生命周期策略
<a name="ecr-3"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)

**类别：**识别 > 资源配置

**严重性：**中

**资源类型：**`AWS::ECR::Repository`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon ECR 存储库是否至少配置了一个生命定期策略。如果 ECR 存储库未配置任何生命定期策略，则此控制失败。

Amazon ECR 生命周期策略使您能够指定存储库中镜像的生命周期管理。通过配置生命周期策略，您可以根据年龄或数量自动清理未使用的映像以及到期的映像。自动执行这些任务可以帮助您避免无意中使用存储库中过时的映像。

### 修复
<a name="ecr-3-remediation"></a>

要配置生命周期策略，请参阅 *Amazon Elastic Container Registry 用户指南*中的[创建生命周期策略预览](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html)。

## [ECR.4] 应标记 ECR 公有存储库
<a name="ecr-4"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::ECR::PublicRepository`

**AWS Config 规则:**`tagged-ecr-publicrepository`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon ECR 公有存储库是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果公有存储库没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果公有存储库未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="ecr-4-remediation"></a>

要向 ECR 公有存储库添加标签，请参阅《Amazon Elastic Container Registry 用户指南》**中的[标记 Amazon ECR 公有存储库](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html)。

## [ECR.5] ECR 存储库应使用客户托管进行加密 AWS KMS keys
<a name="ecr-5"></a>

**相关要求：** NIST.800-53.r5 SC-12 (2)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、(10)、(1)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)、nist.800-53.r5 NIST.800-53.r5 CA-9 (6)、nist.800-53.r5 AU-9

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::ECR::Repository`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  评估中 AWS KMS keys 要包含的 Amazon 资源名称 (ARNs) 列表。如果 ECR 存储库未使用列表中的 KMS 密钥进行加密，则该控件会生成 `FAILED` 调查发现。  |  StringList （最多 10 个项目）  |  1—10 个 ARNs 现有 KMS 密钥。例如：`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`  |  无默认值  | 

此控件检查 Amazon ECR 存储库是否已使用客户管理型 AWS KMS key进行静态加密。如果未使用客户自主管理型 KMS 密钥对 ECR 存储库进行加密，则该控件会失败。您可以选择为控件指定要包含在评估中的 KMS 密钥列表。

默认情况下，Amazon ECR 使用 AES-256 算法通过 Amazon S3 托管密钥（SSE-S3）对存储库数据进行加密。为了获得更多控制，您可以将 Amazon ECR 配置为改用 AWS KMS key （SSE-KMS 或 DSSE-KMS）对数据进行加密。KMS 密钥可以是：Amazon ECR 为您创建和管理的别名为 `aws/ecr` 的 AWS 托管式密钥 ，或您在自己的 AWS 账户中创建和管理的客户自主管理型密钥。使用客户管理型 KMS 密钥，您可以完全控制密钥。这包括定义和维护密钥策略、管理授权、轮换加密材料、分配标签、创建别名以及启用和禁用密钥。

**注意**  
AWS KMS 支持跨账户访问 KMS 密钥。如果 ECR 存储库使用其他账户拥有的 KMS 密钥进行加密，则此控件在评估存储库时不会执行跨账户检查。该控件不会评测 Amazon ECR 在对存储库执行加密操作时是否可以访问和使用密钥。

### 修复
<a name="ecr-5-remediation"></a>

您无法更改现有 ECR 存储库的加密设置。但是，您可以为后续创建的 ECR 存储库指定不同的加密设置。Amazon ECR 支持对各个存储库使用不同的加密设置。

有关 ECR 存储库的加密选项的更多信息，请参阅《Amazon ECR 用户指南》**中的 [Encryption at rest](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html)。有关客户管理的更多信息 AWS KMS keys，请参阅*AWS Key Management Service 开发者指南[AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)*中的。

# 适用于 Amazon ECS 的 Security Hub CSPM 控件
<a name="ecs-controls"></a>

这些 Security Hub CSPM 控件评估亚马逊弹性容器服务 (Amazon ECS) 的服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义
<a name="ecs-1"></a>

**重要**  
Security Hub CSPM 于 2026 年 3 月取消了该控制权。有关更多信息，请参阅 [Security Hub CSPM 控件的更改日志](controls-change-log.md)。您可以参考以下控件来评估特权配置、网络模式配置和用户配置：  
 [[ECS.4] ECS 容器应以非特权身份运行](#ecs-4) 
 [[ECS.17] ECS 任务定义不应使用主机网络模式](#ecs-17) 
 [[ECS.20] ECS 任务定义应在 Linux 容器定义中配置非 root 用户](#ecs-20) 
 [[ECS.21] ECS 任务定义应在 Windows 容器定义中配置非管理员用户](#ecs-21) 

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6

**类别：**保护 > 安全访问管理

**严重性：**高

**资源类型：**`AWS::ECS::TaskDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)

**计划类型：**已触发变更

**参数：**
+ `SkipInactiveTaskDefinitions`：`true`（不可自定义）

此控件检查主机联网模式下的活动 Amazon ECS 任务定义是否具有 `privileged` 或 `user` 容器定义。对于具有主机网络模式和容器定义为 `privileged=false`、空或 `user=root` 的任务定义，控制失败。

此控件仅评估 Amazon ECS 任务定义的最新活动版本。

此控件的目的是确保在运行使用主机网络模式的任务时有意定义访问。如果任务定义具有更高的权限，那是因为您选择了该配置。当任务定义启用了主机网络并且您未选择更高的权限时，此控件会检查意外的权限升级。

### 修复
<a name="ecs-1-remediation"></a>

有关如何更新任务定义的信息，请参阅 *Amazon Elastic Container Service 开发人员指南* 中的[更新任务定义](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html)。

当您更新任务定义时，它不会更新从先前任务定义启动的正在运行的任务。要更新正在运行的任务，您必须使用新任务定义重新部署该任务。

## [ECS.2] ECS 服务不应自动分配公有 IP 地址
<a name="ecs-2"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、、(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**高

**资源类型：**`AWS::ECS::Service`

**AWS Config 规则:**`ecs-service-assign-public-ip-disabled`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon ECS 服务是否配置为自动分配公有 IP 地址。如果 `AssignPublicIP` 是 `ENABLED`，则控制失败。如果 `AssignPublicIP` 是 `DISABLED`，则此控件通过。

公有 IP 地址是指可通过 Internet 访问的 IP 地址。如果您使用公有 IP 地址启动 Amazon ECS 实例，则可以通过 Internet 访问 Amazon ECS 实例。Amazon ECS 服务不应公开访问，因为这可能会允许对容器应用程序服务器进行意外访问。

### 修复
<a name="ecs-2-remediation"></a>

首先，您必须为您的集群创建一个任务定义，该集群使用 `awsvpc` 网络模式并为 `requiresCompatibilities` 指定 **FARGATE**。然后，对于**计算配置**，请选择**启动类型**和 **FARGATE**。最后，对于**网络**字段，请关闭**公有 IP** 以禁用服务的公有 IP 自动分配。

## [ECS.3] ECS 任务定义不应共享主机的进程命名空间
<a name="ecs-3"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**识别 > 资源配置

**严重性：**高

**资源类型：**`AWS::ECS::TaskDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon ECS 任务定义是否配置为与其容器共享主机的进程命名空间。如果任务定义与其上运行的容器共享主机的进程命名空间，则控制失败。此控件仅评估 Amazon ECS 任务定义的最新活动版本。

进程 ID（PID）命名空间提供了进程之间的分离。它可以防止系统进程可见，并 PIDs 允许重复使用，包括 PID 1。如果主机的 PID 命名空间与容器共享，则容器可以看到主机系统上的所有进程。这降低了主机和容器之间进程级分离的好处。这些情况可能导致未经授权访问主机本身的进程，包括操纵和终止这些进程的能力。客户不应与其上运行的容器共享主机的进程命名空间。

### 修复
<a name="ecs-3-remediation"></a>

要对任务定义进行配置，请参阅 `pidMode` Amazon Elastic Container Service 开发人员指南中的[任务定义参数](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode)。

## [ECS.4] ECS 容器应以非特权身份运行
<a name="ecs-4"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6

**类别：**保护 > 安全访问管理 >根用户访问限制

**严重性：**高

**资源类型：**`AWS::ECS::TaskDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon ECS 任务定义的容器定义中的 `privileged` 参数是否设置为 `true`。如果此参数等于，则控制失败`true`。此控件仅评估 Amazon ECS 任务定义的最新活动版本。

我们建议您从 ECS 任务定义中删除提升权限。当权限参数为 `true` 时，容器被赋予对宿主容器实例的提升权限（类似于根用户）。

### 修复
<a name="ecs-4-remediation"></a>

要配置任务定义的 `privileged` 参数，请参阅 Amazon Elastic Container Service 开发人员指南中的[高级容器定义参数](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security)。

## [ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限
<a name="ecs-5"></a>

**相关要求：** NIST.800-53.r5 AC-2(1) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6

**类别：**保护 > 安全访问管理

**严重性：**高

**资源类型：**`AWS::ECS::TaskDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 ECS 任务定义是否将容器配置为仅限对已安装的根文件系统的只读访问权限。如果 ECS 任务定义的容器定义中的`readonlyRootFilesystem`参数设置为`false`，或者任务定义中的容器定义中不存在该参数，则控制失败。此控件仅评估 Amazon ECS 任务定义的最新活跃版本。

如果在 Amazon ECS 任务定义中将 `readonlyRootFilesystem` 参数设置为 `true`，则 ECS 容器将获得对其根文件系统的只读访问权限。这样可减少安全攻击向量，因为如果没有对文件系统文件夹和目录具有读写权限的显式卷挂载，就无法篡改或写入容器实例的根文件系统。启用此选项还遵循最低权限原则。

**注意**  
Windows 容器不支持该`readonlyRootFilesystem`参数。`runtimePlatform`配置为指定`WINDOWS_SERVER`操作系统系列的任务定义被标记为`NOT_APPLICABLE`且不会生成此控件的调查结果。

### 修复
<a name="ecs-5-remediation"></a>

要授予 Amazon ECS 容器对其根文件系统的只读访问权限，请将 `readonlyRootFilesystem` 参数添加到容器的任务定义，并将该参数的值设置为 `true`。有关任务定义参数以及如何将其添加到任务定义中的信息，请参阅《Amazon Elastic Container Service 开发人员指南》**中的 [Amazon ECS 任务定义](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html)和[更新任务定义](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)。

## [ECS.8] 密钥不应作为容器环境变量传递
<a name="ecs-8"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、PCI DSS v4.0.1/8.6.2

**类别：**保护 > 安全开发 > 凭证未硬编码

**严重性：**高

**资源类型：**`AWS::ECS::TaskDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html)

**计划类型：**已触发变更

**参数：**`secretKeys`：`AWS_ACCESS_KEY_ID`、`AWS_SECRET_ACCESS_KEY`、`ECS_ENGINE_AUTH_DATA`（不可自定义） 

此控件检查容器定义 `environment` 参数中任何变量的键值是否包括 `AWS_ACCESS_KEY_ID`、`AWS_SECRET_ACCESS_KEY` 或 `ECS_ENGINE_AUTH_DATA`。如果任何容器定义中的单个环境变量等于 `AWS_ACCESS_KEY_ID`、`AWS_SECRET_ACCESS_KEY` 或 `ECS_ENGINE_AUTH_DATA`，则此控制失败。此控件不包括从其他位置（例如 Amazon S3）传入的环境变量。此控件仅评估 Amazon ECS 任务定义的最新活动版本。

AWS Systems Manager Parameter Store 可以帮助您改善组织的安全状况。我们建议使用 Parameter Store 存储密钥和凭证，而不是直接将其传递到容器实例或将其硬编码到代码中。

### 修复
<a name="ecs-8-remediation"></a>

要使用 SSM 创建参数，请参阅 *AWS Systems Manager 用户指南*中的[创建 Systems Manager 参数](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html)。有关创建指定密钥的任务定义的更多信息，请参阅 *Amazon Elastic Container Service 开发人员指南*中的[使用 Secrets Manager 指定敏感数据](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition)。

## [ECS.9] ECS 任务定义应具有日志配置
<a name="ecs-9"></a>

**相关要求：** NIST.800-53.r5 AC-4(26)、、 NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-7 (8)

**类别：**识别 > 日志记录

**严重性：**高

**资源类型：**`AWS::ECS::TaskDefinition`

**AWS Config 规则：ecs-task-definition-log**[-配置](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)

**计划类型：**已触发变更

**参数：**无

此控件检查最新的活动的 Amazon ECS 任务定义是否指定了日志配置。如果任务定义未定义 `logConfiguration` 属性，或者至少有一个容器定义中的 `logDriver` 值为空，则控制失败。

日志记录可帮助您保持 Amazon ECS 的可靠性、可用性和性能。从任务定义中收集数据可提供可见性，这可以帮助您调试流程并找到错误的根本原因。如果您使用的日志记录解决方案不必在 ECS 任务定义中定义（例如第三方日志解决方案），则可以在确保正确捕获和传送日志后禁用此控件。

### 修复
<a name="ecs-9-remediation"></a>

要为 Amazon ECS 任务定义定义日志配置，请参阅 *Amazon Elastic Container Service 开发人员指南*中的[在任务定义中指定日志配置](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config)。

## [ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行
<a name="ecs-10"></a>

**相关要求：**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2（2）、NIST.800-53.r5 SI-2（4）、NIST.800-53.r5 SI-2（5）、PCI DSS v4.0.1/6.3.3

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**中

**资源类型：**`AWS::ECS::Service`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)

**计划类型：**已触发变更

**参数：**
+ `latestLinuxVersion: 1.4.0`（不可自定义）
+ `latestWindowsVersion: 1.0.0`（不可自定义）

此控件检查 Amazon ECS Fargate 服务是否正在运行最新的 Fargate 平台版本。如果平台版本不是最新版本，则此控制失败。

AWS Fargate 平台版本是指 Fargate 任务基础架构的特定运行时环境，它是内核和容器运行时版本的组合。随着运行时系统环境的发展，将不断发布新的平台版本。例如，可能会发布新版本以进行内核或操作系统更新、新功能、错误修复或安全更新。 Fargate 任务的安全更新和补丁将自动部署。如果发现影响平台版本的安全问题，请 AWS 修补平台版本。

### 修复
<a name="ecs-10-remediation"></a>

要更新现有服务，包括其平台版本，请参阅 *Amazon Elastic Container Service 开发人员指南*中的[更新服务](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html)。

## [ECS.12] ECS 集群应该使用容器详情
<a name="ecs-12"></a>

**相关要求：** NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7，nist.800-53.r5 SI-2

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::ECS::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 ECS 集群是否使用容器见解。如果未为集群设置 Container Insights，则此控制失败。

监控是维护 Amazon ECS 集群的可靠性、可用性和性能的重要组成部分。使用 CloudWatch Container Insights 收集、汇总和汇总来自容器化应用程序和微服务的指标和日志。 CloudWatch 自动收集许多资源的指标，例如 CPU、内存、磁盘和网络。Container Insights 还提供诊断信息（如容器重新启动失败），以帮助您查明问题并快速解决问题。您还可以对容器洞察收集的指标设置 CloudWatch 警报。

### 修复
<a name="ecs-12-remediation"></a>

要使用容器见解，请参阅 *Amazon CloudWatch 用户指南*中的[更新服务](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html)。

## [ECS.13] 应标记 ECS 服务
<a name="ecs-13"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::ECS::Service`

**AWS Config 规则:**`tagged-ecs-service`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon ECS 服务是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果该服务没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果该服务未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="ecs-13-remediation"></a>

要向 ECS 服务添加标签，请参阅《Amazon Elastic Container Service 开发人员指南》**中的[标记 Amazon ECS 资源](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html)。

## [ECS.14] 应标记 ECS 集群
<a name="ecs-14"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::ECS::Cluster`

**AWS Config 规则:**`tagged-ecs-cluster`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon ECS 集群是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果集群没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果集群未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="ecs-14-remediation"></a>

要向 ECS 集群添加标签，请参阅《Amazon Elastic Container Service 开发人员指南》**中的[标记 Amazon ECS 资源](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html)。

## [ECS.15] 应标记 ECS 任务定义
<a name="ecs-15"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::ECS::TaskDefinition`

**AWS Config 规则:**`tagged-ecs-taskdefinition`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon ECS 任务定义是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果任务定义没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果任务定义未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="ecs-15-remediation"></a>

要向 ECS 任务定义添加标签，请参阅《Amazon Elastic Container Service 开发人员指南》**中的[标记 Amazon ECS 资源](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html)。

## [ECS.16] ECS 任务集不应自动分配公有 IP 地址
<a name="ecs-16"></a>

**相关要求：**PCI DSS v4.0.1/1.4.4

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**高

**资源类型：**`AWS::ECS::TaskSet`

**AWS Config 规则:**`ecs-taskset-assign-public-ip-disabled`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon ECS 任务集是否配置为自动分配公有 IP 地址。如果设置为，`AssignPublicIP`则控制失败`ENABLED`。

可通过互联网访问公有 IP 地址。如果您使用公有 IP 地址来配置任务集，则可以通过互联网来访问与任务集关联的资源。ECS 任务集不应可公开访问，因为这可能会允许对容器应用程序服务器进行意外访问。

### 修复
<a name="ecs-16-remediation"></a>

要更新 ECS 任务集使其不使用公有 IP 地址，请参阅《Amazon Elastic Container Service 开发人员指南》**中的[使用控制台更新 Amazon ECS 任务定义](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)。

## [ECS.17] ECS 任务定义不应使用主机网络模式
<a name="ecs-17"></a>

**相关要求：** NIST.800-53.r5 AC-2(1) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::ECS::TaskDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon ECS 任务定义的最新有效修订版是否使用 `host` 网络模式。如果 ECS 任务定义的最新有效版本使用 `host` 网络模式，则该控件会失败。

使用 `host` 网络模式时，Amazon ECS 容器的网络直接与运行该容器的底层主机绑定。因此，这种模式允许容器连接到主机上的私有环回网络服务并模拟主机。其他显著缺点是，在使用 `host` 网络模式时无法重新映射容器端口，而且每台主机只能运行一个任务的单个实例化。

### 修复
<a name="ecs-17-remediation"></a>

有关托管在 Amazon EC2 实例上的 Amazon ECS 任务的联网模式和选项的信息，请参阅《Amazon Elastic Container Service 开发人员指南》**中的 [EC2 启动类型的 Amazon ECS 任务联网选项](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html)。有关创建任务定义的新修订版和指定其他网络模式的信息，请参阅该指南中的[更新 Amazon ECS 任务定义](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)。

如果 Amazon ECS 任务定义是由创建的 AWS Batch，[请参阅 AWS Batch 作业的](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html)联网模式，了解联网模式和任务类型的典型用 AWS Batch 法，并选择安全选项。

## [ECS.18] ECS 任务定义应对 EFS 卷使用传输中加密
<a name="ecs-18"></a>

**类别：**保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::ECS::TaskDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon ECS 任务定义的最新有效版本是否对 EFS 卷使用传输中加密。如果 ECS 任务定义的最新有效版本禁用了 EFS 卷的传输中加密，则控制失败。

Amazon EFS 卷提供简单、可扩展和持久的共享文件存储，用于您的 Amazon ECS 任务。Amazon EFS 支持使用传输层安全性协议（TLS）对传输中数据进行加密。在将传输中数据加密声明为 EFS 文件系统的挂载选项时，Amazon EFS 会在挂载文件系统时与您的 EFS 文件系统建立安全的 TLS 连接。

### 修复
<a name="ecs-18-remediation"></a>

有关为使用 EFS 卷的 Amazon ECS 任务定义启用传输中加密的信息，请参阅《*亚马逊弹性容器服务开发人员指南*》中的[步骤 5：创建任务定义](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def)。

## [ECS.19] ECS 容量提供商应启用托管终止保护
<a name="ecs-19"></a>

**类别：** 保护 > 数据保护

**严重性：**中

**资源类型：**`AWS::ECS::CapacityProvider`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon ECS 容量提供商是否启用了托管终止保护。如果未在 ECS 容量提供商上启用托管终止保护，则控制失败。

Amazon ECS 容量提供程序为集群中的任务管理基础设施的扩缩。当将 EC2 实例用于您的容量时，请使用自动扩缩组来管理 EC2 实例。通过托管式终止保护，集群自动扩缩可以控制终止哪些实例。当您使用托管式终止保护时，Amazon ECS 仅终止没有任何正在运行的 Amazon ECS 任务的 EC2 实例。

**注意**  
使用托管终止保护时，还必须使用托管扩展，否则托管终止保护将不起作用。

### 修复
<a name="ecs-19-remediation"></a>

要为 Amazon ECS 容量提供商启用[托管终止保护，请参阅亚马逊*弹性容器服务开发者指南中的更新 Amazon ECS 容*量提供商](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html)的托管终止保护。

## [ECS.20] ECS 任务定义应在 Linux 容器定义中配置非 root 用户
<a name="ecs-20"></a>

**类别：**保护 > 安全访问管理 >根用户访问限制

**严重性：**中

**资源类型：**`AWS::ECS::TaskDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon ECS 任务定义的最新有效版本是否将 Linux 容器配置为以非 root 用户身份运行。如果配置了默认 root 用户或者任何容器都没有用户配置，则控制将失败。

当 Linux 容器以 root 权限运行时，它们会带来一些重大的安全风险。root 用户在容器内拥有不受限制的访问权限。这种提升的访问权限增加了容器逃脱攻击的风险，在这种攻击中，攻击者有可能突破容器隔离并访问底层主机系统。如果以 root 身份运行的容器遭到入侵，攻击者可能会利用此漏洞访问或修改主机系统资源，从而影响其他容器或主机本身。此外，root 访问权限可能导致权限升级攻击，从而使攻击者能够获得超出容器预期范围的额外权限。ECS 任务定义中的用户参数可以用多种格式指定用户，包括用户名、用户 ID、带组的用户名或带有组 ID 的 UID。在配置任务定义时，请务必注意这些不同的格式，以确保不会无意中授予 root 访问权限。遵循最低权限原则，容器应使用非 root 用户以所需的最低权限运行。这种方法可显著减少潜在的攻击面并减轻潜在安全漏洞的影响。

**注意**  
只有在任务定义中配置为`LINUX`或`operatingSystemFamily`未配置时`operatingSystemFamily`，此控件才会评估任务定义中的容器定义。如果任务定义中的任何容器定义`user`未配置或`user`配置为默认 root 用户，则该控件将为已评估的任务定义生成`FAILED`结果。`LINUX`容器的默认 root 用户是`"root"`和`"0"`。

### 修复
<a name="ecs-20-remediation"></a>

有关创建 Amazon ECS 任务定义的新修订版和更新容器定义中的`user`参数的信息，请参阅《[亚马逊*弹性容器服务开发者指南》中的更新 Amazon* ECS 任务定义](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)。

## [ECS.21] ECS 任务定义应在 Windows 容器定义中配置非管理员用户
<a name="ecs-21"></a>

**类别：**保护 > 安全访问管理 >根用户访问限制

**严重性：**中

**资源类型：**`AWS::ECS::TaskDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon ECS 任务定义的最新有效版本是否将 Windows 容器配置为以非默认管理员的用户身份运行。如果将默认管理员配置为用户或任何容器都没有用户配置，则控制失败。

当 Windows 容器以管理员权限运行时，它们会带来多种严重的安全风险。管理员在容器内拥有不受限制的访问权限。这种提升的访问权限增加了容器逃脱攻击的风险，在这种攻击中，攻击者有可能突破容器隔离并访问底层主机系统。

**注意**  
只有在任务定义中配置为`WINDOWS_SERVER`或`operatingSystemFamily`未配置时`operatingSystemFamily`，此控件才会评估任务定义中的容器定义。如果任务定义中的任何容器定义`user`未配置或`user`配置为容器的默认管理员，则该控件将为已评估的`WINDOWS_SERVER`任务定义生成`FAILED`结果`"containeradministrator"`。

### 修复
<a name="ecs-21-remediation"></a>

有关创建 Amazon ECS 任务定义的新修订版和更新容器定义中的`user`参数的信息，请参阅《[亚马逊*弹性容器服务开发者指南》中的更新 Amazon* ECS 任务定义](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)。

# 适用于亚马逊 EFS 的 Security Hub CSPM 控件
<a name="efs-controls"></a>

这些 Security Hub CSPM 控件评估亚马逊弹性文件系统 (Amazon EFS) 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS
<a name="efs-1"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/2.3.1、CIS AWS 基金会基准 v3.0.0/2.4.1、(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8 (1)、8 NIST.800-53.r5 CA-9 (1)、(10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI- NIST.800-53.r5 SC-2 7 (6) NIST.800-53.r5 SC-7

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::EFS::FileSystem`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon Elastic File System 是否配置为使用加密文件数据 AWS KMS。在以下情况下，检查失败。
+ 在 [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) 响应中 `Encrypted` 设置为 `false`。
+ [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) 响应中的 `KmsKeyId` 密钥与 [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) 的 `KmsKeyId` 参数不匹配。

请注意，此控件不使用 [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) 的 `KmsKeyId` 参数。它只检查 `Encrypted` 的值。

为了为 Amazon EFS 中的敏感数据增加一层安全保护，您应该创建加密文件系统。Amazon EFS 支持静态文件系统加密。您可以在创建 Amazon EFS 文件系统时启用静态数据加密。要了解有关 Amazon EFS 加密的更多信息，请参阅 *Amazon Elastic File System 用户指南*中的 [Amazon EFS 中的数据加密](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)。

### 修复
<a name="efs-1-remediation"></a>

有关如何加密新的 Amazon EFS 文件系统的详细信息，请参阅 *Amazon Elastic File System 用户指南*中的[加密静态数据](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html)。

## [EFS.2] Amazon EFS 卷应包含在备份计划中
<a name="efs-2"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-12、nist.800-53.r5 SI-13 (5)

**分类：**恢复 > 弹性 > 备份

**严重性：**中

**资源类型：**`AWS::EFS::FileSystem`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon Elastic File System（Amazon EFS）文件系统是否已添加到 AWS Backup中的备份计划中。如果 Amazon EFS 文件系统未包含在备份计划中，控制失败。

在备份计划中包括 EFS 文件系统可帮助您保护数据免遭删除和数据丢失。

### 修复
<a name="efs-2-remediation"></a>

要为现有 Amazon EFS 文件系统启用自动备份，请参阅 *AWS Backup 开发人员指南*中的[入门 4：创建 Amazon EFS 自动备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html)。

## [EFS.3] EFS 接入点应强制使用根目录
<a name="efs-3"></a>

**相关要求：** NIST.800-53.r5 AC-6(10)

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::EFS::AccessPoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon EFS 接入点是否配置为强制使用根目录。如果的 `Path` 值设置为 `/`（文件系统的默认根目录），则控制失败。

在强制执行根目录时，使用接入点的 NFS 客户端使用在接入点上配置的根目录，而不是文件系统的根目录。强制接入点使用根目录可确保接入点的用户只能访问指定子目录的文件，从而有助于限制数据访问。

### 修复
<a name="efs-3-remediation"></a>

有关如何为 Amazon EFS 接入点强制使用根目录的说明，请参阅 *Amazon Elastic File System 用户指南*中的[使用接入点强制使用根目录](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point)。

## [EFS.4] EFS 接入点应强制使用用户身份
<a name="efs-4"></a>

**相关要求：** NIST.800-53.r5 AC-6(2)、PCI DSS v4.0.1/7.3.1

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::EFS::AccessPoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon EFS 接入点是否配置为强制执行用户身份。如果在创建 EFS 接入点时未定义 POSIX 用户身份，则此控制失败。

Amazon EFS 接入点是 EFS 文件系统中特定于应用程序的入口点，便于轻松地管理应用程序对共享数据集的访问。接入点可以为通过接入点发出的所有文件系统请求强制执行用户身份（包括用户的 POSIX 组）。接入点还可以为文件系统强制执行不同的根目录，以便客户端只能访问指定目录或其子目录中的数据。

### 修复
<a name="efs-4-remediation"></a>

要强制执行 Amazon EFS 接入点的用户身份，请参阅 [Amazon Elastic File System 用户指南](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points)中的*使用接入点强制使用用户身份*。

## [EFS.5] 应标记 EFS 接入点
<a name="efs-5"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EFS::AccessPoint`

**AWS Config规则:**`tagged-efs-accesspoint`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EFS 接入点是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果接入点没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果接入点未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="efs-5-remediation"></a>

要向 EFS 接入点添加标签，请参阅《Amazon Elastic File System User Guide》**中的 [Tagging Amazon EFS resources](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html)。

## [EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联
<a name="efs-6"></a>

**类别：**保护 > 网络安全 > 不公开访问的资源

**严重性：**中

**资源类型：**`AWS::EFS::FileSystem`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon EFS 挂载目标是否与启动时分配公有 IP 地址的子网关联。如果挂载目标与在启动时分配公共 IP 地址的子网相关联，则该控件会失败。

子网具有决定网络接口是否自动接收公用 IPv6 地址 IPv4 和地址的属性。对于 IPv4，`TRUE`对于默认子网和`FALSE`非默认子网，此属性设置为（通过 EC2 启动实例向导创建的非默认子网除外，该向导设置为）。`TRUE`对于 IPv6，默认情况下，所有子网`FALSE`的此属性均设置为。启用这些属性后，在子网中启动的实例会自动在其主网络接口上收到相应的 IP 地址（IPv4 或 IPv6）。启动到启用了此属性的子网中的 Amazon EFS 挂载目标会为其主网络接口分配一个公共 IP 地址。

### 修复
<a name="efs-6-remediation"></a>

要将现有挂载目标与不同的子网关联，您必须在启动时不分配公共 IP 地址的子网中创建一个新的挂载目标，然后移除旧的挂载目标。有关安全组和挂载目标的信息，请参阅《Amazon Elastic File System User Guide》**中的 [Creating and managing mount targets and security groups](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html)。

## [EFS.7] EFS 文件系统应启用自动备份
<a name="efs-7"></a>

**类别：**恢复 > 弹性 > 启用备份

**严重性：**中

**资源类型：**`AWS::EFS::FileSystem`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon EFS 文件系统是否已启用自动备份。如果 EFS 文件系统未启用自动备份，则此控件将失败。

数据备份是系统、配置或应用程序数据的副本，与原始数据分开存储。启用定期备份有助于保护宝贵的数据免受系统故障、网络攻击或意外删除等不可预见事件的影响。拥有强大的备份策略还有助于更快地恢复、保持业务连续性，即使面对潜在的数据丢失也能倍感安心。

### 修复
<a name="efs-7-remediation"></a>

有关用 AWS Backup 于 EFS 文件系统的信息，请参阅《*Amazon Elastic [File System 用户指南》中的 “备份 EFS](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) 文件系统*”。

## [EFS.8] 应对 EFS 文件系统进行静态加密
<a name="efs-8"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/2.3.1

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::EFS::FileSystem`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon EFS 文件系统是否使用 AWS Key Management Service (AWS KMS) 加密数据。如果文件系统未加密，则此控件将失败。

静态数据是指存储在持久、非易失性存储介质中的数据，无论存储时长如何。对静态数据进行加密可帮助您保护数据的机密性，降低未经授权的用户访问这些数据的风险。

### 修复
<a name="efs-8-remediation"></a>

要为新的 EFS 文件系统启用静态加密，请参阅《Amazon Elastic File System User Guide》**中的 [Encrypting data at rest](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html)。

# 适用于亚马逊 EKS 的 Security Hub CSPM 控件
<a name="eks-controls"></a>

这些 Security Hub CSPM 控件用于评估亚马逊 Elastic Kubernetes 服务（亚马逊 EKS）服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [EKS.1] EKS 集群端点不应公开访问
<a name="eks-1"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、、(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**高

**资源类型：**`AWS::EKS::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon EKS 集群端点是否公开访问。如果 EKS 集群具有公开访问的端点，则控制失败。

当您创建新集群时，Amazon EKS 会为您用来与集群通信的托管 Kubernetes API 服务器创建一个端点。默认情况下，此 API 服务器端点可在 Internet 上公开使用。使用 (IAM) 和原生 Kubernetes 基于角色的访问控制 AWS Identity and Access Management (RBAC) 的组合来保护对 API 服务器的访问。通过移除对端点的公共访问权限，您可以避免意外暴露和访问集群。

### 修复
<a name="eks-1-remediation"></a>

要修改现有 EKS 集群的端点访问权限，请参阅 **Amazon EKS 用户指南**中的[修改集群端点访问权限](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access)。您可以在创建新 EKS 集群时为其设置端点访问权限。有关创建新 Amazon EKS 集群的说明，请参阅 **Amazon EKS 用户指南**中的[创建 Amazon EKS 集群](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html)。

## [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行
<a name="eks-2"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 SI-2、nist.800-53.r5 SI-2 (2)、nist.800-53.r5 SI-2 (4)、nist.800-53.r5 SI-2 (5)、PCI DSS v4.0.1/12.3.4

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**高

**资源类型：**`AWS::EKS::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)

**计划类型：**已触发变更

**参数：**
+ `oldestVersionSupported`：`1.33`（不可自定义）

此控件可检查 Amazon Elastic Kubernetes Service（Amazon EKS）集群是否在支持的 Kubernetes 版本上运行。如果 EKS 集群在不支持的版本上运行，则此控件将失败。

如果您的应用程序不需要特定版本的 Kubernetes，我们建议您为集群使用 EKS 支持的最新可用 Kubernetes 版本。有关更多信息，请参阅《Amazon EKS 用户指南》****中的 [Amazon EKS Kubernetes 发布日历](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar)和[了解 Amazon EKS 上的 Kubernetes 版本生命周期](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation)。

### 修复
<a name="eks-2-remediation"></a>

要更新 EKS 集群，请参阅《Amazon EKS 用户指南》****中的[将现有集群更新到新的 Kubernetes 版本](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html)。

## [EKS.3] EKS 集群应使用加密的 Kubernetes 密钥
<a name="eks-3"></a>

**相关要求：** NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-1 2、 NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、PCI DSS v4.0.1/8.3.2

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::EKS::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)

**计划类型：**定期

**参数：**无

此控件可检查 Amazon EKS 集群是否使用了加密的 Kubernetes 密钥。如果集群的 Kubernetes 密钥未加密，则此控件将失败。

加密密钥时，可以使用 AWS Key Management Service (AWS KMS) 密钥为集群提供存储在 etcd 中的 Kubernetes 密钥的信封加密。这种加密是对 EBS 卷加密的补充，默认情况下，对作为 EKS 集群的一部分存储在 etcd 中的所有数据（包括密钥）启用该加密。对 EKS 集群使用密钥加密，您就可以使用您定义和管理的 KMS 密钥对 Kubernetes 密钥进行加密，从而为 Kubernetes 应用程序部署深度防御策略。

### 修复
<a name="eks-3-remediation"></a>

要在 EKS 集群上启用密钥加密，请参阅《Amazon EKS 用户指南》****中的[在现有集群上启用密钥加密](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html)。

## [EKS.6] 应标记 EKS 集群
<a name="eks-6"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EKS::Cluster`

**AWS Config 规则:**`tagged-eks-cluster`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EKS 集群是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果集群没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果集群未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="eks-6-remediation"></a>

要向 EKS 集群添加标签，请参阅《Amazon EKS 用户指南》****中的[标记 Amazon EKS 资源](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html)。

## [EKS.7] 应标记 EKS 身份提供商配置
<a name="eks-7"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::EKS::IdentityProviderConfig`

**AWS Config 规则:**`tagged-eks-identityproviderconfig`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon EKS 身份提供商配置是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果配置没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果配置未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="eks-7-remediation"></a>

要向 EKS 身份提供商配置添加标签，请参阅《Amazon EKS 用户指南》****中的[标记 Amazon EKS 资源](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html)。

## [EKS.8] EKS 集群应启用审核日志记录
<a name="eks-8"></a>

**相关要求：** NIST.800-53.r5 AC-2(12)、(4)、(26)、 NIST.800-53.r5 AC-2 (9)、(9)、 NIST.800-53.r5 AC-4 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7 nist.800-53.r5 SI-4、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.2.1

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::EKS::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)

**计划类型：**已触发变更

**参数：**
+ `logTypes: audit`（不可自定义）

此控件检查 Amazon EKS 集群是否启用了审核日志记录。如果没有为集群启用审核日志记录，则控制失败。

**注意**  
此控件不会检查是否通过 Amazon Security Lake 为 AWS 账户启用了 Amazon EKS 审计日志记录。

EKS 控制平面日志将审计和诊断日志直接从 EKS 控制平面提供给您账户中的 Amazon CloudWatch Logs。您可以选择所需的日志类型，日志将作为日志流发送到中每个 EKS 集群的群组 CloudWatch。通过日志记录，可以了解 EKS 集群的访问情况和性能。通过将 EKS 集群的 EKS 控制平面CloudWatch 日志发送到日志，您可以在中心位置记录用于审计和诊断目的的操作。

### 修复
<a name="eks-8-remediation"></a>

要为您的 EKS 集群启用审核日志，请参阅《Amazon EKS 用户指南》****中的[启用和禁用控制面板日志](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export)。

# Security Hub CSPM 控件适用于 ElastiCache
<a name="elasticache-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon ElastiCache 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份
<a name="elasticache-1"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-12、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 启用备份

**严重性：**高

**资源类型：**`AWS::ElastiCache::CacheCluster`、`AWS:ElastiCache:ReplicationGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `snapshotRetentionPeriod`  |  最短快照保留期（以天为单位）  |  整数  |  `1` 到 `35`  |  `1`  | 

此控件评估亚马逊 ElastiCache （Redis OSS）集群是否启用了自动备份。如果 Redis OSS 集群的 `SnapshotRetentionLimit` 小于指定时间段，则该控件会失败。除非您为快照保留期提供自定义参数值，否则 Security Hub CSPM 将使用默认值 1 天。

ElastiCache （Redis OSS）集群可以备份其数据。可以使用备份还原集群或为新集群做种。备份包含集群的元数据以及集群中的所有数据。所有备份都写入 Amazon S3，后者提供持久性存储。您可以通过创建新 ElastiCache 集群并在其中填充备份中的数据来恢复数据。您可以使用 AWS 管理控制台 AWS CLI、和 ElastiCache API 管理备份。

**注意**  
此控件还会评估 ElastiCache （Redis OSS 和 Valkey）复制组。

### 修复
<a name="elasticache-1-remediation"></a>

有关为 ElastiCache 集群安排自动备份的信息，请参阅 *Amazon ElastiCache 用户指南*中的[安排自动备份](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html)。

## [ElastiCache.2] ElastiCache 集群应启用自动次要版本升级
<a name="elasticache-2"></a>

**相关要求：**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2（2）、NIST.800-53.r5 SI-2（4）、NIST.800-53.r5 SI-2（5）PCI DSS v4.0.1/6.3.3

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**高

**资源类型：**`AWS::ElastiCache::CacheCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)

**计划类型：**定期

**参数：**无

此控件用于评估 Amazon 是否 ElastiCache 自动对缓存集群应用次要版本升级。如果缓存集群未自动应用次要版本升级，则此控件会失败。

**注意**  
此控件不适用于 ElastiCache Memcached 集群。

自动次要版本升级是您可以在 Amazon 中启用的一项功能，以便在新的次 ElastiCache 要缓存引擎版本可用时自动升级您的缓存集群。这些升级可能包括安全补丁和错误修复。继续 up-to-date安装补丁是保护系统的重要一步。

### 修复
<a name="elasticache-2-remediation"></a>

要自动对现有 ElastiCache 缓存集群应用次要[版本升级，请参阅 *Amazon ElastiCache 用户指南 ElastiCache*中的版本管理](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html)。

## [ElastiCache.3] ElastiCache 复制组应启用自动故障切换
<a name="elasticache-3"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::ElastiCache::ReplicationGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查 ElastiCache 复制组是否启用了自动故障转移。如果未为复制组启用自动失效转移，则此控件会失败。

为复制组启用自动失效转移后，主节点的角色将自动将失效转移到其中一个只读副本。此失效转移和副本升级可确保您可以在升级完成后恢复写入新的主数据库，从而减少发生故障时的总体停机时间。

### 修复
<a name="elasticache-3-remediation"></a>

要为现有 ElastiCache 复制组启用自动故障转移，请参阅 *Amazon ElastiCache 用户指南*中的[修改 ElastiCache 集群](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON)。如果您使用 ElastiCache 控制台，请将**自动故障转移**设置为启用。

## [ElastiCache.4] ElastiCache 复制组应进行静态加密
<a name="elasticache-4"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::ElastiCache::ReplicationGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)

**计划类型：**定期

**参数：**无

此控件检查 ElastiCache 复制组是否处于静态加密状态。如果未对复制组进行静态加密，则此控件会失败。

对静态数据进行加密可降低未经身份验证的用户访问存储在磁盘上的数据的风险。 ElastiCache （Redis OSS）复制组应进行静态加密，以增加安全性。

### 修复
<a name="elasticache-4-remediation"></a>

要在 ElastiCache 复制组上配置静态加密，请参阅 A *mazon ElastiCache 用户*指南中的[启用静态加密](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable)。

## [ElastiCache.5] ElastiCache 复制组在传输过程中应加密
<a name="elasticache-5"></a>

**相关要求：** NIST.800-53.r5 AC-17 (2)、、(1) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3)、3、3 (3)、( NIST.800-53.r5 SC-13)、 NIST.800-53.r5 SC-2 (4)、 NIST.800-53.r5 SC-2 (1)、 NIST.800-53.r5 SC-7 (2)、nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)、PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::ElastiCache::ReplicationGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)

**计划类型：**定期

**参数：**无

此控件检查 ElastiCache 复制组在传输过程中是否已加密。如果未在传输过程中加密复制组，则此控件会失败。

对传输中数据进行加密可降低未经授权的用户侦听网络流量的风险。在 ElastiCache 复制组上启用传输中的加密可在数据从一个位置移动到另一个位置时对其进行加密，例如在集群中的节点之间或集群与应用程序之间。

### 修复
<a name="elasticache-5-remediation"></a>

要在 ElastiCache 复制组上配置传输中加密，请参阅 A *mazon ElastiCache 用户*指南中的[启用传输中加密](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html)。

## [ElastiCache.6] ElastiCache （Redis OSS）早期版本的复制组应启用 Redis OSS 身份验证
<a name="elasticache-6"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、(15) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-6、PCI DSS v4.0.1/8.3.1

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::ElastiCache::ReplicationGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查 ElastiCache （Redis OSS）复制组是否启用了 Redis OSS 身份验证。如果复制组节点的 Redis OSS 版本低于 6.0 且未使用 `AuthToken`，则此控件将失败。

当您使用 Redis 身份验证令牌或密码时，Redis 在允许客户端运行命令之前需要密码，这提高了数据安全性。对于Redis 6.0及更高版本，我们建议使用基于角色的访问控制（RBAC）。由于 6.0 之前的 Redis 版本不支持 RBAC，因此此控件仅评估无法使用 RBAC 功能的版本。

### 修复
<a name="elasticache-6-remediation"></a>

*要在 ElastiCache （Redis OSS）复制组上使用 Redis [身份验证，请参阅亚马逊用户指南中的修改现有 ElastiCache （Redis OSS）集群上的身份验证令牌](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token)。 ElastiCache *

## [ElastiCache.7] ElastiCache 群集不应使用默认子网组
<a name="elasticache-7"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (5)

**类别：**保护 > 安全网络配置

**严重性：**高

**资源类型：**`AWS::ElastiCache::CacheCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)

**计划类型：**定期

**参数：**无

此控件检查集 ElastiCache 群是否配置了自定义子网组。如果 ElastiCache 群集的值`CacheSubnetGroupName`为该值，则控制失败`default`。

启动 ElastiCache 集群时，如果尚不存在默认子网组，则会创建一个默认子网组。默认组使用来自默认虚拟私有云（VPC）的子网。我们建议使用对集群所在子网以及集群从子网继承的网络进行更严格的限制的自定义子网组。

### 修复
<a name="elasticache-7-remediation"></a>

要为 ElastiCache 集群创建新的子网组，请参阅 *Amazon ElastiCache 用户指南*中的[创建子网组](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html)。

# Elastic Beanstalk 的 Security Hub CSPM 控件
<a name="elasticbeanstalk-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS Elastic Beanstalk 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告
<a name="elasticbeanstalk-1"></a>

**相关要求：** NIST.800-53.r5 CA-7，nist.800-53.r5 SI-2

**分类：**检测 > 检测服务 > 应用程序监控

**严重性：**低

**资源类型：**`AWS::ElasticBeanstalk::Environment`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 AWS Elastic Beanstalk 环境是否启用了增强型运行状况报告。

Elastic Beanstalk 增强型运行状况报告功能可以更快地响应底层基础设施运行状况的变化。这些变更可能会导致应用程序的可用性不足。

Elastic Beanstalk 增强的运行状况报告提供了状态描述符，用于衡量已发现问题的严重性并确定可能的原因以进行调查。支持的亚马逊系统AMIs映像 () 中包含的 Elastic Beanstalk 运行状况代理用于评估环境实例的日志和指标。 EC2

有关更多信息，请参阅 *AWS Elastic Beanstalk 开发人员指南*中的[增强型运行状况报告和监控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)。

### 修复
<a name="elasticbeanstalk-1-remediation"></a>

有关如何启用增强型运行状况报告的说明，请参阅 *AWS Elastic Beanstalk 开发人员指南*中的[使用 Elastic Beanstalk 控制台启用增强型运行状况报告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console)。

## [ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新
<a name="elasticbeanstalk-2"></a>

**相关要求：**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2（2）、NIST.800-53.r5 SI-2（4）、NIST.800-53.r5 SI-2（5）、PCI DSS v4.0.1/6.3.3

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**高

**资源类型：**`AWS::ElasticBeanstalk::Environment`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `UpdateLevel`  |  版本更新级别  |  枚举  |  `minor`, `patch`  |  无默认值  | 

此控件检查是否为 Elastic Beanstalk 环境启用了托管平台更新。如果未启用托管平台更新，则控制失败。默认情况下，如果启用了任何类型的平台更新，则控制才会通过。或者，您可以提供自定义参数值以要求特定的更新级别。

启用托管平台更新可确保为环境安装最新的可用平台修补程序、更新和功能。及时安装补丁程序是保护系统安全的重要一步。

### 修复
<a name="elasticbeanstalk-2-remediation"></a>

要启用托管平台更新，请参阅《AWS Elastic Beanstalk 开发人员指南》**中的[在托管平台更新下配置托管平台更新](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html)。

## [ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch
<a name="elasticbeanstalk-3"></a>

**相关要求：**PCI DSS v4.0.1/10.4.2

**类别：**识别 > 日志记录

**严重性：**高

**资源类型：**`AWS::ElasticBeanstalk::Environment`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `RetentionInDays`  |  日志事件在到期前保留的天数  |  枚举  |  `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653`   |  无默认值  | 

此控件检查 Elastic Beanstalk 环境是否配置为向日志发送日志。 CloudWatch 如果 Elastic Beanstalk 环境未配置为向日志发送日志，则控制失败。 CloudWatch 或者，如果您希望仅当日志在到期前保留指定天数时控制才通过，则可以为 `RetentionInDays` 参数提供自定义值。

CloudWatch 帮助您收集和监控应用程序和基础设施资源的各种指标。您还可以使用 CloudWatch 根据特定指标配置警报操作。我们建议将 Elastic Beanstalk 与集成，以提高您的 Ela CloudWatch stic Beanstalk 环境的可见性。Elastic Beanstalk 日志包括 eb-activity.log、来自环境 nginx 或 Apache 代理服务器的访问日志以及特定于环境的日志。

### 修复
<a name="elasticbeanstalk-3-remediation"></a>

*要将 Elastic B CloudWatch eanstalk 与日志集成[，请参阅开发者指南中的将实例日志流式传输到 CloudWatch 日志](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming)。AWS Elastic Beanstalk *

# 适用于 Elastic Load Balancing 的 Security Hub CSPM 控制
<a name="elb-controls"></a>

这些 AWS Security Hub CSPM 控件会评估 Elastic Load Balancing 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [ELB.1] 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS
<a name="elb-1"></a>

**相关要求：**PCI DSS v3.2.1/2.3、PCI DSS v3.2.1/4.1、 NIST.800-53.r5 AC-1 7 (2)、、(1)、2 (3)、3、3 NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5 (3)、(3)、(4)、 NIST.800-53.r5 SC-1 (1)、 NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-2 nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**类别：**检测 > 检测服务

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html)

**计划类型：**定期

**参数：**无

此控件检查是否在应用程序负载均衡器的所有 HTTP 侦听器上配置了 HTTP 到 HTTPS 重定向。如果应用程序负载均衡器的任何 HTTP 侦听器未配置 HTTP 到 HTTPS 重定向，则控制失败。

在开始使用应用程序负载均衡器之前，必须添加一个或多个侦听器。侦听器是使用配置的协议和端口检查连接请求的进程。侦听器支持 HTTP 和 HTTPS 协议。您可以使用 HTTPS 侦听器将加密和解密工作卸载到负载均衡器。要强制传输过程中的加密，您应该使用应用程序负载均衡器的重定向操作，将客户端 HTTP 请求重定向到端口 443 上的 HTTPS 请求。

要了解更多信息，请参阅*应用程序负载均衡器用户指南*中的[应用程序负载均衡器的侦听器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html)。

### 修复
<a name="elb-1-remediation"></a>

要将 HTTP 请求重定向到 HTTPS，您必须添加应用程序负载均衡器侦听器规则或编辑现有规则。

有关添加新规则的说明，请参阅 *应用程序负载均衡器用户指南*中的[添加规则](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule)。对于**协议：端口**，选择 **HTTP**，然后输入 **80**。对于**添加操作，选择重定向到**，选择 **HTTPS**，然后输入 **443**。

有关编辑现有规则的说明，请参阅*应用程序负载均衡器用户指南*中的[编辑规则](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule)。对于**协议：端口**，选择 **HTTP**，然后输入 **80**。对于**添加操作，选择重定向到**，选择 **HTTPS**，然后输入 **443**。

## [ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager
<a name="elb-2"></a>

**相关要求：** NIST.800-53.r5 AC-17 (2)、、(1) NIST.800-53.r5 AC-4、2 NIST.800-53.r5 IA-5 (3)、3、3 (5)、 NIST.800-53.r5 SC-1 (4)、 NIST.800-53.r5 SC-2 (1)、 NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-7 nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)、nist.800-171.r2 3.13.8 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Classic Load Balancer 是否使用 AWS Certificate Manager (ACM) 提供的 HTTPS/SSL 证书。如果配置了 HTTPS/SSL 侦听器的 Classic Load Balancer 不使用 ACM 提供的证书，则控制失败。

要创建证书，您可以使用 ACM 或支持 SSL 和 TLS 协议的工具（例如 OpenSSL）。Security Hub CSPM 建议您使用 ACM 为负载均衡器创建或导入证书。

ACM 与经典负载均衡器集成，以便您可以在负载均衡器上部署证书。您还应该自动续订这些证书。

### 修复
<a name="elb-2-remediation"></a>

有关如何将 ACM SSL/TLS 证书与 Classic Load Balancer 关联的信息，请参阅 AWS 知识中心文章[如何将 ACM SSL/TLS 证书与经典负载均衡器、应用程序负载均衡器或网络负载均衡器相关联](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/)？

## [ELB.3] 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止
<a name="elb-3"></a>

**相关要求：** NIST.800-53.r5 AC-17 (2)、、(1)、2 (3) NIST.800-53.r5 AC-4、3、3 NIST.800-53.r5 IA-5 (3)、(3)、(4)、 NIST.800-53.r5 SC-1 (1)、 NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-2 nist.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 nist.800-171.r2 3.13.8、nist.800-171.r2 3.13.15、PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-8

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)

**计划类型：**已触发变更

**参数：**无

此控件检查经典负载均衡器侦听器是使用 HTTPS 还是 TLS 协议配置以进行前端（客户端到负载均衡器）连接。如果经典负载均衡器有侦听器，则该控件适用。如果经典负载均衡器没有配置侦听器，则该控件不会报告任何调查发现。

如果经典负载均衡器侦听器为前端连接配置了 TLS 或 HTTPS，则控制通过。

如果侦听器没有为前端连接配置 TLS 或 HTTPS，则控制失败。

在开始使用负载均衡器之前，必须添加一个或多个侦听器。侦听器是使用配置的协议和端口检查连接请求的进程。监听器可以同时支持 HTTP 和 HTTPS/TLS 协议。您应始终使用 HTTPS 或 TLS 侦听器，以便负载均衡器在传输过程中完成加密和解密工作。

### 修复
<a name="elb-3-remediation"></a>

要修复此问题，请更新侦听器以使用 TLS 或 HTTPS 协议。

**将所有不合规的监听器更改为听众 TLS/HTTPS**

1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。

1. 在导航窗格中的 **Load Balancing (负载平衡)** 下，选择 **Load Balancers (负载均衡器)**。

1. 选择您的经典负载均衡器。

1. 在 **Listeners** 选项卡上，选择 **Edit**。

1. 对于所有未将**负载均衡器协议**设置为 HTTPS 或 SSL 的侦听器，将设置变更为 HTTPS 或 SSL。

1. 对于所有修改过的侦听器，在**证书**选项卡上，选择**变更默认值**。

1. 对于 **ACM 和 IAM 证书**，选择一个证书。

1. 选择**另存为默认值**。

1. 更新所有侦听器后，选择**保存**。

## [ELB.4] 应将应用程序负载均衡器配置为丢弃无效的 http 标头
<a name="elb-4"></a>

**相关要求：** NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-8 (2)、PCI DSS v4.0.1/6.2.4

**类别：**保护 > 网络安全

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件可评估应用程序负载均衡器是否配置为丢弃无效的 HTTP 标头。如果 `false` 的值设置为 `routing.http.drop_invalid_header_fields.enabled`，则控制失败。

默认情况下，应用程序负载均衡器未配置为删除无效的 HTTP 标头值。删除这些标头值可以防止 HTTP 不同步攻击。

**注意**  
如果您的账户启用了 ELB.12，我们建议禁用此控件。有关更多信息，请参阅 [[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](#elb-12)。

### 修复
<a name="elb-4-remediation"></a>

要修复此问题，将负载均衡器配置为删除无效标头字段。

**配置负载均衡器以删除无效标头字段**

1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。

1. 在导航窗格中，选择**负载均衡器**。

1. 选择应用程序负载均衡器。

1. 在**操作**中，选择**编辑属性**。

1. 在**删除无效标题字段**下，选择**启用**。

1. 选择**保存**。

## [ELB.5] 应启用应用程序和经典负载均衡器日志记录
<a name="elb-5"></a>

**相关要求：** NIST.800-53.r5 AC-4(26)、、 NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-7 (8)

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancing::LoadBalancer`、`AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查应用程序负载均衡器和传统负载均衡器是否启用了日志记录。如果 `access_logs.s3.enabled` 是 `false`，则控制失败。

Elastic Load Balancing 提供了访问日志，该访问日志可捕获有关发送到负载均衡器的请求的详细信息。每个日志都包含信息（例如，收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应）。您可以使用这些访问日志分析流量模式并解决问题。

要了解更多信息，请参阅 *经典负载均衡器用户指南*中的[经典负载均衡器的访问日志](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html)。

### 修复
<a name="elb-5-remediation"></a>

要启用访问日志，请参阅 *应用程序负载均衡器用户指南*中的[步骤 3：配置访问日志](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs)。

## [ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护
<a name="elb-6"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查应用程序、网关或网络负载均衡器是否已启用删除保护。如果未配置删除保护，则此控件将失败。

启用删除保护以保护应用程序、网关或网络负载均衡器免遭删除。

### 修复
<a name="elb-6-remediation"></a>

为了防止您的负载均衡器被意外删除，您可以启用删除保护。默认情况下，已为负载均衡器禁用删除保护。

如果您为负载均衡器启用删除保护，则必须先禁用删除保护，然后才能删除负载均衡器。

要启用应用程序负载均衡器的删除保护，请参阅《应用程序负载均衡器用户指南》**中的[删除保护](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection)。要启用网关负载均衡器的删除保护，请参阅《User Guide for Gateway Load Balancers》**中的 [Deletion protection](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection)。要启用网络负载均衡器的删除保护，请参阅《网络负载均衡器用户指南》**中的[删除保护](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection)。

## [ELB.7] 经典负载均衡器应启用连接耗尽功能
<a name="elb-7"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**恢复 > 弹性

**严重性：**低

**资源类型：**`AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config 规则:**`elb-connection-draining-enabled`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件检查经典负载均衡器是否已启用连接耗尽功能。

在经典负载均衡器上启用连接耗尽可确保负载均衡器停止向正在取消注册或运行状况不佳的实例发送请求。它使现有连接保持打开状态。这对于自动扩缩组中的实例特别有用，可确保连接不会突然断开。

### 修复
<a name="elb-7-remediation"></a>

要在经典负载均衡器上启用连接耗尽，请参阅经典负载均衡器*用户指南*中的[为经典负载均衡器配置连接耗尽](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html)。

## [ELB.8] 带有 SSL 侦听器的经典负载均衡器应使用持续时间较长的预定义安全策略 AWS Config
<a name="elb-8"></a>

**相关要求：** NIST.800-53.r5 AC-17 (2)、、(1)、2 (3) NIST.800-53.r5 AC-4、3、3 NIST.800-53.r5 IA-5 (3)、(3)、(4)、 NIST.800-53.r5 SC-1 (1)、 NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-2 nist.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 nist.800-171.r2 3.13.8、nist.800-171.r2 3.13.15、PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-8

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)

**计划类型：**已触发变更

**参数：**
+ `predefinedPolicyName`：`ELBSecurityPolicy-TLS-1-2-2017-01`（不可自定义）

此控件可检查您的 Classic Load Balancer HTTPS/SSL 侦听器是否使用预定义的策略`ELBSecurityPolicy-TLS-1-2-2017-01`。如果 Classic Load Balancer HTTPS/SSL 侦听器不使用`ELBSecurityPolicy-TLS-1-2-2017-01`，则控制失败。

安全策略是 SSL 协议、密码和服务器顺序首选项选项的组合。预定义策略控制客户端和负载均衡器之间的 SSL 协商期间支持的密码、协议和优先顺序。

使用 `ELBSecurityPolicy-TLS-1-2-2017-01` 可以帮助您满足要求您禁用特定版本的 SSL 和 TLS 的合规性和安全标准。有关更多信息，请参阅*经典负载均衡器用户指南*中的[经典负载均衡器的预定义 SSL 安全策略](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html)。

### 修复
<a name="elb-8-remediation"></a>

有关如何在经典负载均衡器上使用预定义安全策略 `ELBSecurityPolicy-TLS-1-2-2017-01` 的信息，请参阅 *经典负载均衡器用户指南*中的[配置安全设置](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth)。

## [ELB.9] 经典负载均衡器应启用跨区域负载均衡器
<a name="elb-9"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否为经典负载均衡器 () CLBs 启用了跨区域负载平衡。如果负载均衡未启用跨区负载均衡，则控制失败。

负载均衡器节点仅在其可用区中的注册目标之间分配流量。禁用了跨区域负载均衡后，每个负载均衡器节点会仅在其可用区中的已注册目标之间分配流量。如果可用区中注册的目标数量不同，流量将不会均匀分布，并且与另一区域中的实例相比，一个区域中的实例可能最终会被过度利用。启用跨区域负载均衡后，经典负载均衡器的每个负载均衡器节点都会在所有已启用的可用区中的注册实例之间均匀分配请求。有关详细信息，请参阅弹性负载均衡用户指南中的[跨可用区负载均衡](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing)。

### 修复
<a name="elb-9-remediation"></a>

要在经典负载均衡器中启用跨区域负载均衡，请参阅*经典负载均衡器用户指南*中的[启用跨区域负载均衡](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone)。

## [ELB.10] 经典负载均衡器应跨越多个可用区
<a name="elb-10"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  可用区的最小数量  |  枚举  |  `2, 3, 4, 5, 6`  |  `2`  | 

此控件检查 Classic Load Balancer 是否已配置为至少跨越指定数量的可用区 (AZs)。如果 Classic Load Balancer 的跨度不超过指定数量，则控制失败 AZs。除非您为最小数量提供自定义参数值 AZs，否则 Security Hub CSPM 将使用默认值为 2。 AZs

 可以将经典负载均衡器设置为跨单个可用区或多个可用区中的 Amazon EC2 实例分发传入请求。如果唯一配置的可用区不可用，则不跨多个可用区的经典负载均衡器无法将流量重定向到另一个可用区中的目标。

### 修复
<a name="elb-10-remediation"></a>

 要向经典负载均衡器添加可用区，请参阅《经典负载均衡器用户指南》[*中的*为您的经典负载均衡器添加或删除子网](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html)。

## [ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式
<a name="elb-12"></a>

**相关要求：** NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 CA-9 (1)、nist.800-53.r5 CM-2、PCI DSS v4.0.1/6.2.4

**类别：**保护 >数据保护 > 数据完整性

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)

**计划类型：**已触发变更

**参数：**
+ `desyncMode`：`defensive, strictest`（不可自定义）

此控件检查应用程序负载均衡器配置了防御模式还是最严格的异步缓解模式。如果应用程序负载均衡器未配置防御或最严格的异步缓解模式，则控制失败。

HTTP Desync 问题可能导致请求走私，并使应用程序容易受到请求队列或缓存中毒的影响。反过来，这些漏洞可能导致凭证填充或执行未经授权的命令。配置了防御性或最严格的异步缓解模式的应用程序负载均衡器可保护应用程序免受 HTTP Desync 可能导致的安全问题的影响。

### 修复
<a name="elb-12-remediation"></a>

要更新应用程序负载均衡器的异步缓解模式，请参阅*应用程序负载均衡器用户指南*中的[异步缓解模式](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode)。

## [ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区
<a name="elb-13"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性 

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  可用区的最小数量  |  枚举  |  `2, 3, 4, 5, 6`  |  `2`  | 

此控件检查 Elastic Load Balancer V2（应用程序、网络或网关负载均衡器）是否注册了至少来自指定数量的可用区（AZs）的实例。如果 Elastic Load Balancer V2 中注册的实例数量不超过指定数量，则控制失败。 AZs除非您为最小数量提供自定义参数值 AZs，否则 Security Hub CSPM 将使用默认值为 2。 AZs

弹性负载均衡 在一个或多个可用区中的多个目标（如 EC2 实例、容器和 IP 地址）之间自动分配传入的流量。弹性负载均衡 根据传入流量随时间的变化对负载均衡器进行扩展。建议至少配置两个可用区，以保证服务的可用性，因为当一个可用区不可用时，弹性负载均衡器可以将流量引导到另一个可用区。配置多个可用区将有助于消除应用程序的单点故障。

### 修复
<a name="elb-13-remediation"></a>

要向应用程序负载均衡器添加可用区，请参阅*应用程序负载均衡器用户指南*中的[应用程序负载均衡器的可用区](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html)。要向网络负载均衡器添加可用区，请参阅*网络负载均衡器用户指南*中的[网络负载均衡器](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)。要向网关负载均衡器添加可用区，请参阅*网关负载均衡器用户指南*中的[创建网关负载均衡器](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html)。

## [ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式
<a name="elb-14"></a>

**相关要求：** NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 CA-9 (1)、nist.800-53.r5 CM-2、PCI DSS v4.0.1/6.2.4

**类别：**保护 >数据保护 > 数据完整性

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)

**计划类型：**已触发变更

**参数：**
+ `desyncMode`：`defensive, strictest`（不可自定义）

此控件检查经典负载均衡器是配置了防御模式还是最严格的异步缓解模式。如果经典负载均衡器未配置防御或最严格的异步缓解模式，则控制失败。

HTTP Desync 问题可能导致请求走私，并使应用程序容易受到请求队列或缓存中毒的影响。反过来，这些漏洞可能导致凭证劫持或执行未经授权的命令。配置了防御性或最严格的异步缓解模式的经典负载均衡器可保护应用程序免受 HTTP Desync 可能导致的安全问题的影响。

### 修复
<a name="elb-14-remediation"></a>

要更新经典负载均衡器上的异步缓解模式，请参阅*经典负载均衡器用户指南*中的[修改异步缓解模式](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode)。

## [ELB.16] 应用程序负载均衡器应与 Web ACL 关联 AWS WAF
<a name="elb-16"></a>

**相关要求：** NIST.800-53.r5 AC-4(21)

**类别：**保护 > 防护服务

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Application Load Balancer 是与 AWS WAF 经典访问控制列表 ( AWS WAF Web ACL) 关联还是与 Web 访问控制列表 (Web ACL) 关联。如果 AWS WAF 配置`Enabled`字段设置为，则控件将失败`false`。

AWS WAF 是一种 Web 应用程序防火墙，可帮助保护 Web 应用程序和 APIs 免受攻击。使用 AWS WAF，您可以配置 Web ACL，这是一组基于您定义的可自定义 Web 安全规则和条件允许、阻止或计数 Web 请求的规则。我们建议将 Application Load Balancer 与 AWS WAF Web ACL 关联，以帮助保护其免受恶意攻击。

### 修复
<a name="elb-16-remediation"></a>

*要将 Application Load Balancer 与 Web ACL [关联，请参阅开发者指南中的将网页 ACL 与 AWS 资源关联或取消关联](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html)。AWS WAF *

## [ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略
<a name="elb-17"></a>

**相关要求：** NIST.800-53.r5 AC-17 (2)、、 NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 2 (3)、3、3 ( NIST.800-53.r5 SC-13)、( NIST.800-53.r5 SC-23)、 NIST.800-53.r5 SC-2 (4)、(1)、 NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancingV2::Listener`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)

**计划类型：**已触发变更

**参数：**`sslPolicies`：`ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04`（不可自定义）

此控件检查应用程序负载均衡器的 HTTPS 侦听器或网络负载均衡器的 TLS 侦听器是否配置为使用推荐的安全策略对传输中数据进行加密。如果负载均衡器的 HTTPS 或 TLS 侦听器未配置为使用推荐的安全策略，则该控件会失败。

Elastic Load Balancing 使用 SSL 协商配置（称为*安全策略*）来协商客户端和负载均衡器之间的连接。安全策略指定协议和密码的组合。协议会在客户端和服务器之间建立安全连接。密码是使用加密密钥创建编码消息的加密算法。在 连接协商过程中，客户端和负载均衡器会按首选项顺序提供各自支持的密码和协议的列表。使用推荐的负载均衡器安全策略可以帮助您满足合规性和安全标准。

### 修复
<a name="elb-17-remediation"></a>

有关推荐的安全策略以及如何更新侦听器的信息，请参阅《Elastic Load Balancing 用户指南》**的以下部分：[Security policies for Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html)、[Security policies for Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html)、[为您的应用程序负载均衡器更新 HTTPS 侦听器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html)和[更新网络负载均衡器的侦听器](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html)。

## [ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密
<a name="elb-18"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancingV2::Listener`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)

**计划类型：**已触发变更

**参数：**无

此控件检查应用程序负载均衡器或网络负载均衡器的侦听器是否配置为使用安全协议对传输中数据进行加密。如果应用程序负载均衡器侦听器未配置为使用 HTTPS 协议，或者网络负载均衡器侦听器未配置为使用 TLS 协议，则该控件会失败。

要加密客户端和负载均衡器之间传输的数据，应将 Elastic Load Balancer 侦听器配置为使用行业标准的安全协议：应用程序负载均衡器的 HTTPS 或网络负载均衡器的 TLS。否则，客户端和负载均衡器之间传输的数据容易遭遇拦截、篡改和未经授权访问。侦听器使用 HTTPS 或 TLS 符合安全最佳实践，有助于确保数据在传输过程中的机密性和完整性。对于处理敏感信息或必须遵循安全标准（要求对传输中数据进行加密）的应用程序，这尤为重要。

### 修复
<a name="elb-18-remediation"></a>

有关配置侦听器安全协议的信息，请参阅《Elastic Load Balancing 用户指南》**的以下部分：[为应用程序负载均衡器创建 HTTPS 侦听器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)和[为网络负载均衡器创建侦听器](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html)。

## [ELB.21] 应用程序和 Network Load Balancer 目标组应使用加密的运行状况检查协议
<a name="elb-21"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancingV2::TargetGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)

**计划类型：**已触发变更

**参数：**无

此控件检查应用程序和网络负载均衡器运行状况检查的目标组是否使用加密的传输协议。如果运行状况检查协议不使用 HTTPS，则控制失败。此控件不适用于 Lambda 目标类型。

 负载均衡器向注册目标发送运行状况检查请求，以确定其状态并相应地路由流量。目标组配置中指定的运行状况检查协议决定了这些检查的执行方式。当运行状况检查协议使用未加密的通信（例如 HTTP）时，请求和响应可能会在传输过程中被拦截或操纵。这使攻击者能够深入了解基础设施配置、篡改运行状况检查结果或进行影响路由决策的 man-in-the-middle攻击。使用 HTTPS 进行运行状况检查可在负载均衡器与其目标之间提供加密通信，从而保护健康状态信息的完整性和机密性。

### 修复
<a name="elb-21-remediation"></a>

要为应用程序负载均衡器目标组配置加密运行状况检查，请参阅[《Ela *stic Load Balancing 用户指南》中的 “更新应用程序负载*均衡器目标组的运行状况检查设置”](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html)。要为您的网络负载均衡器目标组配置加密运行状况检查，请参阅[《Ela *stic Load Balancing 用户指南》中的 “更新网络负载*均衡器目标组的运行状况检查设置”](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html)。

## [ELB.22] ELB 目标组应使用加密的传输协议
<a name="elb-22"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::ElasticLoadBalancingV2::TargetGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Elastic Load Balancing 目标组是否使用加密的传输协议。此控制不适用于目标类型为 Lambda 或 ALB 的目标群体，也不适用于使用 GENEVE 协议的目标群体。如果目标组不使用 HTTPS、TLS 或 QUIC 协议，则控制失败。

 对传输中的数据进行加密可保护其免遭未经授权的用户拦截。使用未加密协议（HTTP、TCP、UDP）的目标组在传输数据时不加密，因此容易被窃听。使用加密协议（HTTPS、TLS、QUIC）可确保负载均衡器和目标之间传输的数据受到保护。

### 修复
<a name="elb-22-remediation"></a>

要使用加密协议，必须使用 HTTPS、TLS 或 QUIC 协议创建新的目标组。目标组协议创建后无法修改。要创建应用程序负载均衡器目标组，请参阅《El [a *stic Load Balancing 用户指南》中的为应用程序负载*均衡器创建目标组](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html)。要创建网络负载均衡器目标组，请参阅《El [a *stic Load Balancing 用户指南》中的为网络负载*均衡器创建目标组](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html)。

# 适用于弹性搜索的 Security Hub CSPM
<a name="es-controls"></a>

这些 AWS Security Hub CSPM 控件用于评估 Elasticsearch 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [ES.1] Elasticsearch 域应启用静态加密
<a name="es-1"></a>

**相关要求：**PCI DSS v3.2.1/3.4、 NIST.800-53.r5 CA-9 (1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、8 (1)、(10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::Elasticsearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)

**计划类型：**定期

**参数：**无

此控件检查 Elasticsearch 域是否启用静态加密配置。如果未启用静态加密，检查将失败。

为了在中为您的敏感数据增加一层安全性 OpenSearch，您应将您的数据配置 OpenSearch 为静态加密。Elasticsearch 域提供静态数据加密。该功能 AWS KMS 用于存储和管理您的加密密钥。为执行加密，它使用具有 256 位密钥（AES-256）的高级加密标准算法。

要了解有关静 OpenSearch 态加密的更多信息，请参阅[《亚马逊服务*开发者指南*》中的亚马逊 OpenSearch 服务静态数据](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html)加密。 OpenSearch 

某些实例类型，例如 `t.small` 和 `t.medium`，不支持静态数据加密。有关详细信息，请参阅《*Amazon OpenSearch 服务开发者指南*》中的[支持的实例类型](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html)。

### 修复
<a name="es-1-remediation"></a>

要为新的和现有的 Elasticsearch 域[启用静态加密，请参阅《*亚马逊 OpenSearch 服务开发者*指南》中的启用静态数据](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear)加密。

## [ES.2] Elasticsearch 域名不可供公共访问
<a name="es-2"></a>

**相关要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3（7）、（21）、（11）、（16）、（20）、（21）、（3）、（4），(9) NIST.800-53.r5 AC-3，PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置 > VPC 内的资源 

**严重性：**严重

**资源类型：**`AWS::Elasticsearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)

**计划类型：**定期

**参数：**无

此控件检查 Elasticsearch 域是否位于 VPC 中。它不会评估 VPC 子网路由配置来确定公共访问。您应确保 Elasticsearch 域未附加到公共子网。请参阅《*Amazon OpenSearch 服务开发者指南*》中的[基于资源的政策](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource)。您还应该确保根据建议的最佳实践配置了 VPC。请参阅 *Amazon VPC 用户指南*中的 [VPC 安全最佳实践](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)。

部署在 VPC 内的 Elasticsearch 域可以通过私有 AWS 网络与 VPC 资源通信，无需穿越公共互联网。此配置通过限制对传输中数据的访问来提高安全状况。 VPCs 提供多种网络控制措施来保护对 Elasticsearch 域的访问，包括网络 ACL 和安全组。Security Hub CSPM 建议您将公有 Elasticsearch 域迁移到， VPCs 以利用这些控制措施。

### 修复
<a name="es-2-remediation"></a>

如果您创建一个具有公有端点的域，则以后无法将其放置在 VPC 中。您必须创建一个新的域，然后迁移数据。反之亦然。如果在 VPC 中创建一个域，则该域不能具有公有端点。您必须[创建另一个域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html)或禁用该控制。

请参阅[亚马逊 OpenSearch 服务*开发者指南中的在 VPC 内启动您的亚马逊 OpenSearch 服务*域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html)。

## [ES.3] Elasticsearch 域应加密节点之间发送的数据
<a name="es-3"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 3、3 ( NIST.800-53.r5 SC-23)、( NIST.800-53.r5 SC-23)、(4)、 NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2)、PCI DSS v4.0.1/4.2.1

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::Elasticsearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)

**计划类型：**已触发变更

**参数：**无

此控件用于检查 Elasticsearch 域名是否启用了 node-to-node加密。如果 Elasticsearch 域未启用 node-to-node加密，则控制失败。如果 Elasticsearch 版本不支持 node-to-node加密检查，则该控件还会生成失败的结果。

HTTPS (TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击窃听或操纵网络流量。只能允许通过 HTTPS（TLS）进行加密连接。为 Elasticsearch 域启用 node-to-node加密可确保集群内部通信在传输过程中得到加密。

此配置可能会降低性能。在启用此选项之前，您应该了解并测试性能权衡。

### 修复
<a name="es-3-remediation"></a>

有关在新域和现有域上启用 node-to-node加密的信息，请参阅《*Amazon S OpenSearch ervice 开发者指南*》中的[启用 node-to-node加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn)。

## [ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志
<a name="es-4"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、(9)、 NIST.800-53.r5 AC-6 nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、nist.800-53.r5 SI-7 (8)

**类别：**识别 – 日志记录

**严重性：**中

**资源类型：**`AWS::Elasticsearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)

**计划类型：**已触发变更

**参数：**
+ `logtype = 'error'`（不可自定义）

此控件检查 Elasticsearch 域是否配置为向日志发送错误日志。 CloudWatch 

您应该为 Elasticsearch 域启用错误日志，并将这些日志发送到 CloudWatch 日志以进行保留和响应。域错误日志可以帮助进行安全和访问审计，还可以帮助诊断可用性问题。

### 修复
<a name="es-4-remediation"></a>

有关如何启用日志发布的信息，请参阅《*Amazon S OpenSearch ervice 开发者指南*》中的[启用日志发布（控制台）](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console)。

## [ES.5] Elasticsearch 域名应该启用审核日志
<a name="es-5"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::Elasticsearch::Domain`

**AWS Config 规则:**`elasticsearch-audit-logging-enabled`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**
+ `cloudWatchLogsLogGroupArnList`（不可自定义）。Security Hub CSPM 不会填充此参数。应为审核日志配置的 CloudWatch 日志组列表，以逗号分隔。

  此规则适用于`NON_COMPLIANT`未在此参数列表中指定 Elasticsearch 域的 CloudWatch 日志组的情况。

此控件用于检查 Elasticsearch 域名是否启用了审核日志。如果 Elasticsearch 域未启用审核日志，则此控制失败。

审核日志是高度可定制的。它们允许您跟踪 Elasticsearch 集群上的用户活动，包括身份验证成功和失败、对身份验证的请求 OpenSearch、索引更改以及传入的搜索查询。

### 修复
<a name="es-5-remediation"></a>

有关启用审计日志的详细说明，请参阅《*Amazon S OpenSearch ervice 开发者指南*》中的[启用审计日志](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling)。

## [ES.6] Elasticsearch 域应拥有至少三个数据节点
<a name="es-6"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::Elasticsearch::Domain`

**AWS Config 规则:**`elasticsearch-data-node-fault-tolerance`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件会检查 Elasticsearch 域是否配置了至少三个数据节点，并且 `zoneAwarenessEnabled` 是 `true`。

一个 Elasticsearch 域至少需要三个数据节点才能实现高可用性和容错能力。部署至少具有三个数据节点的 Elasticsearch 域可以确保在节点发生故障时集群正常运行。

### 修复
<a name="es-6-remediation"></a>

**修改 Elasticsearch 域中的数据节点数量**

1. 打开亚马逊 OpenSearch 服务控制台，网址为[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/)。

1. 在**域**下，选择要编辑的域的名称。

1. 选择**编辑域**。

1. 在**数据节点**下，将**节点数**设置为大于或等于 `3` 的数字。

   对于三个可用区部署，请设置为三的倍数，以确保可用区间的分布均等。

1. 选择**提交**。

## [ES.7] 应将 Elasticsearch 域配置为至少三个专用的主节点
<a name="es-7"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::Elasticsearch::Domain`

**AWS Config规则:**`elasticsearch-primary-node-fault-tolerance`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件用于检查 Elasticsearch 域是否配置了至少三个专用主节点。如果该域不使用专用主节点，则此控件会失败。如果 Elasticsearch 域有五个专用的主节点，则此控件会通过。但是，为了降低可用性风险，可能没有必要使用三个以上的主节点，并且会导致额外的费用。

一个 Elasticsearch 域至少需要三个专用的主节点才能实现高可用性和容错能力。在 blue/green 部署数据节点期间，专用的主节点资源可能会紧张，因为还有其他节点需要管理。部署至少具有三个专用主节点的 Elasticsearch 域可以确保在节点发生故障时有足够的主节点资源容量和集群运行。

### 修复
<a name="es-7-remediation"></a>

**修改 OpenSearch 域中专用主节点的数量**

1. 打开亚马逊 OpenSearch 服务控制台，网址为[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/)。

1. 在**域**下，选择要编辑的域的名称。

1. 选择**编辑域**。

1. 在**专用主节点**下，将**实例类型**设置为所需的实例类型。

1. 将**主节点数**设置为等于或大于三个。

1. 选择**提交**。

## [ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密
<a name="es-8"></a>

**相关要求：** NIST.800-53.r5 AC-17 (2)、、(1) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3)、3、3 (3)、( NIST.800-53.r5 SC-13)、 NIST.800-53.r5 SC-2 (4)、 NIST.800-53.r5 SC-2 (1)、 NIST.800-53.r5 SC-7 (2)、nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)、PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::Elasticsearch::Domain`

**AWS Config 规则:**`elasticsearch-https-required`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件用于检查 Elasticsearch 域端点是否配置为使用最新的 TLS 安全策略。如果 Elasticsearch 域终端节点未配置为使用最新支持的策略或 HTTPs 未启用，则控制失败。当前最新支持的 TLS 安全策略是 `Policy-Min-TLS-1-2-PFS-2023-10`。

HTTPS (TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。只能允许通过 HTTPS（TLS）进行加密连接。加密传输中数据可能会影响性能。您应该使用此功能测试应用程序，以了解性能概况和 TLS 的影响。与先前版本的 TLS 相比，TLS 1.2 提供了多项安全增强功能。

### 修复
<a name="es-8-remediation"></a>

要启用 TLS 加密，请使用 [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) API 操作配置 [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html) 对象。这样会设置 `TLSSecurityPolicy`。

## [ES.9] 应标记 Elasticsearch 域
<a name="es-9"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Elasticsearch::Domain`

**AWS Config 规则:**`tagged-elasticsearch-domain`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件用于检查 Elasticsearch 域是否具有带参数 `requiredTagKeys` 中定义的特定键的标签。如果该域没有任何标签键或未在参数 `requiredTagKeys` 中指定所有键，则此控件会失败。如果未提供 `requiredTagKeys` 参数，则此控件仅会检查是否存在标签键，如果该域未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="es-9-remediation"></a>

要向 Elasticsearch 域添加[标签，请参阅*亚马逊 OpenSearch 服务开发者*指南中的使用](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console)标签。

# 适用于亚马逊 EMR 的 Security Hub CSPM 控件
<a name="emr-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估亚马逊 EMR（以前称为 Amazon Elastic MapReduce）服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址
<a name="emr-1"></a>

**相关要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v4.0.1/1.4.4、1、（7）、（21）、（21）、（16）、（20），(21)、(3)、(4)、(9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**高

**资源类型：**`AWS::EMR::Cluster`

**AWS Config 规则:emr-master-no-public**[-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon EMR 集群上的主节点是否具有公有 IP 地址。如果公有 IP 地址与任何主节点实例相关联，则控制失败。

公有 IP 地址是在实例的 `NetworkInterfaces` 配置 `PublicIp` 字段中指定的。此控件仅检查处于 `RUNNING` 或 `WAITING` 状态的 Amazon EMR 集群。

### 修复
<a name="emr-1-remediation"></a>

在启动期间，您可以控制是否为默认子网或非默认子网中的实例分配公有 IPv4 地址。默认情况下，默认子网的此属性设置为 `true`。非默认子网的 IPv4 公共寻址属性设置为`false`，除非它是由 Amazon EC2 启动实例向导创建的。在这种情况下，会将属性设置为 `true`。

启动后，您无法手动取消公有 IPv4 地址与您的实例的关联。

要修复失败的发现，您必须在 VPC 中启动一个新集群，该集群的私有子网的 IPv4 公有寻址属性设置为`false`。有关说明，请参阅 *Amazon EMR 管理指南*中的在 [VPC 中启动集群](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html)。

## [EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置
<a name="emr-2"></a>

**相关要求：**PCI DSS v4.0.1/1.4.4、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3（7） NIST.800-53.r5 AC-3、、（21） NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4（11） NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7（16）、（20）、 NIST.800-53.r5 SC-7（21）、 NIST.800-53.r5 SC-7（21）、 NIST.800-53.r5 SC-7（3）、 NIST.800-53.r5 SC-7（4）、（9） NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全访问管理 > 资源不公开访问

**严重性：**严重

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)

**计划类型：**定期

**参数：**无

此控件会检查您的账户是否配置了 Amazon EMR 屏蔽公共访问权限。如果未启用屏蔽公共访问权限设置或允许除端口 22 之外的任何端口，则控制失败。

如果集群的安全配置允许来自公有 IP 地址的入站流量通过某个端口，Amazon EMR 屏蔽公共访问权限会阻止您在公有子网中启动该集群。当来自您的 AWS 账户 的用户启动集群时，Amazon EMR 会检查该集群的安全组中的端口规则，并将其与您的入站流量规则进行比较。如果安全组有向公有 IP 地址 IPv4 0.0.0.0/0 或 IPv6 :: /0 开放端口的入站规则，并且这些端口未被指定为账户的例外情况，则 Amazon EMR 不允许用户创建集群。

**注意**  
默认情况下，阻止公有访问处于启用状态。为了增强账户保护，我们建议您将其保持启用状态。

### 修复
<a name="emr-2-remediation"></a>

要为 Amazon EMR 配置屏蔽公共访问权限，请参阅《亚马逊 EMR 管理指南》**中的[使用 Amazon EMR 阻止公有访问](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html)。

## [EMR.3] Amazon EMR 安全配置应静态加密
<a name="emr-3"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CP-9 (8)、nist.800-53.r5 SI-12

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::EMR::SecurityConfiguration`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon EMR 安全配置是否启用了静态加密。如果安全配置未启用静态加密，则此控件会失败。

静态数据是指存储在持久、非易失性存储介质中的数据，无论存储时长如何。对静态数据进行加密可帮助您保护数据的机密性，降低未经授权的用户访问这些数据的风险。

### 修复
<a name="emr-3-remediation"></a>

要在 Amazon EMR 安全配置中启用静态加密，请参阅《Amazon EMR 管理指南》**中的[配置数据加密](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html)。

## [EMR.4] Amazon EMR 安全配置应在传输过程中加密
<a name="emr-4"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 (1)、 NIST.800-53.r5 SC-8 (2)、 NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 3、 NIST.800-53.r5 SC-2 3 (3)

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::EMR::SecurityConfiguration`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon EMR 安全配置是否启用了传输中加密。如果安全配置未启用传输中加密，则此控件会失败。

传输中数据是指从一个位置移动到另一个位置的数据，例如在集群中的节点之间或在集群和应用程序之间。数据可能通过互联网或在私有网络内移动。对传输中数据进行加密可降低未经授权的用户侦听网络流量的风险。

### 修复
<a name="emr-4-remediation"></a>

要在 Amazon EMR 安全配置中启用传输中加密，请参阅《Amazon EMR 管理指南》**中的[配置数据加密](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html)。

# Security Hub CSPM 控件适用于 EventBridge
<a name="eventbridge-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon EventBridge 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [EventBridge.2] 应标记 EventBridge 活动总线
<a name="eventbridge-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Events::EventBus`

**AWS Config 规则:**`tagged-events-eventbus`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 Amazon EventBridge 事件总线是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果事件总线没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果事件总线未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="eventbridge-2-remediation"></a>

要向 EventBridge 事件总线添加标签，请参阅《[亚马逊* EventBridge 用户指南》中的 Amazon EventBridge * 标签](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)。

## [EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略
<a name="eventbridge-3"></a>

**相关要求：** NIST.800-53.r5 AC-2、 NIST.800-53.r5 AC-2 (1)、、(15) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、、、NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6、PCI DSS v4.0.1/10.3.1

**类别：**保护 > 安全访问管理 > 资源不公开访问

**严重性：**低

**资源类型：**`AWS::Events::EventBus`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 Amazon EventBridge 自定义事件总线是否附加了基于资源的策略。如果自定义事件总线没有基于资源的策略，则此控制失败。

默认情况下， EventBridge 自定义事件总线不附加基于资源的策略。这允许账户中的主体访问事件总线。通过将基于资源的策略附加到事件总线，您可以将对事件总线的访问权限限制为指定账户，也可以有意向另一个账户中的实体授予访问权限。

### 修复
<a name="eventbridge-3-remediation"></a>

要将基于资源的策略附加到 EventBridge 自定义事件总线，请参阅《亚马逊* EventBridge 用户*指南》 EventBridge中的为[亚马逊使用基于资源的策略](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html)。

## [EventBridge.4] EventBridge 全局端点应启用事件复制
<a name="eventbridge-4"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::Events::Endpoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否为 Amazon EventBridge 全局终端节点启用了事件复制。如果未为全局端点启用事件复制，则控制失败。

全球端点有助于使应用程序具有区域容错能力。首先，您为端点分配一个 Amazon Route 53 运行状况检查。启动失效转移时，运行状况检查会报告“不正常”状态。在失效转移启动后的几分钟内，所有自定义事件都将路由到辅助区域的事件总线，并由该事件总线进行处理。使用全局端点时，可以启用事件复制。事件复制使用托管规则将所有自定义事件发送到主区域和次要区域的事件总线。我们建议在设置全局端点时启用事件复制。事件复制可帮助您验证全局端点配置是否正确。需要事件复制才能从失效转移事件中自动恢复。如果您未启用事件复制，则必须手动将 Route 53 运行状况检查重置为“正常”，然后才能将事件重新路由回主区域。

**注意**  
如果您使用的是自定义事件总线，则需要在每个区域中使用同一个名称和相同账户的自定义偶数总线，这样失效转移才能正常运行。启用事件复制可能会增加月度成本。有关定价的信息，请参阅 [Amazon EventBridge 定价](https://aws.amazon.com/eventbridge/pricing/)。

### 修复
<a name="eventbridge-4-remediation"></a>

要为 EventBridge 全局终端节点启用事件复制，请参阅 *Amazon EventBridge 用户指南*中的[创建全局终端节点](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint)。对于**事件复制**，请选择**启用事件复制**。

# 适用于 Amazon Fraud Detector 的 Security Hub CSPM 控件
<a name="frauddetector-controls"></a>

这些 Security Hub CSPM 控件用于评估 Amazon Fraud Detector 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型
<a name="frauddetector-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::FraudDetector::EntityType`

**AWS Config 规则：**`frauddetector-entity-type-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 Amazon Fraud Detector 实体类型是否具有带参数 `requiredKeyTags` 中定义的特定键的标签。如果实体类型没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果实体类型未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="frauddetector-1-remediation"></a>

**向 Amazon Fraud Detector 实体类型添加标签（控制台）**

1. 在 [https://console.aws.amazon.com/frauddetector 上打开亚马逊 Fraud Detector](https://console.aws.amazon.com/frauddetector/) 控制台。

1. 在导航窗格中，选择**实体**。

1. 从列表中选择一个实例类型。

1. 在**实体类型标签**部分，选择**管理标签**。

1. 选择**添加新标签**。输入标签的键和值。针对其他键值对重复此操作。

1. 完成添加标签后，选择**保存**。

## [FraudDetector.2] 应标记 Amazon Fraud Detector 标签
<a name="frauddetector-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::FraudDetector::Label`

**AWS Config 规则：**`frauddetector-label-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 Amazon Fraud Detector 标签是否具有带参数 `requiredKeyTags` 中定义的特定键的标签。如果标签没有任何标签键或未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果标签未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="frauddetector-2-remediation"></a>

**向 Amazon Fraud Detector 标签添加标签（控制台）**

1. 在 [https://console.aws.amazon.com/frauddetector 上打开亚马逊 Fraud Detector](https://console.aws.amazon.com/frauddetector/) 控制台。

1. 在导航窗格中，选择**标签**。

1. 从列表中选择一个标签。

1. 在**标签标记**部分，选择**管理标签**。

1. 选择**添加新标签**。输入标签的键和值。针对其他键值对重复此操作。

1. 完成添加标签后，选择**保存**。

## [FraudDetector.3] 应标记 Amazon Fraud Detector 的结果
<a name="frauddetector-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::FraudDetector::Outcome`

**AWS Config 规则：**`frauddetector-outcome-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 Amazon Fraud Detector 结果是否具有带参数 `requiredKeyTags` 中定义的特定键的标签。如果结果没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果结果未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="frauddetector-3-remediation"></a>

**向 Amazon Fraud Detector 结果添加标签（控制台）**

1. 在 [https://console.aws.amazon.com/frauddetector 上打开亚马逊 Fraud Detector](https://console.aws.amazon.com/frauddetector/) 控制台。

1. 在导航窗格中，选择**结果**。

1. 从列表中选择一个结果。

1. 在**结果标签**部分，选择**管理标签**。

1. 选择**添加新标签**。输入标签的键和值。针对其他键值对重复此操作。

1. 完成添加标签后，选择**保存**。

## [FraudDetector.4] 应标记 Amazon Fraud Detector 变量
<a name="frauddetector-4"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::FraudDetector::Variable`

**AWS Config 规则：**`frauddetector-variable-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 Amazon Fraud Detector 变量是否具有带参数 `requiredKeyTags` 中定义的特定键的标签。如果变量没有任何标签键或未在 `requiredKeyTags` 参数中指定所有键，则此控件会失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果变量未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="frauddetector-4-remediation"></a>

**向 Amazon Fraud Detector 变量添加标签（控制台）**

1. 在 [https://console.aws.amazon.com/frauddetector 上打开亚马逊 Fraud Detector](https://console.aws.amazon.com/frauddetector/) 控制台。

1. 在导航窗格中，选择**变量**。

1. 从列表中选择一个变量。

1. 在**变量标签**部分，选择**管理标签**。

1. 选择**添加新标签**。输入标签的键和值。针对其他键值对重复此操作。

1. 完成添加标签后，选择**保存**。

# 适用于亚马逊的 Security Hub CSPM 控件 FSx
<a name="fsx-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon FSx 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [FSx.1] FSx 对于 OpenZFS 文件系统，应配置为将标签复制到备份和卷
<a name="fsx-1"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::FSx::FileSystem`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查是否将 Amazon FSx for OpenZFS 文件系统配置为将标签复制到备份和卷。如果 OpenZFS 文件系统未配置为将标签复制到备份和卷，则控制失败。

IT 资产的识别和清点是治理和安全的一个重要方面。标签可帮助您以不同的方式对 AWS 资源进行分类，例如按用途、所有者或环境进行分类。这在您具有很多类型相同的资源时会很有用，因为您可以根据分配给特定资源的标签快速识别该资源。

### 修复
<a name="fsx-1-remediation"></a>

有关配置适用 FSx 于 OpenZFS 的文件系统以将标签复制到备份和卷的信息，请参阅 A *ma FSx zon for OpenZ* FS 用户指南中的[更新文件系统](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html)。

## [FSx.2] FSx 对于 Lustre 文件系统，应配置为将标签复制到备份
<a name="fsx-2"></a>

**相关要求：**NIST.800-53.r5 CP-9、NIST.800-53.r5 CM-8

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::FSx::FileSystem`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon f FSx or Lustre 文件系统是否配置为将标签复制到备份和卷。如果 Lustre 文件系统未配置为将标签复制到备份和卷，则此控件将失败。

IT 资产的识别和清点是治理和安全的一个重要方面。标签可帮助您以不同的方式对 AWS 资源进行分类，例如按用途、所有者或环境进行分类。这在您具有很多类型相同的资源时会很有用，因为您可以根据分配给特定资源的标签快速识别该资源。

### 修复
<a name="fsx-2-remediation"></a>

有关配置 for Lustre 文件系统以将标签复制到备份的信息，请参阅 *Amazon FSx for Lustre 用户*[指南 AWS 账户中的在同一个文件系统中复制备](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html)份。 FSx 

## [FSx.3] FSx 对于 OpenZFS 文件系统，应配置为多可用区部署
<a name="fsx-3"></a>

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::FSx::FileSystem`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)

**计划类型：**定期

**参数：**`deploymentTypes: MULTI_AZ_1`（不可自定义）

此控件会检查 Amazon FSx for OpenZFS 文件系统是否配置为使用多可用区（多可用区）部署类型。如果文件系统未配置为使用多可用区部署类型，则该控件会失败。

Amazon FSx for OpenZFS 支持多种文件系统部署类型：*多可用区 (HA)*、*单可用区 (HA) 和*单*可用区（非 HA）*。部署类型提供不同级别的可用性和持久性。多可用区 (HA) 文件系统由一对高可用性 (HA) 文件服务器组成，这些服务器分布在两个可用区 (AZs)。我们建议大多数生产工作负载使用多可用区（HA）部署类型，因为它提供了高可用性和持久性模型。

### 修复
<a name="fsx-3-remediation"></a>

在创建文件系统时，您可以将 Amazon for OpenZFS 文件系统配置 FSx 为使用多可用区部署类型。您无法更改现有 FSx OpenZFS 文件系统的部署类型。

有关 OpenZFS 文件系统的部署类型和选项的信息，请参阅《亚马逊版 OpenZFS 用户指南》[中的 “[亚马逊 FSx 适用于 OpenZFS 的可用性和持久性](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html)” 和 “管理文件系统](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html)*资源 FSx *”。 FSx 

## [FSx.4] FSx 对于 NetApp ONTAP 文件系统，应配置为多可用区部署
<a name="fsx-4"></a>

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::FSx::FileSystem`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `deploymentTypes`  |  要包含在评估中的部署类型列表。如果文件系统未配置为使用列表中指定的部署类型，则该控件会生成 `FAILED` 调查发现。  |  枚举  |  `MULTI_AZ_1`, `MULTI_AZ_2`  |  `MULTI_AZ_1`, `MULTI_AZ_2`  | 

此控件会检查 Amazon FSx f NetApp or ONTAP 文件系统是否配置为使用多可用区（多可用区）部署类型。如果文件系统未配置为使用多可用区部署类型，则该控件会失败。您可以选择执行要包含在评估中的部署类型列表。

*Amazon FSx for NetApp ONTAP 支持多种文件系统的部署类型：*单可用区 1、单可用**区 2、多可用区* *1 和多可用区* 2。*部署类型提供不同级别的可用性和持久性。我们建议大多数生产工作负载使用多可用区部署类型，因为多可用区部署类型提供了高可用性和持久性模型。多可用区文件系统支持单可用区文件系统的所有可用性与持久性功能。此外，它们的设计目的是即使在可用区（AZ）不可用时也能持续提供数据可用性。

### 修复
<a name="fsx-4-remediation"></a>

您无法更改现有 Amazon FSx for NetApp ONTAP 文件系统的部署类型。但是，您可以备份数据，然后将其还原到使用多可用区部署类型的新文件系统上。

有关 ONTAP 文件系统的部署类型和选项的信息，请参阅《 FSx 适用于 ONTAP 的*用户*指南》FSx 中的[可用性、持久性和部署选项](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html)以及[管理文件系统](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html)。

## [FSx.5] FSx 对于 Windows 文件服务器，应为多可用区部署配置文件系统
<a name="fsx-5"></a>

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::FSx::FileSystem`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)

**计划类型：**定期

**参数：**`deploymentTypes: MULTI_AZ_1`（不可自定义）

此控件检查是否将 Amazon FSx for Windows 文件服务器文件系统配置为使用多可用区（多可用区）部署类型。如果文件系统未配置为使用多可用区部署类型，则该控件会失败。

Amazon FSx for Windows 文件服务器支持两种文件系统部署类型：*单可用区和*多*可用区*。部署类型提供不同级别的可用性和持久性。单可用区文件系统由单个 Windows 文件服务器实例和单个可用区（AZ）内的一组存储卷组成。多可用区文件系统由分布在两个可用区的 Windows 文件服务器的高可用性集群组成。我们建议大多数生产工作负载使用多可用区部署类型，因为它提供了高可用性和持久性模型。

### 修复
<a name="fsx-5-remediation"></a>

在创建文件系统时，您可以将 Amazon FSx for Windows 文件服务器文件系统配置为使用多可用区部署类型。您无法更改现有 FSx 的 Windows 文件服务器文件系统的部署类型。

有关 Windows 文件服务器文件系统的部署类型和选项的信息，请参阅《[亚马逊 Windows 文件服务器*用户指南》中的 “[可用性和持久性：单可用区和多可用区文件系统](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html)” 和 “亚马逊 FSx 版 Windows 文件服务器*入门](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html)”。 FSx FSx 

# 全球加速器的 Security Hub CSPM 控件
<a name="globalaccelerator-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS Global Accelerator 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [GlobalAccelerator.1] 应标记全球加速器加速器
<a name="globalaccelerator-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::GlobalAccelerator::Accelerator`

**AWS Config 规则:**`tagged-globalaccelerator-accelerator`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS Global Accelerator 加速器是否具有参数中定义的特定键的标签`requiredTagKeys`。如果加速器没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果加速器未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="globalaccelerator-1-remediation"></a>

要向 Global Accelerator 全局加速器添加标签，请参阅《AWS Global Accelerator Developer Guide》**中的 [Tagging in AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html)。

# Security Hub CSPM 控件适用于 AWS Glue
<a name="glue-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS Glue 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Glue.1] 应该给 AWS Glue 工作加标签
<a name="glue-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Glue::Job`

**AWS Config 规则:**`tagged-glue-job`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS Glue 作业是否具有参数中定义的特定键的标签`requiredTagKeys`。如果作业没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则控件仅检查是否存在标签键，如果作业未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="glue-1-remediation"></a>

要为 AWS Glue 作业添加标签，请参阅《*AWS Glue 用户指南*》[AWS Glue中的AWS 标签](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html)。

## [Glue.3] AWS Glue 机器学习转换应在静态时加密
<a name="glue-3"></a>

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::Glue::MLTransform`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS Glue 机器学习转换是否处于静态加密状态。如果未对机器学习转换进行静态加密，则此控件将失败。

静态数据是指存储在持久、非易失性存储介质中的数据，无论存储时长如何。对静态数据进行加密可帮助您保护数据的机密性，降低未经授权的用户访问这些数据的风险。

### 修复
<a name="glue-3-remediation"></a>

要为 AWS Glue 机器学习转换配置加密，请参阅《*AWS Glue 用户*指南》中的[使用机器学习转换](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html)。

## [Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue
<a name="glue-4"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 SI-2、nist.800-53.r5 SI-2 (2)、nist.800-53.r5 SI-2 (4)、nist.800-53.r5 SI-2 (5)

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**中

**资源类型：**`AWS::Glue::Job`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)

**计划类型：**已触发变更

**参数：**`minimumSupportedGlueVersion`：`3.0`（不可自定义）

此控件检查 fo AWS Glue r Spark 作业是否配置为在支持的版本上运行 AWS Glue。如果 Spark 作业配置为在低于最低支持版本的版本上运行 AWS Glue ，则控制失败。

**注意**  
如果 versi AWS Glue on (`GlueVersion`) 属性不存在或在作业的配置项目 (CI) 中 AWS Glue 为空，则此控件还会为 for Spark 作业生成`FAILED`查找结果。在这种情况下，调查发现包含以下注释：`GlueVersion is null or missing in glueetl job configuration`。要解决此类 `FAILED` 调查发现，请将 `GlueVersion` 属性添加到作业的配置中。有关支持的版本和运行时环境的列表，请参阅《AWS Glue 用户指南》**中的 [AWS Glue 版本](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions)。

在当前版本上运行 AWS Glue Spark 作业 AWS Glue 可以优化性能、安全性以及对最新功能的访问 AWS Glue。它还可以帮助防范安全漏洞。例如，可能会发布新版本以提供安全更新、解决问题或引入新功能。

### 修复
<a name="glue-4-remediation"></a>

有关将 Spark 作业迁移到支持的版本的信息 AWS Glue，请参阅《*AWS Glue 用户指南》*中的 [Spark 作业迁移 AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html)。

# 适用于亚马逊的 Security Hub CSPM 控件 GuardDuty
<a name="guardduty-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon GuardDuty 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [GuardDuty.1] GuardDuty 应该启用
<a name="guardduty-1"></a>

**相关要求：** NIST.800-53.r5 AC-2(12)、、(4)、1 (1)、1 (6)、5 (2) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7、5 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (8)、(19)、(21)、(21)、(25)、( NIST.800-53.r5 SA-11)、 NIST.800-53.r5 SA-1 (3)、nist.800-53.r5 SI-20、nist.800-53.r NIST.800-53.r5 SA-1 5 SI-3 (8)、nist.800-53.r NIST.800-53.r5 SA-1 5 SI-4、 NIST.800-53.r5 SA-8 nist.800-53.r5 SI-4、 NIST.800-53.r5 SA-8 nist.800-53.r5 SI-4、 NIST.800-53.r5 SA-8 nist.800-53.r5 NIST.800-53.r5 SC-5、 NIST.800-53.r5 SC-5 nist.800-53.r5 SI-3 NIST.800-53.r5 SC-5 (8) 800-53.r5 SI-4 (1)、nist.800-53.r5 SI-4 (13)、nist.800-53.r5 SI-4 (2)、nist.800-53.r5 SI-4 (22)、nist.800-53.r5 SI-4 (25)、nist.800-53.r5 SI-4 (4)、nist.800-53.r5 SI-4 (4)、nist.800-53.r5 SI-4 (4) .800-53.r5 SI-4 (5)、nist.800-171.r2 3.4.2、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7、PCI DSS v3.2.1/11.4，PCI DSS v4.0.1/11.5.1

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)

**计划类型：**定期

**参数：**无

此控件会检查您的 GuardDuty 账户和地区 GuardDuty 是否启用了 Amazon。

强烈建议您在所有支持的 AWS 区域 GuardDuty 中启用。这样 GuardDuty 做可以生成有关未经授权或异常活动的调查结果，即使在您不经常使用的地区也是如此。这还 GuardDuty 允许监控全球 CloudTrail 事件， AWS 服务 例如 IAM。

### 修复
<a name="guardduty-1-remediation"></a>

要启用 GuardDuty，请参阅 *Amazon GuardDuty 用户指南 GuardDuty中的[入门](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)指南*。

## [GuardDuty.2] 应给 GuardDuty 过滤器加标签
<a name="guardduty-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::GuardDuty::Filter`

**AWS Config 规则:**`tagged-guardduty-filter`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件会检查 Amazon GuardDuty 筛选条件是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果筛选条件没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果筛选条件未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="guardduty-2-remediation"></a>

要向 GuardDuty 筛选条件添加标签，请参阅 *Amazon GuardDuty API 参考[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)*中的。

## [GuardDuty.3] GuardDuty IPSets 应该被标记
<a name="guardduty-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::GuardDuty::IPSet`

**AWS Config 规则:**`tagged-guardduty-ipset`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 Amazon 是否 GuardDuty IPSet 具有参数中定义的特定密钥的标签`requiredTagKeys`。如果没有任何标签密钥或参数中没有指定的所有密钥，则控件将失败`requiredTagKeys`。 IPSet 如果`requiredTagKeys`未提供该参数，则该控件仅检查标签密钥是否存在，如果未使用任何密钥进行标记，则该控 IPSet 件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="guardduty-3-remediation"></a>

要向添加标签 GuardDuty IPSet，请参阅*亚马逊 GuardDuty API 参考[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)*中的。

## [GuardDuty.4] 应 GuardDuty 标记探测器
<a name="guardduty-4"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::GuardDuty::Detector`

**AWS Config 规则:**`tagged-guardduty-detector`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 Amazon GuardDuty 探测器是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果检测器没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果检测器未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="guardduty-4-remediation"></a>

要向 GuardDuty 探测器添加标签，请参阅 *Amazon GuardDuty API 参考[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)*中的。

## [GuardDuty.5] 应启 GuardDuty 用 EKS 审核日志监控
<a name="guardduty-5"></a>

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::GuardDuty::Detector`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查 GuardDuty EKS 审核日志监控是否已启用。对于独立账户，如果在账户中禁用 GuardDuty EKS 审核日志监控，则控制失败。在多账户环境中，如果委派的 GuardDuty 管理员账户和所有成员账户未启用 EKS 审核日志监控，则控制失败。

在多账户环境中，该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员账户启用或禁用 EKS 审核日志监控功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托的 GuardDuty 管理员有一个已暂停的成员帐户，但未启用 GuardDuty EKS 审核日志监控，则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果，授权管理员必须解除这些已暂停账户的 GuardDuty关联。

GuardDuty EKS 审计日志监控可帮助您检测亚马逊 Elastic Kubernetes Service（亚马逊 EKS）集群中潜在的可疑活动。EKS 审计日志监控使用 Kubernetes 审计日志来捕获来自用户、使用 Kubernetes API 的应用程序和控制面板的按时间顺序排列的活动。

### 修复
<a name="guardduty-5-remediation"></a>

要启用 GuardDuty EKS 审计日志监控，请参阅 [A *mazon GuardDuty 用户指南*中的 EKS 审计日志监控](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html)。

## [GuardDuty.6] 应启用 Lamb GuardDuty da 保护
<a name="guardduty-6"></a>

**相关要求：**PCI DSS v4.0.1/11.5.1

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::GuardDuty::Detector`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查 GuardDuty Lambda 保护是否已启用。对于独立账户，如果在账户中禁用 GuardDuty Lambda 保护，则控制失败。在多账户环境中，如果委托的 GuardDuty 管理员账户和所有成员账户未启用 Lambda Protection，则控制失败。

在多账户环境中，该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有委派的管理员才能为组织中的成员账户启用或禁用 Lambda 保护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托 GuardDuty 管理员有未启用 GuardDuty Lambda Protection 的已暂停成员账户，则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果，授权管理员必须解除这些已暂停账户的 GuardDuty关联。

GuardDuty Lambda Protection 可帮助您在 AWS Lambda 函数被调用时识别潜在的安全威胁。启用 Lambda 保护后， GuardDuty 开始监控与中的 Lambda 函数关联的 Lambda 网络活动日志。 AWS 账户当 Lambda 函数被调用并 GuardDuty 识别出表明您的 Lambda 函数中存在潜在恶意代码的可疑网络流量时， GuardDuty 会生成调查结果。

### 修复
<a name="guardduty-6-remediation"></a>

*要启用 GuardDuty Lambda 保护，请参阅亚马逊用户[指南中的配置 Lambda](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) 保护。 GuardDuty *

## [GuardDuty.7] 应启用 GuardDuty EKS 运行时监控
<a name="guardduty-7"></a>

**相关要求：**PCI DSS v4.0.1/11.5.1

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::GuardDuty::Detector`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查是否启用了具有自动代理管理功能的 GuardDuty EKS 运行时监控。对于独立账户，如果账户中禁用了带有自动代理管理功能的 GuardDuty EKS 运行时监控，则该控制将失败。在多账户环境中，如果委派的 GuardDuty 管理员账户和所有成员账户都没有启用自动代理管理的 EKS 运行时监控，则控制失败。

在多账户环境中，该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员账户启用或禁用 EKS 运行时监控功能以及自动代理管理。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托的 GuardDuty 管理员有一个已暂停的成员帐户，但未启用 GuardDuty EKS 运行时监控，则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果，授权管理员必须解除这些已暂停账户的 GuardDuty关联。

Amazon 中的 EKS Protec GuardDuty tion 提供威胁检测覆盖范围，可帮助您保护 AWS 环境中的 Amazon EKS 集群。EKS 运行时监控使用操作系统级事件来帮助您检测 EKS 集群内的 EKS 节点和容器中的潜在威胁。

### 修复
<a name="guardduty-7-remediation"></a>

要通过自动代理管理启用 EKS 运行时监控，请参阅 *Amazon GuardDuty 用户指南*中的[启用 GuardDuty 运行时监控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html)。

## [GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护
<a name="guardduty-8"></a>

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::GuardDuty::Detector`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查是否启用了 GuardDuty 恶意软件防护。对于独立帐户，如果该帐户中禁用了 GuardDuty 恶意软件防护，则该控制将失败。在多账户环境中，如果委派的 GuardDuty 管理员账户和所有成员账户未启用恶意软件防护，则控制失败。

在多账户环境中，该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员帐户启用或禁用恶意软件防护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托的 GuardDuty 管理员有一个已暂停但未启用 GuardDuty 恶意软件防护的成员帐户，则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果，授权管理员必须解除这些已暂停账户的 GuardDuty关联。

GuardDuty EC2 恶意软件防护通过扫描附加到亚马逊弹性计算云 (Amazon EC2) 实例和容器工作负载的亚马逊弹性区块存储 (Amazon EBS) 卷来帮助您检测恶意软件的潜在存在。恶意软件防护提供扫描选项，您可以在扫描时决定要包含还是排除特定的 EC2 实例和容器工作负载。它还提供了在您的 GuardDuty 账户中保留附加到 EC2 实例或容器工作负载的 EBS 卷快照的选项。只有在发现恶意软件并生成恶意软件防护调查发现时，才会保留快照。

### 修复
<a name="guardduty-8-remediation"></a>

要为 EC2 启用 GuardDuty 恶意软件防护，请参阅 [ GuardDutyA *mazon GuardDuty 用户指南*中的配置启动的恶意软件扫描](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html)。

## [GuardDuty.9] 应启用 GuardDuty RDS 保护
<a name="guardduty-9"></a>

**相关要求：**PCI DSS v4.0.1/11.5.1

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::GuardDuty::Detector`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查 GuardDuty RDS 保护是否已启用。对于独立账户，如果账户中禁用 GuardDuty RDS 保护，则控制失败。在多账户环境中，如果委派的 GuardDuty 管理员账户和所有成员账户未启用 RDS 保护，则控制失败。

在多账户环境中，该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员账户启用或禁用 RDS 保护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托的 GuardDuty 管理员有未启用 GuardDuty RDS 保护的已暂停成员账户，则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果，授权管理员必须解除这些已暂停账户的 GuardDuty关联。

RDS Protection 可以 GuardDuty 分析和分析 RDS 登录活动，了解您的亚马逊 Aurora 数据库（兼容 Aurora MySQL 的版本和兼容 Aurora PostgreSQL 的版本）是否存在潜在的访问威胁。此功能允许您识别潜在的可疑登录行为。RDS 保护不需要额外的基础设施，其设计初衷即是为了不影响数据库实例的性能。当 RDS Protection 检测到表明您的数据库存在威胁的潜在可疑或异常登录尝试时， GuardDuty 会生成新的调查结果，其中包含有关可能受感染的数据库的详细信息。

### 修复
<a name="guardduty-9-remediation"></a>

要启用 GuardDuty RDS 保护，请参阅 *Amazon GuardDuty 用户指南*中的 [GuardDuty RDS 保护](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html)。

## [GuardDuty.10] 应启用 GuardDuty S3 保护
<a name="guardduty-10"></a>

**相关要求：**PCI DSS v4.0.1/11.5.1

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::GuardDuty::Detector`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查 GuardDuty S3 保护是否已启用。对于独立账户，如果在账户中禁用 GuardDuty S3 保护，则控制失败。在多账户环境中，如果委派的 GuardDuty 管理员账户和所有成员账户未启用 S3 保护，则控制失败。

在多账户环境中，该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员账户启用或禁用 S3 保护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委派的 GuardDuty 管理员有未启用 GuardDuty S3 保护的已暂停成员账户，则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果，授权管理员必须解除这些已暂停账户的 GuardDuty关联。

S3 Protection GuardDuty 允许监控对象级 API 操作，以识别您的亚马逊简单存储服务 (Amazon S3) 存储桶中数据的潜在安全风险。 GuardDuty 通过分析 AWS CloudTrail 管理事件和 S3 数据事件来监控针对您CloudTrail 的 S3 资源的威胁。

### 修复
<a name="guardduty-10-remediation"></a>

要启用 GuardDuty S3 保护，请参阅[亚马逊* GuardDuty 用户指南 GuardDuty中的亚马逊* S3 保护](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html)。

## [GuardDuty.11] 应启用 “ GuardDuty 运行时监控”
<a name="guardduty-11"></a>

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::GuardDuty::Detector`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)

**计划类型：**定期

**参数：**无

此控件可检查 Amazon 中是否启用了运行时监控 GuardDuty。对于独立帐户，如果为该帐户禁用 GuardDuty 运行时监控，则该控制将失败。在多账户环境中，如果为委派的 GuardDuty 管理员账户和所有成员账户禁用 GuardDuty 运行时监控，则控制失败。

在多账户环境中，只有授权的 GuardDuty 管理员才能为其组织中的账户启用或禁用 GuardDuty 运行时监控。此外，只有 GuardDuty 管理员才能配置和管理 GuardDuty 用于运行时监控组织中帐户的工作 AWS 负载和资源的安全代理。 GuardDuty 成员账户无法为自己的账户启用、配置或禁用运行时监控。

GuardDuty 运行时监控可观察和分析操作系统级别、网络和文件事件，以帮助您检测环境中特定 AWS 工作负载中的潜在威胁。它使用 GuardDuty 安全代理来增加运行时行为的可见性，例如文件访问、进程执行、命令行参数和网络连接。您可以为要监控潜在威胁的每种资源类型（例如 Amazon EKS 集群和 Amazon EC2 实例）启用和管理安全代理。

### 修复
<a name="guardduty-11-remediation"></a>

有关配置和启用 GuardDuty 运行时监控的信息，请参阅 GuardDuty *Amazon GuardDuty 用户指南*中的[ GuardDuty 运行时[监控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html)和启用运行时监控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html)。

## [GuardDuty.12] 应启用 GuardDuty ECS 运行时监控
<a name="guardduty-12"></a>

**类别：**检测 > 检测服务

**严重性：**中

**资源类型：**`AWS::GuardDuty::Detector`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查是否启用了亚马逊 GuardDuty 自动安全代理，以便对开启的 Amazon ECS 集群进行运行时监控 AWS Fargate。对于独立账户，如果账户禁用了安全代理，则该控件会失败。在多账户环境中，如果为委派的 GuardDuty管理员账户和所有成员账户禁用安全代理，则控制失败。

在多账户环境中，此控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。这是因为只有授权的 GuardDuty 管理员才能为其组织中的账户启用或禁用 ECS-FarGate 资源的运行时监控。 GuardDuty 成员账户无法为自己的账户执行此操作。此外，如果 GuardDuty 成员账户被暂停且成员账户禁用 ECS-Fargate 资源的运行时监控，则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果， GuardDuty 管理员必须使用 GuardDuty解除被暂停的成员帐户与其管理员帐户的关联。

GuardDuty 运行时监控可观察和分析操作系统级别、网络和文件事件，以帮助您检测环境中特定 AWS 工作负载中的潜在威胁。它使用 GuardDuty 安全代理来增加运行时行为的可见性，例如文件访问、进程执行、命令行参数和网络连接。您可以为要监控潜在威胁的每种资源类型启用和管理安全代理。这包括 AWS Fargate上的 Amazon ECS 集群。

### 修复
<a name="guardduty-12-remediation"></a>

要启用和管理用于对 ECS-Fargate 资源进行 GuardDuty 运行时监控的安全代理，必须直接使用。 GuardDuty 对于 ECS-Fargate 资源，您无法手动启用或管理它。有关启用和管理安全代理的信息，请参阅《[亚马逊 GuardDuty 用户指南》中的 AWS Fargate （仅限 Amazon ECS）支持的先决条件](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html)*和管理自动安全代理 AWS Fargate （仅限 Amazon* [ECS）](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html)。

## [GuardDuty.13] 应启用 GuardDuty EC2 运行时监控
<a name="guardduty-13"></a>

**类别：**检测 > 检测服务

**严重性：**中

**资源类型：**`AWS::GuardDuty::Detector`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查是否启用了亚马逊 GuardDuty 自动安全代理，以便对 Amazon EC2 实例进行运行时监控。对于独立账户，如果账户禁用了安全代理，则该控件会失败。在多账户环境中，如果为委派的 GuardDuty 管理员账户和所有成员账户禁用安全代理，则控制失败。

在多账户环境中，此控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。这是因为只有授权的 GuardDuty 管理员才能为其组织中的账户启用或禁用 Amazon EC2 实例的运行时监控。 GuardDuty 成员账户无法为自己的账户执行此操作。此外，如果成员账户被暂停，且该成员账户 GuardDuty 的 EC2 实例运行时监控被禁用，则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果， GuardDuty 管理员必须使用 GuardDuty解除被暂停的成员帐户与其管理员帐户的关联。

GuardDuty 运行时监控可观察和分析操作系统级别、网络和文件事件，以帮助您检测环境中特定 AWS 工作负载中的潜在威胁。它使用 GuardDuty 安全代理来增加运行时行为的可见性，例如文件访问、进程执行、命令行参数和网络连接。您可以为要监控潜在威胁的每种资源类型启用和管理安全代理。这包括 Amazon EC2 实例。

### 修复
<a name="guardduty-13-remediation"></a>

有关配置和管理 EC2 实例 GuardDuty 运行时监控的自动安全代理的信息，请参阅 Amazon * GuardDuty 用户指南*[中的 Amazon EC2 实例支持的先决条件](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html)和[为 Amazon EC2 实例启用自动安全代理](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html)。

# Security Hub CSPM 控件适用于 AWS Identity and Access Management
<a name="iam-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS Identity and Access Management (IAM) 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [IAM.1] IAM policy 不应允许完整的“\$1”管理权限
<a name="iam-1"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/1.22、CIS AWS 基金会基准 v1.4.0/1.16、、 NIST.800-53.r5 AC-2 (1)、、(15)、(7) NIST.800-53.r5 AC-2、、(10)、(2) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (3)、 NIST.800-53.r5 AC-3 (3)、nist.800-171.r2 3.1.4 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6、 NIST.800-53.r5 AC-6 PCI DSS v3.2.1/7.2.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**类别：**保护 > 安全访问管理

**严重性：**高

**资源类型：**`AWS::IAM::Policy`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)

**计划类型：**已触发变更

**参数：**
+ `excludePermissionBoundaryPolicy: true`（不可自定义）

此控件检查 IAM policy 的默认版本（也称为客户管理型策略）是否具有管理员访问权限，方法是包含一个在 `"Resource": "*"` 上对 `"Effect": "Allow"` 和 `"Action": "*"` 的声明。如果您有带有此类声明的 IAM policy，则控制失败。

该控制仅检查您创建的客户托管策略。它不检查内联策略和 AWS 托管策略。

IAM policy 定义一组授予用户、组或角色的权限。按照标准的安全建议， AWS 建议您授予最低权限，即仅授予执行任务所需的权限。当您提供完全管理权限而不是用户所需的最低权限集时，您会将资源暴给可能有害的操作。

首先确定用户需要执行的任务，然后拟定仅限用户执行这些任务的策略，而不是允许完全管理权限。最开始只授予最低权限，然后根据需要授予其他权限，则样会更加安全。请不要一开始就授予过于宽松的权限而后再尝试收紧权限。

您应该移除包含在 `"Resource": "*"` 上对 `"Effect": "Allow" ` 和 `"Action": "*"` 的声明的 IAM policy。

**注意**  
AWS Config 应在您使用 Security Hub CSPM 的所有区域中启用。但是，可以在单个区域启用全局资源记录。如果您仅在一个区域中记录全局资源，则可以在所有区域（记录全局资源的区域除外）中禁用此控件。

### 修复
<a name="iam-1-remediation"></a>

要修改 IAM policy 使其不允许完全的 "\$1" 管理权限，请参阅 *IAM 用户指南*中的[编辑 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)。

## [IAM.2] IAM 用户不应附加 IAM policy
<a name="iam-2"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/1.14、独联体基金会基准 v3.0.0/1.15、CIS AWS 基金会基准 v1.2.0/1.16、、（1）、（15）、（7）、、 NIST.800-53.r5 AC-2（3）、nist.800-171.r2 3.1.1、nist.800-171.r2 3.1.2、nist.800-171.r2 3.1.7、nist.800-171.r2 3.1.7、nist.800-171.r2 3.1.7 NIST.800-53.r5 AC-2、nist.800-171.r2 3.1.7 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 nist.800-171.r2 3.1.7、 NIST.800-53.r5 AC-3 nist.800-171.r2 r2 3.3.9 NIST.800-53.r5 AC-6、 NIST.800-53.r5 AC-6 nist.800-171.r2 3.13.3、PCI AWS DSS v3.2.1/7.2.1

**类别：**保护 > 安全访问管理

**严重性：**低

**资源类型：**`AWS::IAM::User`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 IAM 用户是否附加了策略。如果 IAM 用户附加了策略，则控制失败。相反，IAM 用户必须继承 IAM 组的权限或承担角色。

默认情况下，IAM 用户、群组和角色无权访问 AWS 资源。IAM policy 向用户、组或角色授予权限。我们建议您将 IAM policy 直接应用于组和角色，而不是用户。随着用户数量的增长，在组或角色级别分配权限可降低访问管理的复杂性。降低访问管理的复杂性有助于减少委托人意外收到或保留过多权限的机会。

**注意**  
AWS Config 应在您使用 Security Hub CSPM 的所有区域中启用。但是，可以在单个区域启用全局资源记录。如果您仅在单个区域中记录全局资源，则可以在除记录全局资源的区域以外的所有区域中禁用此控件。

### 修复
<a name="iam-2-remediation"></a>

要解决此问题，请[创建一个 IAM 群组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html)，并将该策略附加到该群组。然后，[将用户添加到组中](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html)。策略将应用于组中的每一位用户。要删除直接附加到用户的策略，请参阅 *IAM 用户指南*中的[添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。

## [IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
<a name="iam-3"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/1.13、CIS 基金会基准 v3.0.0/1.14、CIS AWS 基金会基准 v1.4.0/1.14、CIS AWS 基金会基准 v1.2.0/1.4、(1)、(3)、(15)、PCI DSS AWS v4.0.1/8.3.9、 NIST.800-53.r5 AC-2 PCI DSS v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3

**类别：**保护 > 安全访问管理

**严重性：**中 

**资源类型：**`AWS::IAM::User`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)

**计划类型：**定期

**参数：**
+ `maxAccessKeyAge`：`90`（不可自定义）

该控制检查是否在 90 天内轮换了活动访问密钥。

我们强烈建议您不要在账户中生成和删除所有访问密钥。相反，推荐的最佳做法是创建一个或多个 IAM 角色或通过使用[联](https://aws.amazon.com/identity/federation/)合 AWS IAM Identity Center。您可以使用这些方法来允许您的用户访问 AWS 管理控制台 和 AWS CLI。

每种方法都有其使用案例。对于拥有现有中心目录或计划需要超过当前 IAM 用户限制的企业来说，联合身份验证通常更好。在 AWS 环境之外运行的应用程序需要访问密钥才能以编程方式访问 AWS 资源。

但是，如果需要编程访问权限的资源在内部运行 AWS，则最佳做法是使用 IAM 角色。通过角色，您可以授予资源访问权限，而无需在配置中硬编码访问密钥 ID 和私有访问密钥。

要了解有关保护访问密钥和帐户的更多信息，请参阅中的[管理 AWS 访问密钥的最佳实践*AWS 一般参考*](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html)。另请参阅博客文章[《使用编程访问权限 AWS 账户 时保护您的指南》](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/)。

如果你已经有了访问密钥，Security Hub CSPM 建议你每 90 天轮换一次访问密钥。轮换访问密钥可减少他人使用遭盗用账户或已终止账户关联的访问密钥的风险。这还可以确保无法使用可能已丢失、遭破解或被盗用的旧密钥访问数据。轮换访问密钥后，始终更新您的应用程序。

访问密钥包含一个访问密钥 ID 和一个私有访问密钥。它们用于签署您向 AWS发出的编程请求。用户需要自己的访问密钥才能 AWS 从 AWS CLI、Windows 工具进行编程调用 PowerShell AWS SDKs，或者使用个人的 API 操作进行直接 HTTP 调用 AWS 服务。

如果您的组织使用 AWS IAM Identity Center （IAM 身份中心），则您的用户可以登录 Active Directory、内置的 IAM 身份中心目录[或其他连接到 IAM 身份中心的身份提供商 (IdP)](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)。然后可以将它们映射到一个 IAM 角色，使他们无需访问密钥即可运行 AWS CLI 命令或调用 AWS API 操作。要了解更多信息，请参阅*AWS Command Line Interface 用户指南 AWS IAM Identity Center*[中的配置 AWS CLI 以使用](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html)。

**注意**  
AWS Config 应在您使用 Security Hub CSPM 的所有区域中启用。但是，可以在单个区域启用全局资源记录。如果您仅在一个区域中记录全局资源，则可以在所有区域（记录全局资源的区域除外）中禁用此控件。

### 修复
<a name="iam-3-remediation"></a>

要轮换超过 90 天的访问密钥，请参阅 *IAM 用户指南*中的[轮换访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)。对于任何**访问密钥有效期**超过 90 天的用户，请按照说明进行操作。

## [IAM.4] 不应存在 IAM 根用户访问密钥
<a name="iam-4"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/1.3、CIS AWS 基金会基准 v3.0.0/1.4、CIS 基金会基准 v1.4.0/1.4、CIS AWS 基金会基准 v1.2.0/1.12、PCI DSS v3.2.1/2.2、PCI DSS v3.2.1/7.2.1、(1)、(15)、(7)、(10)、(2) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**类别：**保护 > 安全访问管理

**严重性：**严重 

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)

**计划类型：**定期

**参数：**无

此控件检查根用户访问密钥是否存在。

root 用户是中权限最高的用户 AWS 账户。 AWS 访问密钥提供对给定账户的编程访问权限。

Security Hub CSPM 建议您删除与根用户关联的所有访问密钥。这限制了可用于危害您的账户的向量。它还鼓励创建和使用最小权限的基于角色的账户。

### 修复
<a name="iam-4-remediation"></a>

要删除根用户访问密钥，请参阅 *IAM 用户指南*中的[删除根用户的访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key)。要从中删除 root 用户访问密钥 AWS GovCloud (US)，请参阅用户*指南 AWS 账户 中的删除我的 AWS GovCloud (US) 账户 root AWS GovCloud (US) 用户*[访问密钥](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key)。

## [IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
<a name="iam-5"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/1.9、CIS AWS 基金会基准 v3.0.0/1.10、CIS 基金会基准 v1.4.0/1.10、CIS AWS 基金会基准 v1.2.0/1.2、(1)、(15)、 NIST.800-53.r5 AC-2 (1)、(2)、(6)、(8)、 NIST.800-53.r5 AC-3 PCI AWS DSS v4.0.1/8.4.2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::IAM::User`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)

**计划类型：**定期

**参数：**无

此控件检查是否为所有使用控制台密码的 IAM 用户启用了 AWS 多重身份验证 (MFA)。

多重身份验证（MFA）在用户名和密码之上增加了一层额外的防护。启用 MFA 后，当用户登录 AWS 网站时，系统会提示他们输入用户名和密码。此外，系统还会提示他们从 AWS MFA 设备输入身份验证码。

我们建议为拥有控制台密码的所有账户启用 MFA。MFA 旨在为控制台访问提供更高的安全性。身份验证委托人必须拥有发放具有时效性的密钥的设备，并且必须知道凭证。

**注意**  
AWS Config 应在您使用 Security Hub CSPM 的所有区域中启用。但是，可以在单个区域启用全局资源记录。如果您仅在一个区域中记录全局资源，则可以在所有区域（记录全局资源的区域除外）中禁用此控件。

### 修复
<a name="iam-5-remediation"></a>

要为 IAM 用户添加 MFA，请参阅 *IAM 用户指南* 中的[在 AWS上使用多重身份验证（MFA）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。

## [IAM.6] 应该为根用户启用硬件 MFA
<a name="iam-6"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/1.5、CIS AWS 基金会基准 v3.0.0/1.6、CIS 基金会基准 v1.4.0/1.6、CIS AWS 基金会基准 v1.2.0/1.14、PCI DSS v3.2.1/8.3.1、(1)、(15)、 NIST.800-53.r5 AC-2 (1)、(2)、(6)、(8)、PCI DSS v4.0.1/8.4.2 AWS NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**类别：**保护 > 安全访问管理

**严重性：**严重

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)

**计划类型：**定期

**参数：**无

此控件会检查您 AWS 账户 是否允许使用硬件多因素身份验证 (MFA) 设备使用根用户凭据登录。如果未启用硬件 MFA 或者允许虚拟 MFA 设备使用根用户凭证登录，则该控件会失败。

虚拟 MFA 无法提供与硬件 MFA 设备相同的安全水平。我们建议您仅在等待硬件购买批准或等待硬件到达时使用虚拟 MFA 设备。要了解更多信息，请参阅《IAM 用户指南》**中的[分配虚拟 MFA 设备（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)。

**注意**  
Security Hub CSPM 根据中是否存在根用户凭证（登录配置文件）来评估此控件。 AWS 账户在以下情况下，控件会生成 `PASSED` 调查发现：  
账户中存在根用户凭证，并且为根用户启用了硬件 MFA。
账户中不存在根用户凭证。
如果账户中存在根用户凭证，并且未为根用户启用硬件 MFA，则该控件会生成 `FAILED` 调查发现。

### 修复
<a name="iam-6-remediation"></a>

有关为根用户启用硬件 MFA 的信息，请参阅《IAM 用户指南》**中的 [AWS 账户根用户的多重身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)。

## [IAM.7] IAM 用户的密码策略应具有可靠的配置
<a name="iam-7"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、(3)、(15)、(1)、 NIST.800-53.r5 AC-2 nist.800-171.r2 3.5.2、 NIST.800-53.r5 AC-3 nist.800-171.r2 3.5.7、 NIST.800-53.r5 IA-5 nist.800-171.r2 3.5.8、PCI DSS v4.0.1/8.3.6、PCI DSS v4.0.1/8.3.9、PCI DSS v4.0.1/8.3.9、PCI DSS v4.0.1/8.3.9、PCI DSS v4.0.1/8.3.9 4.0.1/8.3.10.1，PCI DSS v4.0.1/8.6.3

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `RequireUppercaseCharacters`  |  密码中要求至少包含一个大写字符  |  布尔值  |  `true` 或者 `false`  |  `true`  | 
|  `RequireLowercaseCharacters`  |  密码中要求至少包含一个小写字符  |  布尔值  |  `true` 或者 `false`  |  `true`  | 
|  `RequireSymbols`  |  密码中要求至少包含一个符号  |  布尔值  |  `true` 或者 `false`  |  `true`  | 
|  `RequireNumbers`  |  密码中要求至少包含一个数字  |  布尔值  |  `true` 或者 `false`  |  `true`  | 
|  `MinimumPasswordLength`  |  密码中的最少字符数  |  整数  |  `8` 到 `128`  |  `8`  | 
|  `PasswordReusePrevention`  |  在可以重复使用旧密码之前的密码轮换次数  |  整数  |  `12` 到 `24`  |  无默认值  | 
|  `MaxPasswordAge`  |  密码到期前的天数  |  整数  |  `1` 到 `90`  |  无默认值  | 

此控件检查 IAM 用户的账户密码策略是否使用可靠的配置。如果密码策略未使用可靠配置，则控制失败。除非您提供自定义参数值，否则 Security Hub CSPM 将使用上表中提到的默认值。`PasswordReusePrevention`和`MaxPasswordAge`参数没有默认值，因此，如果排除这些参数，Security Hub CSPM 在评估此控件时会忽略密码轮换次数和密码期限。

要访问 AWS 管理控制台，IAM 用户需要密码。作为最佳实践，Security Hub CSPM 强烈建议您使用联合身份验证，而不是创建 IAM 用户。联合身份验证允许用户使用其现有的公司凭证登录 AWS 管理控制台。使用 AWS IAM Identity Center （IAM 身份中心）创建用户或联合用户，然后在账户中担任 IAM 角色。

要了解有关身份提供商和联合身份验证的更多信息，请参阅 *IAM 用户指南中*的[身份提供程序和联合身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)。要了解有关 IAM Identity Center 的更多信息，请参阅 [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。

 如果您需要使用 IAM 用户，Security Hub CSPM 建议您强制创建强用户密码。您可以对您的设置密码策略， AWS 账户 以指定密码的复杂性要求和强制轮换周期。创建或更改密码策略时，大多数密码策略设置会在用户下次更改其密码时实施。某些设置会立即强制执行。

### 修复
<a name="iam-7-remediation"></a>

要更新密码策略，请参阅《IAM 用户指南》**中的[为 IAM 用户设置账户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。

## [IAM.8] 应移除未使用的 IAM 用户凭证
<a name="iam-8"></a>

**相关要求：**CIS AWS 基金会基准 v1.2.0/1.3、、 NIST.800-53.r5 AC-2 (1)、(3)、(15) NIST.800-53.r5 AC-2、 NIST.800-53.r5 AC-3 (7)、、、 NIST.800-53.r5 AC-2 nist.800-171.r2 3.1.2 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 PCI DSS v3.2.1/8.1.4、PCI DSS v4.0.1/8.2.6 NIST.800-53.r5 AC-6、PCI DSS v4.0.1/8.2.6

**类别：**保护 > 安全访问管理 

**严重性：**中 

**资源类型：**`AWS::IAM::User`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)

**计划类型：**定期

**参数：**
+ `maxCredentialUsageAge`：`90`（不可自定义）

此控件可检查您的 IAM 用户是否拥有 90 天未使用的密码或有效访问密钥。

IAM 用户可以使用不同类型的证书（例如密码或访问密钥）访问 AWS 资源。

Security Hub CSPM 建议您删除或停用所有在 90 天或更长时间内未使用的证书。禁用或删除不必要的凭证可减少他人使用遭盗用账户或已弃用账户的关联凭证的风险。

**注意**  
AWS Config 应在您使用 Security Hub CSPM 的所有区域中启用。但是，可以在单个区域启用全局资源记录。如果您仅在一个区域中记录全局资源，则可以在所有区域（记录全局资源的区域除外）中禁用此控件。

### 修复
<a name="iam-8-remediation"></a>

当您在 IAM 控制台中查看用户信息时，会有**访问密钥年龄**、**密码使用期限**和**上次活动**列。如果上述列中的任何一个中的值大于 90 天，请停用这些用户的凭证。

您还可以使用[凭证报告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console)来监控用户并识别那些连续 90 天或以上没有活动的用户。您可以从 IAM 控制台下载 `.csv` 格式的凭证报告。

确定非活动账户或未使用的凭证后，将其停用。有关说明，请参阅 *IAM 用户指南*中的[创建、变更或删除 IAM 用户密码（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console)。

## [IAM.9] 应为根用户启用 MFA
<a name="iam-9"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/1.4、PCI DSS v3.2.1/8.3.1、PCI DSS v4.0.1/8.4.2、CIS 基金会基准 v3.0.0/1.5、CIS 基金会基准 v1.4.0/1.5、CIS AWS AWS 基金会基准 v1.2.0/1.13、(1)、(1)、(2)、(6)、(8) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**类别：**保护 > 安全访问管理 

**严重性：**严重

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查是否已为的 IAM 根用户启用多重身份验证 (MFA) AWS 账户 以登录到。 AWS 管理控制台如果账户的根用户未启用 MFA，则该控件会失败。

的 IAM 根用户可以完全访问账户中的所有服务和资源。 AWS 账户 如果启用了 MFA，则用户必须从其 AWS MFA 设备输入用户名、密码和身份验证码才能登录。 AWS 管理控制台 MFA 在用户名和密码之上增加了一层额外防护。

在以下情况下，此控件会生成 `PASSED` 调查发现：
+ 账户中存在根用户凭证，并且为根用户启用了 MFA。
+ 账户中不存在根用户凭证。

如果账户中存在根用户凭证，并且未为根用户启用 MFA，则该控件会生成 `FAILED` 调查发现。

### 修复
<a name="iam-9-remediation"></a>

*有关为的根用户启用 MFA 的信息 AWS 账户，请参阅《用户指南[》 AWS 账户根用户中的多重身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)。AWS Identity and Access Management *

## [IAM.10] IAM 用户的密码策略应具有很强的配置
<a name="iam-10"></a>

**相关要求：**NIST.800-171.r2 3.5.2、NIST.800-171.r2 3.5.7、NIST.800-171.r2 3.5.8、PCI DSS v3.2.1/8.1.4、PCI DSS v3.2.1/8.2.3、PCI DSS v3.2.1/8.2.4、PCI DSS v3.2.1/8.2.5

**类别：**保护 > 安全访问管理 

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**计划类型：**定期

**参数：**无

此控件检查 IAM 用户的账户密码策略是否使用以下最低 PCI DSS 配置。
+ `RequireUppercaseCharacters`——密码中要求至少包含一个大写字符。（默认值 = `true`）
+ `RequireLowercaseCharacters`——密码中要求至少包含一个小写字符。（默认值 = `true`）
+ `RequireNumbers`——密码中要求至少包含一个数字。（默认值 = `true`）
+ `MinimumPasswordLength`——密码最小长度。（默认值 = 7 或更长）
+ `PasswordReusePrevention`——允许重用前的密码数。（默认值 = 4）
+ `MaxPasswordAge` – 密码到期前的天数。（默认值 = 90）

**注意**  
2025 年 5 月 30 日，Security Hub CSPM 从 PCI DSS v4.0.1 标准中删除了此控件。PCI DSS v4.0.1 现在要求密码至少包含 8 个字符。此控件继续适用于 PCI DSS v3.2.1 标准，该标准具有不同的密码要求。  
要根据 PCI DSS v4.0.1 要求评估账户密码策略，可以使用 [IAM.7 控件](#iam-7)。此控件要求密码至少包含 8 个字符。它还对密码长度和其他参数支持自定义值。IAM.7 控件是 Security Hub CSPM 中 PCI DSS v4.0.1 标准的一部分。

### 修复
<a name="iam-10-remediation"></a>

要更新您的密码策略以使用推荐的配置，请参阅 *IAM 用户指南*中的[为 IAM 用户设置账户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。

## [IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母
<a name="iam-11"></a>

**相关要求：**CIS AWS 基金会基准 v1.2.0/1.5、nist.800-171.r2 3.5.7、PCI DSS v4.0.1/8.3.6、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.6.3

**类别：**保护 > 安全访问管理 

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**计划类型：**定期

**参数：**无

密码策略在某种程度上强制实施密码复杂性要求。使用 IAM 密码策略可确保密码使用不同的字符集。

CIS 建议密码策略至少需要一个大写字母。设置密码复杂性策略可提高账户抵抗暴力登录尝试的弹性。

### 修复
<a name="iam-11-remediation"></a>

要变更密码策略，请参阅 *IAM 用户指南*中的[为 IAM 用户设置账户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。对于**密码强度**，选择**需要至少一个拉丁字母表中的大写字母（A–Z）**。

## [IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母
<a name="iam-12"></a>

**相关要求：**CIS AWS 基金会基准 v1.2.0/1.6、nist.800-171.r2 3.5.7、PCI DSS v4.0.1/8.3.6、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.6.3

**类别：**保护 > 安全访问管理 

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**计划类型：**定期

**参数：**无

密码策略在某种程度上强制实施密码复杂性要求。使用 IAM 密码策略可确保密码使用不同的字符集。CIS 建议密码策略要求包含至少一个小写字母。设置密码复杂性策略可提高账户抵抗暴力登录尝试的弹性。

### 修复
<a name="iam-12-remediation"></a>

要变更密码策略，请参阅 *IAM 用户指南*中的[为 IAM 用户设置账户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。对于**密码强度**，选择**需要至少一个拉丁字母表中的小写字母（A–Z）**。

## [IAM.13] 确保 IAM 密码策略要求包含至少一个符号
<a name="iam-13"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/1.7、nist.800-171.r2 3.5.7

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**计划类型：**定期

**参数：**无

密码策略在某种程度上强制实施密码复杂性要求。使用 IAM 密码策略可确保密码使用不同的字符集。

CIS 建议密码策略要求包含至少一个符号。设置密码复杂性策略可提高账户抵抗暴力登录尝试的弹性。

### 修复
<a name="iam-13-remediation"></a>

要变更密码策略，请参阅 *IAM 用户指南*中的[为 IAM 用户设置账户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。对于**密码强度**，选择**需要至少一个非字母数字字符**。

## [IAM.14] 确保 IAM 密码策略要求包含至少一个数字
<a name="iam-14"></a>

**相关要求：**CIS AWS 基金会基准 v1.2.0/1.8、nist.800-171.r2 3.5.7、PCI DSS v4.0.1/8.3.6、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.6.3

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**计划类型：**定期

**参数：**无

密码策略在某种程度上强制实施密码复杂性要求。使用 IAM 密码策略可确保密码使用不同的字符集。

CIS 建议密码策略要求包含至少一个数字。设置密码复杂性策略可提高账户抵抗暴力登录尝试的弹性。

### 修复
<a name="iam-14-remediation"></a>

要变更密码策略，请参阅 *IAM 用户指南*中的[为 IAM 用户设置账户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。对于**密码强度**，选择**需要至少一个数字**。

## [IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14
<a name="iam-15"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/1.7、独联体基金会基准 v3.0.0/1.8、独联体 AWS 基金会基准 v1.4.0/1.8、独联体基金会基准 v1.2.0/1.9、nist.800 AWS -171.r2 3.5.7 AWS 

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**计划类型：**定期

**参数：**无

密码策略在某种程度上强制实施密码复杂性要求。使用 IAM 密码策略确保密码至少为给定长度。

CIS 建议密码策略要求最短密码长度为 14 个字符。设置密码复杂性策略可提高账户抵抗暴力登录尝试的弹性。

### 修复
<a name="iam-15-remediation"></a>

要变更密码策略，请参阅 *IAM 用户指南*中的[为 IAM 用户设置账户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。对于**密码最小长度**，请输入 **14** 或更大的数字。

## [IAM.16] 确保 IAM 密码策略阻止重复使用密码
<a name="iam-16"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/1.8、独联体基金会基准 v3.0.0/1.9、独联体 AWS 基金会基准 v1.4.0/1.9、独联体基金会基准 v1.2.0/1.10、nist.800 AWS -171.r2 3.5.8、PCI DSS v4.0.1/8.3.7 AWS 

**类别：**保护 > 安全访问管理

**严重性：**低

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**计划类型：**定期

**参数：**无

此控件检查要记住的密码数量是否设置为 24。如果该值不是 24，则控制失败。

IAM 密码策略可以阻止同一用户重复使用给定密码。

CIS 建议密码策略阻止重复使用密码。阻止重复使用密码可提高账户抵抗暴力登录尝试的弹性。

### 修复
<a name="iam-16-remediation"></a>

要变更密码策略，请参阅 *IAM 用户指南*中的[为 IAM 用户设置账户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。在**防止密码重复使用**中，输入 **24**。

## [IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效
<a name="iam-17"></a>

**相关要求：**CIS AWS 基金会基准 v1.2.0/1.11、PCI DSS v4.0.1/8.3.9、PCI DSS v4.0.1/8.10.1

**类别：**保护 > 安全访问管理

**严重性：**低

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**计划类型：**定期

**参数：**无

IAM 密码策略可以要求在给定天数后轮换密码或使密码失效。

CIS 建议密码策略在 90 天或更短时间后使密码失效。缩短密码生存期可提高账户抵抗暴力登录尝试的弹性。在以下情况下，要求定期更改密码也是非常有用的：
+ 密码可能会在您不知情的情况下被窃取或泄露。系统遭受攻击、软件漏洞或内部威胁都可能导致发生这种情况。
+ 某些公司和政府的 Web 筛选条件或代理服务器能够拦截和记录流量（即使流量已加密）。
+ 很多用户对于许多系统（例如工作系统、电子邮件和个人系统）都使用相同的密码。
+ 遭受攻击的最终用户工作站可能存在击键记录器。

### 修复
<a name="iam-17-remediation"></a>

要变更密码策略，请参阅 *IAM 用户指南*中的[为 IAM 用户设置账户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。对于**开启密码到期**，请输入 **90** 或一个较小的数字。

## [IAM.18] 确保已创建支持角色来管理事件 AWS 支持
<a name="iam-18"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/1.16、独联体基金会基准 v3.0.0/1.17、独联体基金会基准 v1.4.0/1.17、独联体 AWS 基金会基准 v1.2.0/1.20、nist.800-171.r2 3.1.2、 AWS PCI DSS v4.0.1/12.10.3 AWS 

**类别：**保护 > 安全访问管理

**严重性：**低

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)

**计划类型：**定期

**参数：**
+ `policyARN`：`arn:partition:iam::aws:policy/AWSSupportAccess`（不可自定义）
+ `policyUsageType`：`ANY`（不可自定义）

AWS 提供了一个支持中心，可用于事件通知和响应，以及技术支持和客户服务。

创建一个 IAM 角色以允许授权用户管理与 AWS Support 相关的事件。通过实施访问控制的最低权限，IAM 角色将需要相应的 IAM 策略来允许访问支持中心，以便管理事件 支持。

**注意**  
AWS Config 应在您使用 Security Hub CSPM 的所有区域中启用。但是，可以在单个区域启用全局资源记录。如果您仅在一个区域中记录全局资源，则可以在所有区域（记录全局资源的区域除外）中禁用此控件。

### 修复
<a name="iam-18-remediation"></a>

要纠正此问题，请创建一个角色以允许授权用户管理 支持 事件。

**创建用于 支持 访问的角色**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在 IAM 导航窗格中，选择**角色**，然后选择**创建角色**。

1. 对于**角色类型**，选择**其他 AWS 账户**。

1. 在**账户 AWS 账户 ID** 中，输入您要 AWS 账户 向其授予资源访问权限的 ID。

   如果将代入此角色的用户或组位于同一账户中，则输入本地账户号码。
**注意**  
指定账户的管理员可向该账户中的任何用户授予代入该角色的权限。为此，管理员需要将策略附加到用户或组来授予 `sts:AssumeRole` 操作的权限。在该策略中，资源必须是角色 ARN。

1. 选择**下一步: 权限**。

1. 搜索托管策略 `AWSSupportAccess`。

1. 选中 `AWSSupportAccess` 托管策略的复选框。

1. 选择**下一步：标签**。

1. （可选）要将元数据添加到角色，将标签附加为键值对。

   有关在 IAM 中使用标签的更多信息，请参阅 *IAM 用户指南*中的[标记 IAM 用户和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。

1. 选择**下一步：审核**。

1. 对于 **Role name (角色名称)**，为您的角色输入一个名称。

   角色名称在您的角色中必须是唯一的 AWS 账户。它们不区分大小写。

1. （可选）对于**角色描述**，输入新角色的描述。

1. 检查该角色，然后选择**创建角色**。

## [IAM.19] 应为所有 IAM 用户启用 MFA
<a name="iam-19"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、(15)、(1)、(2)、 NIST.800-53.r5 AC-3 (6)、(8)、 NIST.800-53.r5 IA-2 nist.800-171.r2 3.8、 NIST.800-53.r5 IA-2 nist.800-171.r2 3.5.3、 NIST.800-53.r5 IA-2 nist.800-171.r2 3.5.4、nist.800-171.r2 3.7.5、PCI DSS v3.2.1/8.3.1、PCI DSS v4.0.1/8.3.1、PCI DSS v4.0.1/8.3.1 4.2， NIST.800-53.r5 IA-2

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::IAM::User`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查 IAM 用户是否启用了多重身份验证（MFA）。

**注意**  
AWS Config 应在您使用 Security Hub CSPM 的所有区域中启用。但是，可以在单个区域启用全局资源记录。如果您仅在一个区域中记录全局资源，则可以在所有区域（记录全局资源的区域除外）中禁用此控件。

### 修复
<a name="iam-19-remediation"></a>

要为 IAM 用户添加 MFA，请参阅 *IAM 用户指南*中的[为用户启用 AWS中 MFA 设备](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html)。

## [IAM.20] 避免使用根用户
<a name="iam-20"></a>

**重要**  
Security Hub CSPM 于 2024 年 4 月取消了该控制权。有关更多信息，请参阅 [Security Hub CSPM 控件的更改日志](controls-change-log.md)。

**相关要求：**独联体 AWS 基金会基准 v1.2.0/1.1

**类别：**保护 > 安全访问管理

**严重性：**低

**资源类型：**`AWS::IAM::User`

**AWS Config 规则:**`use-of-root-account-test`（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

此控件检查是否对 root 用户的使用有限制。 AWS 账户 该控件评估以下资源：
+ Amazon Simple Notification Service（Amazon SNS）主题
+ AWS CloudTrail 步道
+ 与 CloudTrail 跟踪关联的指标筛选器
+ 基于筛选条件的 Amazon CloudWatch 警报

如果以下一条或多条陈述为真，此检查将导致 `FAILED` 调查发现：
+ 该账户中不存在任何 CloudTrail 跟踪。
+  CloudTrail 跟踪已启用，但未配置至少一个包含读写管理事件的多区域跟踪。
+  CloudTrail 跟踪已启用，但未与 CloudWatch 日志日志组关联。
+ 没有使用 Center for Internet Security（CIS）规定的确切指标筛选条件。规定的指标筛选条件是 `'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'`。
+ 账户中不存在基于指标筛选条件的 CloudWatch 警报。
+ CloudWatch 配置为向关联的 SNS 主题发送通知的警报不会根据警报条件触发。
+ SNS 主题不符合[向 SNS 主题发送消息的限制](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html)。
+ SNS 主题没有至少一个订阅用户。

如果以下一条或多条陈述为真，则此检查的控件状态为 `NO_DATA`：
+ 多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
+ 多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。

如果以下一条或多条陈述为真，则此检查的控件状态为 `WARNING`：
+ 当前账号不拥有 CloudWatch 警报中提及的 SNS 话题。
+ 调用 `ListSubscriptionsByTopic` SNS API 时，当前账号无权访问 SNS 主题。

**注意**  
我们建议使用组织跟踪来记录来自组织中多个账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 NO\$1DATA。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。

作为最佳实践，仅在需要[执行账户和服务管理任务](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)时才使用根用户凭证。将 IAM policy 直接应用于组和角色，但不应用于用户。有关设置日常使用管理员的说明，请参阅 *IAM 用户指南*中的[创建第一个 IAM 管理员用户和组](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)。

### 修复
<a name="iam-20-remediation"></a>

修复此问题的步骤包括设置 Amazon SNS 主题、 CloudTrail跟踪、指标筛选条件和指标筛选器警报。

**创建 Amazon SNS 主题**

1. [在 v3/home 上打开亚马逊 SNS 控制台。https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)

1. 创建接收所有 CIS 警报的 Amazon SNS 主题。

   为该主题创建至少一个订阅者。有关更多信息，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。

接下来，设置 CloudTrail 一个适用于所有地区的活动。为此，请按照[[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1)中的修复步骤进行操作。

记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您为该日志组创建指标筛选条件。

最后，创建指标筛选条件和警报。

**创建指标筛选条件和警报**

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。

1. 在导航窗格中，选择**日志组**。

1. 选中与您创建的 CloudTrail 跟踪关联的 Logs CloudWatch 日志组对应的复选框。

1. 从**操作**中，选择**创建指标筛选条件**。

1. 在**定义模式**下，请执行以下操作：

   1. 复制以下模式，然后将其粘贴到**筛选模式**字段中。

      ```
      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
      ```

   1. 选择**下一步**。

1. 在**分配指标**下，执行以下操作：

   1. 在**筛选条件名称**中，输入指标筛选条件的名称。

   1. 对于**指标命名空间**，输入 **LogMetrics**。

      如果您对所有 CIS 日志指标筛选条件使用相同的命名空间，则所有 CIS Benchmark 指标都会组合在一起。

   1. 对于**指标名称**，为指标输入名称。记住指标的名称。在创建警报时，您将需要选择指标。

   1. 对于 **Metric value（指标值）**，输入 **1**。

   1. 选择**下一步**。

1. 在**查看并创建**下，验证您为新指标筛选器提供的信息。选择**创建指标筛选条件**。

1. 在导航窗格中，选择**日志组**，然后选择您在**指标筛选器**下创建的筛选条件。

1. 选中筛选条件的复选框。选择**创建警报**。

1. 在**指定指标和条件**下，执行以下操作：

   1. 在**条件**下，对于**阈值**，选择**静态**。

   1. 对于**定义警报条件**，选择**大于/等于**。

   1. **在定义阈值**中输入 **1**。

   1. 选择**下一步**。

1. 在**配置操作**下，执行以下操作：

   1. 在**警报状态**触发下，选择**在警报中**。

   1. 在**选择 SNS 主题**下，选择**选择现有的 SNS 主题**。

   1. 对于**发送通知至**，输入您在上一过程中创建的 SNS 主题的名称。

   1. 选择**下一步**。

1. 在**添加名称和描述**下，输入警报的**名称**和**描述**，例如 **CIS-1.1-RootAccountUsage**。然后选择**下一步**。

1. 在**预览并创建**下，查看警报配置。然后选择**创建警报**。

## [IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作
<a name="iam-21"></a>

**相关要求：** NIST.800-53.r5 AC-2、 NIST.800-53.r5 AC-2 (1)、(15)、(7)、、、(10)、(2)、 NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-3、nist.800-171.r2 3.1.1、 NIST.800-53.r5 AC-3 nist.800-171.r2 3.1.2 NIST.800-53.r5 AC-5、nist.800-171.r2 3.1.5 NIST.800-53.r5 AC-6、 NIST.800-53.r5 AC-6 nist.800-171.r2 3.1.5、 NIST.800-53.r5 AC-6 nist.800-171.r2 3.8、 NIST.800-53.r5 AC-6 nist.800-171.r2 3.8、nist.800-171.r2 3.8、nist.800-171.r2 3.8、nist.800-171.r2 3.800 -171.r2 3.9、nist.800-171.r2 3.13.3、nist.800-171.r2 3.13.4

**类别：**检测 > 安全访问管理 

**严重性：**低

**资源类型：**`AWS::IAM::Policy`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)

**计划类型：**已触发变更

**参数：**
+ `excludePermissionBoundaryPolicy`：`True`（不可自定义）

此控制检查您创建的 IAM 基于身份的策略是否具有使用 \$1 通配符的允许语句来授予对任何服务的所有操作的权限。如果任何策略声明包含 `"Action": "Service:*"` 的 `"Effect": "Allow"`，则控制失败。

例如，策略中的以下语句会导致失败的调查发现。

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}
```

如果 `"Effect": "Allow"` 与 `"NotAction": "service:*"` 配合使用，控制也会失败。在这种情况下，`NotAction`元素提供对中所有操作的访问权限 AWS 服务，中指定的操作除外`NotAction`。

此控制仅适用于客户托管的 IAM policy。它不适用于由 AWS管理的 IAM policy。

当您向分配权限时 AWS 服务，请务必在您的 IAM 策略中确定允许的 IAM 操作的范围。您应将 IAM 操作限制为仅需要的操作。这可以帮助您预置最低权限权限。如果策略附加到可能不需要权限的 IAM 主体，则过于宽松的策略可能会导致权限升级。

在某些情况下，您可能需要允许具有相似前缀的 IAM 操作，例如 `DescribeFlowLogs` 和 `DescribeAvailabilityZones`。在这些授权的情况下，您可以在通用前缀中添加带后缀的通配符。例如 `ec2:Describe*`。

如果您使用带有后缀通配符的带前缀的 IAM 操作，则此控制通过。例如，策略中的以下语句会形成通过的调查发现。

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}
```

以这种方式对相关的 IAM 操作进行分组时，还可以避免超出 IAM policy 的大小限制。

**注意**  
AWS Config 应在您使用 Security Hub CSPM 的所有区域中启用。但是，可以在单个区域启用全局资源记录。如果您仅在一个区域中记录全局资源，则可以在所有区域（记录全局资源的区域除外）中禁用此控件。

### 修复
<a name="iam-21-remediation"></a>

要修复此问题，请更新 IAM policy，使其不允许完全的 "\$1" 管理权限。有关如何编辑 IAM policy 的详细信息，请参阅 *IAM 用户指南*中的[编辑 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)。

## [IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证
<a name="iam-22"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/1.11、独联体基金会基准 v3.0.0/1.12、独联体 AWS 基金会基准 v1.4.0/1.12、nist.800-171.r2 3.1.2 AWS 

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::IAM::User`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**

**计划类型：**定期

**参数：**无

此控制检查 IAM 用户是否拥有 45 天或更长时间未使用的密码或活动访问密钥。为此，它会检查 AWS Config 规则的`maxCredentialUsageAge`参数是否等于 45 或更大。

用户可以使用不同类型的凭证（例如密码或访问密钥）访问 AWS 资源。

CIS 建议您删除或停用 45 天或更长时间未使用的所有凭证。禁用或删除不必要的凭证可减少他人使用遭盗用账户或已弃用账户的关联凭证的风险。

此控件的 AWS Config 规则使用[https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)和 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)API 操作，它们仅每四小时更新一次。对 IAM 用户的更改最多可能需要四小时才能对此控件显示。

**注意**  
AWS Config 应在您使用 Security Hub CSPM 的所有区域中启用。但是，您可以启用在单个区域中记录全局资源。如果您仅在一个区域中记录全局资源，则可以在所有区域（记录全局资源的区域除外）中禁用此控件。

### 修复
<a name="iam-22-remediation"></a>

当您在 IAM 控制台中查看用户信息时，会有**访问密钥年龄**、**密码使用期限**和**上次活动**列。如果上述列中的任何一个中的值大于 45 天，请停用这些用户的凭证。

您还可以使用[凭证报告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console)来监控用户并识别那些连续 45 天或以上没有活动的用户。您可以从 IAM 控制台下载 `.csv` 格式的凭证报告。

确定非活动账户或未使用的凭证后，将其停用。有关说明，请参阅 *IAM 用户指南*中的[创建、变更或删除 IAM 用户密码（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console)。

## [IAM.23] 应标记 IAM Access Analyzer 分析器
<a name="iam-23"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::AccessAnalyzer::Analyzer`

**AWS Config 规则:**`tagged-accessanalyzer-analyzer`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查由 AWS Identity and Access Management Access Analyzer （IAM Access Analyzer）管理的分析器是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果分析器没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果分析器未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="iam-23-remediation"></a>

要向分析器添加标签，请参阅《AWS IAM Access Analyzer API Reference》**中的 [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html)。

## [IAM.24] 应标记 IAM 角色
<a name="iam-24"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IAM::Role`

**AWS Config 规则:**`tagged-iam-role`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS Identity and Access Management (IAM) 角色是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果角色没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果角色未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="iam-24-remediation"></a>

要向 IAM 角色添加标签，请参阅《IAM 用户指南》**中的[为 IAM 资源添加标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。

## [IAM.25] 应标记 IAM 用户
<a name="iam-25"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IAM::User`

**AWS Config 规则:**`tagged-iam-user`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS Identity and Access Management (IAM) 用户是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果用户没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果用户未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="iam-25-remediation"></a>

要向 IAM 用户添加标签，请参阅《IAM 用户指南》**中的[为 IAM 资源添加标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。

## [IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书
<a name="iam-26"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/1.18、独联体基金会基准 v3.0.0/1.19 AWS 

**类别：**标识 > 合规性

**严重性：**中

**资源类型：**`AWS::IAM::ServerCertificate`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)**

**计划类型：**定期

**参数：**无

此控制检查在 IAM 中管理的活动 SSL/TLS 服务器证书是否已过期。如果未删除过期的 SSL/TLS 服务器证书，则控件将失败。

要在中启用与您的网站或应用程序的 HTTPS 连接 AWS，您需要 SSL/TLS 服务器证书。您可以使用 IAM 或 AWS Certificate Manager (ACM) 来存储和部署服务器证书。只有在您必须支持 ACM 不支持的 HTTPS 连接时 AWS 区域 ，才使用 IAM 作为证书管理器。IAM 安全地加密您的私有密钥并将加密的版本存储在 IAM SSL 证书存储中。IAM 支持在所有区域部署服务器证书，但您必须从外部提供商处获取证书才能使用 AWS。无法将 ACM 证书上传到 IAM。此外，也无法从 IAM 控制台管理证书。删除过期的 SSL/TLS 证书可以消除意外将无效证书部署到资源的风险，这可能会损害底层应用程序或网站的可信度。

### 修复
<a name="iam-26-remediation"></a>

要从 IAM 中删除服务器证书，请参阅《IAM 用户指南》**中的[在 IAM 中管理服务器证书](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)。

## [IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess
<a name="iam-27"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/1.21、CIS 基金会基准 v3.0.0/1.22 AWS 

**类别：**保护 > 安全访问管理 > 安全的 IAM 策略

**严重性：**中

**资源类型：**`AWS::IAM::Role`、`AWS::IAM::User`、`AWS::IAM::Group`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)**

**计划类型：**已触发变更

**参数：**
+ “policyarns”：“arn: aws: iam:: aws:” policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess

此控件检查 IAM 身份（用户、角色或群组）是否`AWSCloudShellFullAccess`附加了 AWS 托管策略。如果 IAM 身份附加了 `AWSCloudShellFullAccess` 策略，则此控件将失败。

AWS CloudShell 提供了一种对运行 CLI 命令的便捷方法 AWS 服务。 AWS 托管策略`AWSCloudShellFullAccess`提供对的完全访问权限 CloudShell，允许用户在本地系统和 CloudShell 环境之间上传和下载文件。在 CloudShell 环境中，用户具有 sudo 权限，并且可以访问互联网。因此，将此托管策略附加到 IAM 身份后，他们就可以安装文件传输软件并将数据从外部互联网服务器移动 CloudShell 到外部 Internet 服务器。我们建议遵循最低权限原则，为您的 IAM 身份附加更窄的权限。

### 修复
<a name="iam-27-remediation"></a>

要将 `AWSCloudShellFullAccess` 策略与 IAM 身份分离，请参阅《IAM 用户指南》**中的[添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。

## [IAM.28] 应启用 IAM Access Analyzer 外部访问分析器
<a name="iam-28"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/1.19、CIS 基金会基准 v3.0.0/1.20 AWS 

**分类：**检测 > 检测服务 > 特权使用监控

**严重性：**高

**资源类型：**`AWS::AccessAnalyzer::Analyzer`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)**

**计划类型：**定期

**参数：**无

此控件检查是否启用 AWS 账户 了 IAM 访问分析器外部访问分析器。如果该账户未在您当前选择的 AWS 区域中启用外部访问权限分析器，则此控件将失败。

IAM Access Analyzer 外部访问分析器可帮助您识别与外部实体共享的资源，例如 Amazon Simple Storage Service（Amazon S3）存储桶或 IAM 角色。这可以帮助避免意外访问您的资源和数据。IAM Access Analyzer 具有区域性，必须在每个区域中启用。为了识别与外部主体共享的资源，访问分析器使用基于逻辑的推理来分析环境中基于资源的策略。 AWS 创建外部访问分析器时，您可以为整个组织或单个账户创建并启用它。

**注意**  
如果账户是组织的一部分 AWS Organizations，则此控件不会将指定该组织指定为信任区域并已为当前区域中的组织启用的外部访问分析器考虑在内。如果您的组织使用这种类型的配置，请考虑为该区域中组织内的各个成员账户禁用此控制。

### 修复
<a name="iam-28-remediation"></a>

有关在特定区域启用外部访问分析器的信息，请参阅《IAM 用户指南》**中的[开始使用 IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)。您必须在要监控资源访问情况的每个区域中启用一个分析器。

# 适用于 Amazon Inspector 的 Security Hub CSPM 控件
<a name="inspector-controls"></a>

这些 AWS Security Hub CSPM 控制措施会评估 Amazon Inspector 的服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Inspector.1] 应启用 Amazon Inspector EC2 扫描
<a name="inspector-1"></a>

**相关要求：**PCI DSS v4.0.1/11.3.1

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)

**计划类型：**定期

**参数：**无

此控件会检查 Amazon Inspector EC2 扫描是否已启用。对于独立账户，如果账户中禁用了 Amazon Inspector EC2 扫描，则控制失败。在多账户环境中，如果委托的 Amazon Inspector 管理员账户和所有成员账户未启用 EC2 扫描，则控制失败。

在多账户环境中，此控件仅在 Amazon Inspector 委托管理员账户中生成调查发现。只有授权的管理员才能启用或禁用组织中成员帐户的 EC2 扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委托管理员的成员账户已暂停，但未启用 Amazon Inspector EC2 扫描，则此控件会生成`FAILED`调查结果。要获得 `PASSED` 调查发现，委派管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。

Amazon Inspector EC2 扫描从您的亚马逊弹性计算云 (Amazon EC2) 实例中提取元数据，然后将这些元数据与从安全公告中收集的规则进行比较以得出结果。Amazon Inspector 会扫描实例中是否存在程序包漏洞和网络可访问性问题。有关支持的操作系统（包括不使用 SSM 代理即可扫描哪些操作系统）的信息，请参阅[支持的操作系统：Amazon EC2 扫描](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2)。

### 修复
<a name="inspector-1-remediation"></a>

要启用 Amazon Inspector [扫 EC2 描，请参阅*亚马逊 Inspector 用户指南*中的激活扫描](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)。

## [Inspector.2] 应启用 Amazon Inspector ECR 扫描
<a name="inspector-2"></a>

**相关要求：**PCI DSS v4.0.1/11.3.1

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)

**计划类型：**定期

**参数：**无

此控件可检查是否启用了 Amazon Inspector ECR 扫描。对于独立账户，如果账户中禁用了 Amazon Inspector ECR 扫描，则此控件将失败。在多账户环境中，如果 Amazon Inspector 委托管理员账户和所有成员账户均未启用 ECR 扫描，则此控件将失败。

在多账户环境中，此控件仅在 Amazon Inspector 委托管理员账户中生成调查发现。只有委派管理员可以为组织中的成员账户启用或禁用 ECR 扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委派管理员有一个未启用 Amazon Inspector ECR 扫描的已暂停成员账户，则此控件会生成 `FAILED` 调查发现。要获得 `PASSED` 调查发现，委派管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。

Amazon Inspector 会扫描存储在 Amazon Elastic Container Registry（Amazon ECR）中的容器映像是否存在软件漏洞，以生成程序包漏洞调查发现。为 Amazon ECR 激活 Amazon Inspector 扫描后，会将 Amazon Inspector 设置为私有注册表的首选扫描服务。这会将基本扫描（由 Amazon ECR 免费提供）替换为增强扫描（由 Amazon Inspector 提供和计费）。增强扫描让您能够在注册表级别对操作系统和编程语言包进行漏洞扫描。您可以在 Amazon ECR 控制台中，查看针对映像每一层，使用增强扫描在映像级别发现的调查发现。此外，您还可以在其他不适用于基本扫描结果的服务（包括和 Amazon）中查看 AWS Security Hub CSPM 和处理这些发现 EventBridge。

### 修复
<a name="inspector-2-remediation"></a>

要启用 Amazon Inspector ECR 扫描，请参阅《Amazon Inspector User Guide》**中的 [Activating scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)。

## [Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描
<a name="inspector-3"></a>

**相关要求：**PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)

**计划类型：**定期

**参数：**无

此控件可检查是否启用了 Amazon Inspector Lambda 扫描。对于独立账户，如果账户中禁用了 Amazon Inspector Lambda 代码扫描，则此控件将失败。在多账户环境中，如果 Amazon Inspector 委托管理员账户和所有成员账户均未启用 Lambda 代码扫描，则此控件将失败。

在多账户环境中，此控件仅在 Amazon Inspector 委托管理员账户中生成调查发现。只有委派管理员可以为组织中的成员账户启用或禁用 Lambda 代码扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委派管理员有一个未启用 Amazon Inspector Lambda 代码扫描的已暂停成员账户，则此控件会生成 `FAILED` 调查发现。要获得 `PASSED` 调查发现，委派管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。

Amazon Inspector Lambda 代码扫描会根据 AWS 安全最佳实践扫描 AWS Lambda 函数中的自定义应用程序代码，以查找代码漏洞。Lambda 代码扫描可检测注入缺陷、数据泄露、弱加密或代码中缺少加密。此功能[AWS 区域 仅在特定](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability)情况下可用。您可以同时激活 Lambda 代码扫描和 Lambda 标准扫描（请参阅 [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](#inspector-4)）。

### 修复
<a name="inspector-3-remediation"></a>

要启用 Amazon Inspector Lambda 代码扫描，请参阅《Amazon Inspector User Guide》**中的 [Activating scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)。

## [Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描
<a name="inspector-4"></a>

**相关要求：**PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)

**计划类型：**定期

**参数：**无

此控件可检查是否启用了 Amazon Inspector Lambda 标准扫描。对于独立账户，如果账户中禁用了 Amazon Inspector Lambda 标准扫描，则此控件将失败。在多账户环境中，如果 Amazon Inspector 委托管理员账户和所有成员账户均未启用 Lambda 标准扫描，则此控件将失败。

在多账户环境中，此控件仅在 Amazon Inspector 委托管理员账户中生成调查发现。只有委派管理员可以为组织中的成员账户启用或禁用 Lambda 标准扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委派管理员有未启用 Amazon Inspector Lambda 标准扫描的已暂停成员账户，则此控件会生成 `FAILED` 调查发现。要获得 `PASSED` 调查发现，委派管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。

Amazon Inspector Lambda 标准扫描可识别您添加到 AWS Lambda 函数代码和层中的应用程序包依赖项中的软件漏洞。如果 Amazon Inspector 在 Lambda 函数应用程序包依赖项中检测到漏洞，则 Amazon Inspector 会生成详细 `Package Vulnerability` 类型的调查发现。您可以同时激活 Lambda 代码扫描和 Lambda 标准扫描（请参阅 [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](#inspector-3)）。

### 修复
<a name="inspector-4-remediation"></a>

要启用 Amazon Inspector Lambda 标准扫描，请参阅《Amazon Inspector User Guide》**中的 [Activating scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)。

# Security Hub CSPM 控件适用于 AWS IoT
<a name="iot-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS IoT 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [IoT.1] 应 AWS IoT Device Defender 标记安全配置文件
<a name="iot-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoT::SecurityProfile`

**AWS Config 规则:**`tagged-iot-securityprofile`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS IoT Device Defender 安全配置文件是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果安全配置文件没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果安全配置文件未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳实践，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="iot-1-remediation"></a>

要向 AWS IoT Device Defender 安全配置文件添加标签，请参阅《*AWS IoT 开发人员指南》*中的为[AWS IoT 资源添加标签](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)。

## [IoT.2] 应 AWS IoT Core 标记缓解措施
<a name="iot-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoT::MitigationAction`

**AWS Config 规则:**`tagged-iot-mitigationaction`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS IoT Core 缓解操作是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果缓解操作没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签密钥是否存在，如果缓解操作未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳实践，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="iot-2-remediation"></a>

要为 AWS IoT Core 缓解操作添加标签，请参阅《*AWS IoT 开发者指南*》中的为[AWS IoT 资源添加标签](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)。

## [IoT.3] 应为 AWS IoT Core 维度加标签
<a name="iot-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoT::Dimension`

**AWS Config 规则:**`tagged-iot-dimension`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS IoT Core 维度是否具有参数中定义的特定键的标签`requiredTagKeys`。如果维度没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果维度未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳实践，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="iot-3-remediation"></a>

要为 AWS IoT Core 维度添加标签，请参阅《*AWS IoT 开发者指南》*中的为[AWS IoT 资源添加标签](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)。

## [IoT.4] 应给 AWS IoT Core 授权者加标签
<a name="iot-4"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoT::Authorizer`

**AWS Config 规则:**`tagged-iot-authorizer`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS IoT Core 授权方是否具有参数`requiredTagKeys`中定义的特定密钥的标签。如果授权方没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果授权方未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳实践，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="iot-4-remediation"></a>

要向 AWS IoT Core 授权方添加标签，请参阅《*AWS IoT 开发者*指南》中的为[AWS IoT 资源添加标签](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)。

## [Iot.5] 应标记 AWS IoT Core 角色别名
<a name="iot-5"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoT::RoleAlias`

**AWS Config 规则:**`tagged-iot-rolealias`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS IoT Core 角色别名是否具有参数中定义的特定键的标签`requiredTagKeys`。如果角色别名没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果角色别名未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳实践，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="iot-5-remediation"></a>

要为 AWS IoT Core 角色别名添加标签，请参阅《*AWS IoT 开发者指南》*中的为[AWS IoT 资源添加标签](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)。

## [IoT.6] AWS IoT Core 策略应该被标记
<a name="iot-6"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoT::Policy`

**AWS Config 规则:**`tagged-iot-policy`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS IoT Core 策略是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果策略没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果策略未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳实践，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="iot-6-remediation"></a>

要为 AWS IoT Core 策略添加标签，请参阅《*AWS IoT 开发者指南》*中的为[AWS IoT 资源添加标签](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)。

# 用于 AWS 物联网事件的 Security Hub CSPM 控件
<a name="iotevents-controls"></a>

这些 AWS Security Hub CSPM 控件评估 AWS IoT Events 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Io TEvents .1] 应标记 AWS IoT Events 输入内容
<a name="iotevents-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTEvents::Input`

**AWS Config 规则：**`iotevents-input-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 I AWS oT Events 输入是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果输入没有任何标签键或未在参数 `requiredKeyTags` 中指定所有键，则此控件会失败。如果未提供参数 `requiredKeyTags`，则此控件仅检查是否存在标签键，如果输入未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iotevents-1-remediation"></a>

要向 AWS IoT Even [ts 输入添加标签，请参阅*AWS IoT Events 开发者指南*中的为 AWS IoT Events 资源](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html)添加标签。

## [Io TEvents .2] 应标记 AWS IoT Events 探测器模型
<a name="iotevents-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTEvents::DetectorModel`

**AWS Config 规则：**`iotevents-detector-model-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 I AWS oT Events 探测器模型是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果检测器模型没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件会失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果探测器模型未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iotevents-2-remediation"></a>

要向 AWS IoT Even [ts 探测器模型添加标签，请参阅*AWS IoT Events 开发者指南*中的为 AWS IoT Events 资源](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html)添加标签。

## [Io TEvents .3] 应标记 AWS IoT Events 警报模型
<a name="iotevents-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTEvents::AlarmModel`

**AWS Config 规则：**`iotevents-alarm-model-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 I AWS oT Events 警报模型是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果警报模型没有任何标签键或未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果警报模型未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iotevents-3-remediation"></a>

要向 AWS IoT Even [ts 警报模型添加标签，请参阅*AWS IoT Events 开发者指南*中的为 AWS IoT Events 资源](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html)添加标签。

# 适用于物联网的 Security Hub CSPM 控件 AWS SiteWise
<a name="iotsitewise-controls"></a>

这些 AWS Security Hub CSPM 控件评估 AWS 物联网 SiteWise 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型
<a name="iotsitewise-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTSiteWise::AssetModel`

**AWS Config 规则：**`iotsitewise-asset-model-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 AWS 物联网 SiteWise 资产模型是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果资产模型没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果资产模型未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iotsitewise-1-remediation"></a>

要为 AWS 物联网 SiteWise 资产模型添加[标签，请参阅*AWS IoT SiteWise 用户指南*中的为 AWS IoT SiteWise 资源](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)添加标签。

## [Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板
<a name="iotsitewise-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTSiteWise::Dashboard`

**AWS Config 规则：**`iotsitewise-dashboard-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 AWS 物联网 SiteWise 仪表板是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果控制面板没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则控件仅检查是否存在标签键，如果控制面板未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iotsitewise-2-remediation"></a>

要向 I AWS oT SiteWise 控制面板添加[标签，请参阅*AWS IoT SiteWise 用户指南*中的为 AWS IoT SiteWise 资源](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)添加标签。

## [Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关
<a name="iotsitewise-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTSiteWise::Gateway`

**AWS Config 规则：**`iotsitewise-gateway-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 AWS 物联 SiteWise 网网关是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果网关没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有密钥，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果网关未使用任何键标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iotsitewise-3-remediation"></a>

要向 I AWS oT SiteWise 网关添加[标签，请参阅*AWS IoT SiteWise 用户指南*中的为 AWS IoT SiteWise 资源](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)添加标签。

## [Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户
<a name="iotsitewise-4"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTSiteWise::Portal`

**AWS Config 规则：**`iotsitewise-portal-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 AWS 物联网 SiteWise 门户是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果门户没有任何标签键或未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果门户未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iotsitewise-4-remediation"></a>

要向 I AWS oT SiteWise 门户添加[标签，请参阅*AWS IoT SiteWise 用户指南*中的为 AWS IoT SiteWise 资源](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)添加标签。

## [Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目
<a name="iotsitewise-5"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTSiteWise::Project`

**AWS Config 规则：**`iotsitewise-project-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 AWS 物联网 SiteWise 项目是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果项目没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果项目未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iotsitewise-5-remediation"></a>

要向 I AWS oT SiteWise 项目添加[标签，请参阅*AWS IoT SiteWise 用户指南*中的为 AWS IoT SiteWise 资源](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)添加标签。

# 适用于物联网的 Security Hub CSPM 控件 AWS TwinMaker
<a name="iottwinmaker-controls"></a>

这些 AWS Security Hub CSPM 控件评估 AWS 物联网 TwinMaker 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业
<a name="iottwinmaker-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTTwinMaker::SyncJob`

**AWS Config 规则：**`iottwinmaker-sync-job-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 AWS 物联网 TwinMaker 同步作业是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果同步作业没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则控件仅检查是否存在标签键，如果同步作业未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iottwinmaker-1-remediation"></a>

要向 I AWS oT TwinMaker 同步任务添加标签，请参阅*AWS IoT TwinMaker 用户指南[https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)*中的。

## [Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间
<a name="iottwinmaker-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTTwinMaker::Workspace`

**AWS Config 规则：**`iottwinmaker-workspace-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 AWS 物联网 TwinMaker 工作空间是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果工作区没有任何标签键或未在参数 `requiredKeyTags` 中指定所有键，则此控件会失败。如果未提供参数 `requiredKeyTags`，则此控件仅会检查是否存在标签键，如果工作区未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iottwinmaker-2-remediation"></a>

要向 I AWS oT TwinMaker 工作空间添加标签，请参阅*AWS IoT TwinMaker 用户指南[https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)*中的。

## [Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景
<a name="iottwinmaker-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTTwinMaker::Scene`

**AWS Config 规则：**`iottwinmaker-scene-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 AWS 物联网 TwinMaker 场景是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果场景没有任何标签键或未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果场景未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iottwinmaker-3-remediation"></a>

要向 AWS 物联网 TwinMaker 场景添加标签，请参阅*AWS IoT TwinMaker 用户指南[https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)*中的。

## [Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体
<a name="iottwinmaker-4"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTTwinMaker::Entity`

**AWS Config 规则：**`iottwinmaker-entity-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 AWS 物联网 TwinMaker 实体是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果实体没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果实体未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iottwinmaker-4-remediation"></a>

要向 I AWS oT TwinMaker 实体添加标签，请参阅*AWS IoT TwinMaker 用户指南[https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)*中的。

# 适用 AWS 于 IoT Wireless 的 Security Hub CSPM 控件
<a name="iotwireless-controls"></a>

这些 AWS Security Hub CSPM 控件会评估 AWS IoT Wireless 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组
<a name="iotwireless-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTWireless::MulticastGroup`

**AWS Config 规则：**`iotwireless-multicast-group-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 I AWS oT Wireless 组播组是否具有参数`requiredKeyTags`中定义的特定密钥的标签。如果组播组没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果组播组未使用任何键进行标记，则此控件将失效。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iotwireless-1-remediation"></a>

要向 AWS IoT Wireless 组播组添加标签，请参阅*AWS IoT Wireless 开发人员*[指南中的为 AWS IoT Wireless 资源添加标签](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html)。

## [Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件
<a name="iotwireless-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTWireless::ServiceProfile`

**AWS Config 规则：**`iotwireless-service-profile-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 I AWS oT Wireless 服务配置文件是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果服务配置文件没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果服务配置文件未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iotwireless-2-remediation"></a>

要向 AWS IoT Wireless 服务配置文件添加标签，请参阅*AWS IoT Wireless 开发人员指南*中的为[AWS IoT Wireless 资源添加标签](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html)。

## [Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务
<a name="iotwireless-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IoTWireless::FuotaTask`

**AWS Config 规则：**`iotwireless-fuota-task-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 I AWS oT Wireless 固件更新 over-the-air (FUOTA) 任务是否具有参数`requiredKeyTags`中定义的特定密钥的标签。如果 FUOTA 任务没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果 FUOTA 任务未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="iotwireless-3-remediation"></a>

要向 AWS IoT Wireless FUOTA 任务添加标签，请参阅*AWS IoT Wireless 开发人员*[指南中的为 AWS IoT Wireless 资源添加标签](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html)。

# 适用于亚马逊 IVS 的 Security Hub CSPM 控件
<a name="ivs-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估亚马逊互动视频服务 (IVS) 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [IVS.1] 应标记 IVS 播放密钥对
<a name="ivs-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IVS::PlaybackKeyPair`

**AWS Config 规则：**`ivs-playback-key-pair-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 Amazon IVS 播放密钥对是否具有带参数 `requiredKeyTags` 中定义的特定键的标签。如果播放密钥对没有任何标签键或者未在参数 `requiredKeyTags` 中指定所有键，则此控件会失败。如果未提供参数 `requiredKeyTags`，则此控件仅会检查是否存在标签键，如果播放密钥对未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ivs-1-remediation"></a>

要向 IVS 播放密钥对添加标签，请参阅《Amazon IVS 实时直播功能 API 参考》**中的 [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)。

## [IVS.2] 应标记 IVS 录制配置
<a name="ivs-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IVS::RecordingConfiguration`

**AWS Config 规则：**`ivs-recording configuration-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 Amazon IVS 记录配置是否具有带参数 `requiredKeyTags` 中定义的特定键的标签。如果记录配置没有任何标签键或未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果记录配置未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ivs-2-remediation"></a>

要向 IVS 记录配置添加标签，请参阅《Amazon IVS 实时直播功能 API 参考》**中的 [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)。

## [IVS.3] 应标记 IVS 频道
<a name="ivs-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::IVS::Channel`

**AWS Config 规则：**`ivs-channel-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 Amazon IVS 频道是否具有带参数 `requiredKeyTags` 中定义的特定键的标签。如果频道没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅检查是否存在标签键，如果频道未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="ivs-3-remediation"></a>

要向 IVS 频道添加标签，请参阅《Amazon IVS 实时直播功能 API 参考》**中的 [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)。

# Amazon Keyspaces 的 Security Hub CSPM 控件
<a name="keyspaces-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon Keyspaces 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间
<a name="keyspaces-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Cassandra::Keyspace`

**AWS Config 规则：**`cassandra-keyspace-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 Amazon Keyspaces 密钥空间是否具有带参数 `requiredKeyTags` 中定义的特定键的标签。如果密钥空间没有任何标签键或者未在 `requiredKeyTags` 参数中指定所有键，则此控件将失败。如果未提供 `requiredKeyTags` 参数，则此控件仅会检查是否存在标签键，如果密钥空间未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="keyspaces-1-remediation"></a>

要向 Amazon Keyspaces 密钥空间添加标签，请参阅《Amazon Keyspaces 开发人员指南》**中的[向键空间添加标签](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html)。

# 适用于 Kinesis 的 Security Hub CSPM 控件
<a name="kinesis-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon Kinesis 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Kinesis.1] Kinesis 直播应在静态状态下进行加密
<a name="kinesis-1"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::Kinesis::Stream`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)

**计划类型：**已触发变更

**参数：**无 

此控件检查 Kinesis Data Streams 是否使用服务器端加密进行静态加密。如果 Kinesis 流未使用服务器端加密进行静态加密，则此控制失败。

服务器端加密是 Amazon Kinesis Data Streams 中的一项功能，它使用 AWS KMS key在数据静止之前自动对其进行加密。数据在写入 Kinesis 流存储层之前进行加密，并在从存储中检索后进行解密。因此，在 Amazon Kinesis Data Streams 服务中对数据进行静态加密。

### 修复
<a name="kinesis-1-remediation"></a>

有关启用 Kinesis 流的服务器端加密的信息，请参阅 *Amazon Kinesis 开发人员指南*中的[“如何开始使用服务器端加密？”](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html)。

## [Kinesis.2] 应标记 Kinesis 流
<a name="kinesis-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Kinesis::Stream`

**AWS Config规则:**`tagged-kinesis-stream`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon Kinesis 数据流是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果数据流没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果数据流未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="kinesis-2-remediation"></a>

要向 Kinesis 数据流添加标签，请参阅《Amazon Kinesis Developer Guide》**中的 [Tagging your streams in Amazon Kinesis Data Streams](https://docs.aws.amazon.com/streams/latest/dev/tagging.html)。

## [Kinesis.3] Kinesis 流应有足够的数据留存期
<a name="kinesis-3"></a>

**严重性：**中

**资源类型：**`AWS::Kinesis::Stream`

**AWS Config规则：**[https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  minimumBackupRetentionPeriod  | 数据应保留的最少小时数。 | 字符串  | 24 到 8760  | 168  | 

此控件可检查 Amazon Kinesis 数据流的数据留存期是否大于或等于指定时间范围。如果数据留存期小于指定时间范围，则此控件将失败。除非您为数据保留期提供自定义参数值，否则 Security Hub CSPM 将使用默认值 168 小时。

在 Kinesis Data Streams 中，数据流是指数据记录的有序序列，可用于执行实时写入和读取。数据记录临时存储在您流的分片中。从添加记录开始，到记录不再可供访问为止的时间段称为保留期。在缩短保留期后，Kinesis Data Streams 几乎会立即使早于新保留期的记录变得不可访问。例如，将保留期从 24 小时更改为 48 小时意味着，在 23 小时 55 分钟之前添加到流中的记录在 24 小时之后仍可用。

### 修复
<a name="kinesis-3-remediation"></a>

要更改 Kinesis Data Streams 的备份保留期，请参阅《Amazon Kinesis Data Streams 开发人员指南》**中的[更改数据留存期](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html)。

# Security Hub CSPM 控件适用于 AWS KMS
<a name="kms-controls"></a>

这些 AWS Security Hub CSPM 控件评估 AWS Key Management Service (AWS KMS) 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作
<a name="kms-1"></a>

**相关要求：** NIST.800-53.r5 AC-2、 NIST.800-53.r5 AC-2 (1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 AC-6 (3)

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::IAM::Policy`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)

**计划类型：**已触发变更

**参数：**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`（不可自定义）
+ `excludePermissionBoundaryPolicy`：`True`（不可自定义）

检查 IAM 客户托管策略的默认版本是否允许委托人对所有资源使用 AWS KMS 解密操作。如果策略足够开放，可以允许对所有 KMS 密钥执行 `kms:Decrypt` 或 `kms:ReEncryptFrom` 操作，则控制失败。

该控件仅检查 Resource 元素中的 KMS 密钥，而不考虑策略的 Condition 元素中的任何条件。此外，该控件还会评估附加和独立的客户管理型策略。它不检查内联策略或 AWS 托管策略。

使用 AWS KMS，您可以控制谁可以使用您的 KMS 密钥并访问您的加密数据。IAM policy 定义了一个身份（用户、组或角色）可以对哪些资源执行哪些操作。遵循安全最佳实践， AWS 建议您允许最低权限。换句话说，您应仅授予身份 `kms:Decrypt` 或 `kms:ReEncryptFrom` 权限，并仅授予执行任务所需的密钥。否则，用户可能会使用不适合数据的密钥。

不要授予所有密钥的权限，而是确定用户访问加密数据所需的最小密钥集。然后设计允许用户仅使用这些密钥的策略。例如，不要允许对所有 KMS 密钥的 `kms:Decrypt` 权限。取而代之的是，仅允许 `kms:Decrypt` 使用特定区域中您账户的密钥。通过采用最低权限原则，您可以降低数据意外泄露的风险。

### 修复
<a name="kms-1-remediation"></a>

要修改 IAM 客户托管策略，请参阅 *IAM 用户指南*中的[编辑客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console)。编辑策略时，在 `Resource` 字段中提供您要允许执行解密操作的一个或多个密钥的 Amazon 资源名称（ARN）。

## [KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略
<a name="kms-2"></a>

**相关要求：** NIST.800-53.r5 AC-2、 NIST.800-53.r5 AC-2 (1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 AC-6 (3)

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html)

**计划类型：**已触发变更

**参数：**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`（不可自定义）

此控件检查嵌入在您的 IAM 身份（角色、用户或群组）中的内联策略是否允许对所有 KMS AWS KMS 密钥执行解密和重新加密操作。如果策略足够开放，可以允许对所有 KMS 密钥执行 `kms:Decrypt` 或 `kms:ReEncryptFrom` 操作，则控制失败。

该控件仅检查 Resource 元素中的 KMS 密钥，而不考虑策略的 Condition 元素中的任何条件。

使用 AWS KMS，您可以控制谁可以使用您的 KMS 密钥并访问您的加密数据。IAM policy 定义了一个身份（用户、组或角色）可以对哪些资源执行哪些操作。遵循安全最佳实践， AWS 建议您允许最低权限。换句话说，您应该仅向身份授予他们所需的权限，并且仅授予执行任务所需的密钥。否则，用户可能会使用不适合数据的密钥。

不要授予所有密钥的权限，而是确定用户访问加密数据所需的最小密钥集。然后设计允许用户仅使用这些密钥的策略。例如，不要允许对所有 KMS 密钥的 `kms:Decrypt` 权限。相反，请仅允许对账户特定区域中的特定密钥授予权限。通过采用最低权限原则，您可以降低数据意外泄露的风险。

### 修复
<a name="kms-2-remediation"></a>

要修改 IAM 内联策略，请参阅 *IAM 用户指南*中的[编辑内联策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console)。编辑策略时，在 `Resource` 字段中提供您要允许执行解密操作的一个或多个密钥的 Amazon 资源名称（ARN）。

## AWS KMS keys 不应无意中删除 [KMS.3]
<a name="kms-3"></a>

**相关要求：** NIST.800-53.r5 SC-12、 NIST.800-53.r5 SC-1 2 (2)

**类别：**保护 > 数据保护 > 数据删除保护

**严重性：**严重

**资源类型：**`AWS::KMS::Key`

**AWS Config 规则:**`kms-cmk-not-scheduled-for-deletion-2`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件检查是否计划删除 KMS 密钥。如果计划删除 KMS 密钥，则控制失败。

KMS 密钥一经删除就无法恢复。如果删除 KMS 密钥，则使用 KMS 密钥加密的数据也将永久无法恢复。如果在计划删除的 KMS 密钥下加密了有意义的数据，请考虑使用新的 KMS 密钥对数据进行解密或重新加密数据，除非您故意执行*加密擦除*。

当计划删除 KMS 密钥时，如果计划错误，则会强制执行强制等待期，以便有时间撤消删除。默认等待期为 30 天，但当计划删除 KMS 密钥时，等待期可缩短至短至 7 天。在等待期限内，可以取消预定删除，KMS 密钥不会被删除。

有关删除 KMS 密钥的更多信息，请参阅 *AWS Key Management Service 开发人员指南*中的[删除 KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)。

### 修复
<a name="kms-3-remediation"></a>

要取消预定的 KMS 密钥删除，请参阅 *AWS Key Management Service 开发人员指南*中的[计划和取消密钥删除（控制台）](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console)下的**取消密钥删除**。

## [KMS.4] 应启用 AWS KMS 密钥轮换
<a name="kms-4"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/3.6、CIS 基金会基准 v3.0.0/3.6、CIS AWS 基金会基准 v1.4.0/3.8、CIS AWS 基金会基准 v1.2.0/2.8、2、2 ( NIST.800-53.r5 SC-12)、8 (3)、PCI DSS AWS v3.2.1/3.6.4、PCI DSS v4.0.1/ NIST.800-53.r5 SC-1 3.7.4 NIST.800-53.r5 SC-2

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::KMS::Key`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)

**计划类型：**定期

**参数：**无

AWS KMS 允许客户轮换备用密钥，后备密钥是存储在 KMS 密钥中的 AWS KMS 密钥材料，与 KMS 密钥的密钥 ID 相关联。备用密钥被用于执行加密操作，例如加密和解密。目前，自动密钥轮换会保留所有之前的备用密钥，以便解密已加密数据的操作可以不被察觉地进行。

CIS 建议您启用 KMS 密钥轮换。轮换加密密钥有助于减少遭盗用密钥的潜在影响，因为使用可能已泄露的先前密钥无法访问使用新密钥加密的数据。

### 修复
<a name="kms-4-remediation"></a>

要启用 KMS 密钥轮换，请参阅*AWS Key Management Service 开发人员指南*中的[如何启用和禁用自动密钥轮换](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable)。

## [KMS.5] KMS 密钥不应可公开访问
<a name="kms-5"></a>

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**严重

**资源类型：**`AWS::KMS::Key`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)

**计划类型：**已触发变更

**参数：**无

它控制检查 AWS KMS key 是否可以公开访问。如果 KMS 密钥可公开访问，则此控件将失败。

实施最低权限访问对于降低安全风险以及错误或恶意意图的影响至关重要。如果的密钥策略 AWS KMS key 允许从外部账户进行访问，则第三方可能能够使用该密钥对数据进行加密和解密。这可能导致内部或外部威胁泄露使用密钥 AWS 服务 的数据。

**注意**  
 AWS KMS key 如果您的配置 AWS Config 阻止在 KMS 密钥的配置项目 (CI) 中记录密钥策略，则此控件还会返回`FAILED`结果。 AWS Config 要在 CI 中填充 KMS 密钥的密钥策略，[AWS Config 角色](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole)必须有权使用 [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)API 调用读取密钥策略。要解决此类`FAILED`发现，请检查可阻止 AWS Config 角色对 KMS 密钥的密钥策略具有读取权限的策略。例如，请检查以下内容：  
KMS 密钥的密钥策略。
中 AWS Organizations 适用于您的账户的@@ [服务控制策略 (SCPsRCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) [和资源控制策略 ()](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
该 AWS Config 角色的权限（如果您未使用[AWS Config 服务相关角色](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)）。
此外，此控件不会评估使用通配符或变量的策略条件。要生成 `PASSED` 调查发现，密钥策略中的条件只能使用固定值，即不包含通配符或策略变量的值。有关策略变量的信息，请参阅《AWS Identity and Access Management 用户指南》**中的[变量和标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

### 修复
<a name="kms-5-remediation"></a>

有关更新密钥策略的信息 AWS KMS key，请参阅《*AWS Key Management Service 开发者指南》 AWS KMS*[中的密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview)。

# Security Hub CSPM 控件适用于 AWS Lambda
<a name="lambda-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS Lambda 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Lambda.1] Lambda 函数策略应禁止公共访问
<a name="lambda-1"></a>

**相关要求：** NIST.800-53.r5 AC-21、、 NIST.800-53.r5 AC-3 (7)、(21) NIST.800-53.r5 AC-3、、、(11)、(16) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (20)、(21) NIST.800-53.r5 AC-6、(3) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、PCI DSS v3.2.1/1.2.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.4 2.1/7.2.1，PCI DSS v4.0.1/7.2.1 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**严重

**资源类型：**`AWS::Lambda::Function`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Lambda 函数基于资源的策略是否禁止您账户之外的公开访问。如果允许公共访问，则控制失败。如果从 Amazon S3 调用 Lambda 函数，并且该策略不包含限制公共访问的条件，则控制也会失败，例如 `AWS:SourceAccount`。我们建议在存储桶策略中使用 `AWS:SourceAccount` 与其他 S3 条件以获得更精细的访问权限。

**注意**  
此控件不会评估使用通配符或变量的策略条件。要生成 `PASSED` 调查发现，Lambda 函数策略中的条件必须仅使用固定值，即不包含通配符或策略变量的值。有关策略变量的信息，请参阅《AWS Identity and Access Management 用户指南》**中的[变量和标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

Lambda 函数不应公开访问，因为这可能会导致意外访问函数代码。

### 修复
<a name="lambda-1-remediation"></a>

要修复此问题，您必须更新函数的基于资源的策略以移除权限或添加 `AWS:SourceAccount` 条件。您只能通过 Lambda API 或更新基于资源的策略。 AWS CLI

首先，请[在 Lambda 控制台上查看基于资源的策略](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)。确定具有公开策略的 `Principal` 字段值的策略声明，例如 `"*"` 或 `{ "AWS": "*" }`。

您无法从控制台编辑策略。要移除函数的权限，请从 AWS CLI中运行 [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html) 命令。

```
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
```

`<function-name>` 替换为 Lambda 函数的名称，`<statement-id>` 替换为要删除的语句的语句 ID（`Sid`）。

## [Lambda.2] Lambda 函数应使用受支持的运行时系统
<a name="lambda-2"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 SI-2、nist.800-53.r5 SI-2 (2)、nist.800-53.r5 SI-2 (4)、nist.800-53.r5 SI-2 (5)、PCI DSS v4.0.1/12.3.4

**类别：**保护 > 安全开发

**严重性：**中

**资源类型：**`AWS::Lambda::Function`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)

**计划类型：**已触发变更

**参数：**
+ `runtime`：`dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3`（不可自定义）

此控件检查 AWS Lambda 函数运行时设置是否与每种语言中为支持的运行时设置的预期值相匹配。如果 Lambda 函数不使用支持的运行时，则此控件将失败，如“参数”部分所述。Security Hub CSPM 会忽略包类型为的函数。`Image`

Lambda 运行时系统是围绕操作系统、编程语言和需要维护和安全更新的软件库的组合构建的。护和安全更新的操作系统、编程语言和软件库的组合构建的。当安全更新不再支持某个运行时组件时，Lambda 将弃用该运行时系统。虽然您无法创建使用已弃用运行时的函数，但该函数仍可用于处理调用事件。我们建议确保 Lambda 函数处于最新状态，并且不使用已弃用的运行时环境。有关支持的运行时列表，请参阅《AWS Lambda 开发人员指南》**中的 [Lambda 运行时](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html)。

### 修复
<a name="lambda-2-remediation"></a>

*有关支持的运行时和弃用计划的更多信息，请参阅AWS Lambda 开发人员指南*中的[运行时系统弃用策略](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html)。将运行时迁移到最新版本时，请遵循语言发布者的语法和指导。我们还建议应用[运行时更新](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls)，以便在运行时版本不兼容的极少数情况下帮助降低对工作负载造成影响的风险。

## [Lambda.3] Lambda 函数应位于 VPC 中
<a name="lambda-3"></a>

**相关要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3（7）、、（21）、、（11）、（16）、（20）、（21） NIST.800-53.r5 AC-3、（20）、（21）、（3） NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4（4） NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7（9） NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**低

**资源类型：**`AWS::Lambda::Function`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)**

**计划类型：**已触发变更

**参数：**无

此控件可检查 Lambda 函数是否部署在虚拟私有云（VPC）中。如果 Lambda 函数未部署在 VPC 中，则此控件将失败。Security Hub CSPM 不会评估 VPC 子网路由配置来确定公共可访问性。您可能会看到 Lambda @Edge 资源的失败的调查发现。

在 VPC 中部署资源可增强安全性和对网络配置的控制。此类部署还提供了跨多个可用区的可扩展性和高容错能力。您可以自定义 VPC 部署以满足不同的应用程序要求。

### 修复
<a name="lambda-3-remediation"></a>

要将现有函数配置为连接到您的 VPC 中的私有子网，请参阅 *AWS Lambda 开发人员指南*中的[配置 VPC 访问权限](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring)。我们建议至少选择两个私有子网以实现高可用性，并至少选择一个满足功能连接要求的安全组。

## [Lambda.5] VPC Lambda 函数应在多个可用区内运行
<a name="lambda-5"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::Lambda::Function`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `availabilityZones`  |  可用区的最小数量  |  枚举  |  `2, 3, 4, 5, 6`  |  `2`  | 

此控件检查连接到虚拟私有云 (VPC) 的 AWS Lambda 功能是否至少在指定数量的可用区 (AZs) 中运行。如果函数的运行次数不超过指定数量，则控件将失败 AZs。除非您为最小数量提供自定义参数值 AZs，否则 Security Hub CSPM 将使用默认值为 2。 AZs

跨多个资源部署 AZs 是确保架构内高可用性 AWS 的最佳实践。可用性是机密性、完整性和可用性三合一安全模型的核心支柱。连接到 VPC 的所有 Lambda 函数都应具有多可用区部署，以确保单个区域的故障不会导致操作完全中断。

### 修复
<a name="lambda-5-remediation"></a>

如果您将函数配置为连接到账户中的 VPC，请指定多个子网 AZs 以确保高可用性。有关说明，请参阅 *AWS Lambda 开发人员指南》*中的[配置 VPC 访问权限](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring)。

Lambda 会自动 AZs 以多个形式运行其他函数，以确保在单个区域出现服务中断时，Lambda 可用于处理事件。

## [Lambda.6] 应标记 Lambda 函数
<a name="lambda-6"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Lambda::Function`

**AWS Config 规则:**`tagged-lambda-function`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS Lambda 函数是否具有参数中定义的特定键的标签`requiredTagKeys`。如果函数没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果该函数未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关标记更多最佳实践，请参阅《AWS 一般参考》**中的[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="lambda-6-remediation"></a>

要向 Lambda 函数添加标签，请参阅《AWS Lambda 开发人员指南》**中的[在 Lambda 函数上使用标签](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html)。

## [Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray
<a name="lambda-7"></a>

**相关要求：** NIST.800-53.r5 CA-7

**类别：**识别 > 日志记录

**严重性：**低

**资源类型：**`AWS::Lambda::Function`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否为 AWS Lambda 函数启用了主动跟 AWS X-Ray 踪。如果对 Lambda 函数禁用 X-Ray 主动跟踪，则该控件会失败。

AWS X-Ray 可以为函数提供跟踪和监控 AWS Lambda 功能，从而节省调试和操作 Lambda 函数的时间和精力。它可以通过分解 Lambda 函数的延迟来帮助您诊断错误并识别性能瓶颈、速度减慢和超时。它还可以帮助满足数据隐私和合规要求。如果为 Lambda 函数启用主动跟踪，X-Ray 可以提供 Lambda 函数内数据流和处理的整体视图，这可以帮助您识别潜在安全漏洞或不合规的数据处理实践。这种可见性可以帮助您维护数据的完整性、机密性以及遵守相关法规。

**注意**  
AWS X-Ray 目前不支持使用适用于 Apache Kafka 的亚马逊托管流媒体（亚马逊 MSK）、自行管理 Apache Kafka、带有 ActiveMQ 和 RabbitMQ 的亚马逊 MQ 或亚马逊 DocumentDB 事件源映射的 Lambda 函数进行跟踪。

### 修复
<a name="lambda-7-remediation"></a>

*有关为 AWS Lambda 函数启用主动跟踪的信息，请参阅开发人员指南 AWS X-Ray中的[使用可视化 Lambda 函数调用。](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html)AWS Lambda *

# 适用于 Macie 的 Security Hub CSPM 控件
<a name="macie-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon Macie 服务。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Macie.1] 应启用 Amazon Macie
<a name="macie-1"></a>

**相关要求：** NIST.800-53.r5 CA-7、 NIST.800-53.r5 CA-9 (1)、、 NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5、nist.800-53.r5 SI-4

**类别：**检测 > 检测服务

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)

**计划类型：**定期

该控件检查是否为账户启用了 Amazon Macie。如果没有为该账户启用 Macie，则控制失败。

Amazon Macie 使用机器学习和模式匹配来发现敏感数据，提供对数据安全风险的可见性，并实现针对这些风险的自动防护。Macie 会自动持续评估您的 Amazon Simple Storage Service（Amazon S3）存储桶的安全性和访问控制，并生成调查发现以通知您有关 Amazon S3 数据的安全性或隐私的潜在问题。Macie 还会自动发现和报告个人身份信息（PII）等敏感数据，，让您更好地了解在 Amazon S3 中存储的数据。要了解更多信息，请参阅《Amazon Macie 用户指南》[https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html)。

### 修复
<a name="macie-1-remediation"></a>

要启用 Macie，请参阅《Amazon Macie 》**中的[启用 Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie)。

## [Macie.2] 应启用 Macie 敏感数据自动发现
<a name="macie-2"></a>

**相关要求：** NIST.800-53.r5 CA-7、 NIST.800-53.r5 CA-9 (1)、、 NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5、nist.800-53.r5 SI-4

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)

**计划类型：**定期

该控件可检查是否为 Amazon Macie 管理员账户启用了敏感数据自动发现。如果没有为 Macie 管理员账户启用敏感数据自动发现，则此控件将失败。此控件仅适用于管理员帐户。

Macie 会自动发现并报告 Amazon Simple Storage Service（Amazon S3）存储桶中的个人身份信息（PII）等敏感数据。通过敏感数据自动发现，Macie 可以持续评估您的存储桶清单，并使用采样技术来识别和选择存储桶中具有代表性的 S3 对象。然后，Macie 会分析所选对象，检查它们是否有敏感数据。随着分析的进行，Macie 会更新统计数据、清单数据及其提供的有关您 S3 数据的其他信息。Macie 还会生成调查发现以报告其发现的敏感数据。

### 修复
<a name="macie-2-remediation"></a>

要创建和配置敏感数据自动发现作业以分析 S3 存储桶中的对象，请参阅《Amazon Macie User Guide》**中的 [Configuring automated sensitive data discovery for your account](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html)。

# 适用于亚马逊 MSK 的 Security Hub CSPM 控件
<a name="msk-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估了适用于 Apache Kafka 的亚马逊托管流媒体（亚马逊 MSK）服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [MSK.1] MSK 集群应在代理节点之间传输时进行加密
<a name="msk-1"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 3、3 ( NIST.800-53.r5 SC-23)、( NIST.800-53.r5 SC-23)、(4)、 NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2)、PCI DSS v4.0.1/4.2.1

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::MSK::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon MSK 集群在传输过程中是否在集群的代理节点之间使用 HTTPS（TLS）进行加密。如果为集群代理节点连接启用了纯文本通信，则控制失败。

HTTPS 提供了额外的安全层，因为它使用 TLS 来移动数据，可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。默认情况下，Amazon MSK 使用 TLS 对传输中数据进行加密。但是，您可以在创建集群时覆盖此默认值。对于代理节点连接，我们建议使用通过 HTTPS（TLS）的加密连接。

### 修复
<a name="msk-1-remediation"></a>

有关更新 Amazon MSK 集群的加密设置的信息，请参阅《Amazon Managed Streaming for Apache Kafka 开发人员指南》**中的[更新集群的安全设置](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html)。

## [MSK.2] MSK 集群应配置增强型监控
<a name="msk-2"></a>

**相关要求：** NIST.800-53.r5 CA-7，nist.800-53.r5 SI-2

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::MSK::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon MSK 集群是否配置了增强型监控，且监控级别至少指定为 `PER_TOPIC_PER_BROKER`。如果集群的监控级别设置为 `DEFAULT` 或 `PER_BROKER`，则控制失败。

`PER_TOPIC_PER_BROKER` 监控级别可以帮助您更精细地了解 MSK 集群的性能，还提供与资源利用率相关的指标，例如 CPU 和内存使用情况。这可以帮助您确定各个主题和代理的性能瓶颈和资源利用率模式。反过来，这种可见性可以优化 Kafka 代理的性能。

### 修复
<a name="msk-2-remediation"></a>

要为 MSK 集群配置增强型监控，请完成以下步骤：

1. 在[https://console.aws.amazon.com/msk/家打开亚马逊 MSK 控制台？ region=us](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/)-east-1\$1/home/。

1. 在导航窗格中，选择**集群**。然后选择一个集群。

1. 在**操作**中，选择**编辑监控**。

1. 选择**增强主题级别监控**选项。

1. 选择**保存更改**。

有关监控级别的更多信息，请参阅 [Apache Managed St *reaming for Apache Kafka 开发者指南 CloudWatch中的亚马逊* MSK 监控标准代理指标](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html)。

## [MSK.3] MSK Connect 连接器应在传输过程中进行加密
<a name="msk-3"></a>

**相关要求：**PCI DSS v4.0.1/4.2.1

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::KafkaConnect::Connector`

**AWS Config 规则:**`msk-connect-connector-encrypted`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon MSK Connect 连接器是否在传输过程中进行加密。如果连接器未在传输过程中进行加密，则此控件将失败。

传输中数据是指从一个位置移动到另一个位置的数据，例如在集群中的节点之间或在集群和应用程序之间。数据可能通过互联网或在私有网络内移动。对传输中数据进行加密可降低未经授权的用户侦听网络流量的风险。

### 修复
<a name="msk-3-remediation"></a>

您可以在创建 MSK Connect 连接器时启用传输中加密。创建集群后，将无法更改加密设置。有关更多信息，请参阅《Amazon Managed Streaming for Apache Kafka Developer Guide》**中的 [Create a connector](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html)。

## [MSK.4] MSK 集群应禁用公开访问
<a name="msk-4"></a>

**类别：**保护 > 安全访问管理 > 资源不公开访问

**严重性：**严重

**资源类型：**`AWS::MSK::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon MSK 集群是否已禁用公开访问。如果 MSK 集群启用了公开访问，则该控件会失败。

默认情况下，只有当客户端与 Amazon MSK 集群位于同一 VPC 中时，客户端才能访问该集群。默认情况下，Kafka 客户端与 MSK 集群之间的所有通信都是私密的，流数据不会通过互联网传输。但是，如果将 MSK 集群配置为允许公开访问，则互联网上的任何人都可以与集群内运行的 Apache Kafka 代理建立连接。这可能会导致未经授权访问、数据泄露或漏洞利用等问题。如果通过要求身份验证和授权措施来限制对集群的访问，您可以帮助保护敏感信息并维护资源的完整性。

### 修复
<a name="msk-4-remediation"></a>

有关管理对 Amazon MSK 集群的公开访问的信息，请参阅《Amazon Managed Streaming for Apache Kafka 开发人员指南》**中的[启用对预置 MSK 集群的公共访问](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html)。

## [MSK.5] MSK 连接器应启用日志记录
<a name="msk-5"></a>

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::KafkaConnect::Connector`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否为 Amazon MSK 连接器启用了日志记录。如果 MSK 连接器禁用了日志记录，则该控件会失败。

Amazon MSK 连接器通过不断地将流数据从数据来源复制到 Apache Kafka 集群，或不断地将数据从集群复制到数据接收器，将外部系统和 Amazon 服务与 Apache Kafka 集成。MSK Connect 可以写入日志事件，这有助于调试连接器。创建连接器时，您可以指定以下零个或多个日志目标：亚马逊 CloudWatch 日志、亚马逊 S3 和 Amazon Data Firehose。

**注意**  
如果插件未将敏感配置值定义为秘密，则这些值可能会出现在连接器日志中。Kafka Connect 对未定义的配置值的处理方式与任何其他明文值相同。

### 修复
<a name="msk-5-remediation"></a>

要为现有 Amazon MSK 连接器启用日志记录，您必须使用适当的日志记录配置重新创建连接器。有关配置选项的信息，请参阅《Amazon Managed Streaming for Apache Kafka 开发人员指南》中的[为 MSK Connect 进行日志记录](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html)。**

## [MSK.6] MSK 集群应禁用未经身份验证的访问
<a name="msk-6"></a>

**类别：**保护 > 安全访问管理 > 无密码身份验证

**严重性：**中

**资源类型：**`AWS::MSK::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon MSK 集群是否启用了未经身份验证的访问。如果 MSK 集群启用了未经身份验证的访问，则该控件会失败。

Amazon MSK 支持客户端身份验证和授权机制，可控制对集群的访问。这些机制验证连接到集群的客户端的身份，并确定客户端可以执行哪些操作。可以将 MSK 集群配置为允许未经身份验证的访问，这样任何具有网络连接的客户端无需提供凭证都可以发布和订阅 Kafka 主题。运行 MSK 集群而不要求身份验证违反了最低权限原则，并且可能使集群暴露于未经授权的访问。它允许任何客户端访问、修改或删除 Kafka 主题中的数据，这可能会导致数据泄露、未经授权的数据修改或服务中断。我们建议启用 IAM 身份验证、SASL/SCRAM 或双向 TLS 等身份验证机制，以确保适当的访问控制并保持安全合规性。

### 修复
<a name="msk-6-remediation"></a>

有关更改亚马逊 MSK 集群身份验证设置的信息，请参阅《适用于 Apache Managed Kafka 的*亚马逊托管流管理开发者指南》的以下部分：更新亚马逊 MSK 集群的安全设置以及 Apache Kafka* [的](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html)[身份验证和授权](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html)。 APIs

# 适用于亚马逊 MQ 的 Security Hub CSPM 控件
<a name="mq-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon MQ 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch
<a name="mq-2"></a>

**相关要求：**NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-12、NIST.800-53.r5 SI-4、PCI DSS v4.0.1/10.3.3

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::AmazonMQ::Broker`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon MQ ActiveMQ 代理是否将审计日志流式传输到亚马逊日志。 CloudWatch 如果代理不将审核日志流式传输到日 CloudWatch 志，则控制失败。

通过将 ActiveMQ 代理日志发布 CloudWatch 到日志，您可以 CloudWatch 创建警报和指标，以提高安全相关信息的可见性。

### 修复
<a name="mq-2-remediation"></a>

*要将 ActiveMQ 代理日志流式传输 CloudWatch 到日志，请参阅亚马逊 MQ 开发者指南中的为 [Amazon MQ 日志配置 Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html)。*

## [MQ.3] Amazon MQ 代理应启用次要版本自动升级
<a name="mq-3"></a>

**重要**  
Security Hub CSPM 于 2026 年 1 月取消了该控制权。有关更多信息，请参阅 [Security Hub CSPM 控件的更改日志](controls-change-log.md)。

**相关要求：**NIST.800-53.r5 CM-3、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/6.3.3

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**中

**资源类型：**`AWS::AmazonMQ::Broker`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon MQ 代理是否启用了次要版本自动升级。如果代理未启用次要版本自动升级，则此控件将失败。

由于 Amazon MQ 发布并支持新的代理引擎版本，这些更改向后兼容现有应用程序，不会弃用现有功能。代理引擎版本自动更新可保护您免受安全风险，帮助修复错误并改进功能。

**注意**  
与次要版本自动升级关联的代理已安装最新补丁且不再受支持时，您必须采取手动操作进行升级。

### 修复
<a name="mq-3-remediation"></a>

要为 MQ 代理启用次要版本自动升级，请参阅《Amazon MQ Developer Guide》**中的 [ Automatically upgrading the minor engine version](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html)。

## [MQ.4] 应标记 Amazon MQ 代理
<a name="mq-4"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::AmazonMQ::Broker`

**AWS Config 规则:**`tagged-amazonmq-broker`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon MQ 代理是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果代理没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果代理未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="mq-4-remediation"></a>

要向 Amazon MQ 代理添加标签，请参阅《Amazon MQ Developer Guide》**中的 [Tagging resources](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html)。

## [MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby
<a name="mq-5"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**低

**资源类型：**`AWS::AmazonMQ::Broker`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon MQ ActiveMQ 代理的部署模式是否设置为主动/备用。如果将单实例代理（默认启用）设置为部署模式，则控制失败。

主动/备用部署为 AWS 区域中的 Amazon MQ ActiveMQ 代理提供高可用性。主动/备用部署模式包括两个不同可用区中的两个代理实例，以冗余对配置。这些代理与应用程序同步通信，这可以减少发生故障时的停机时间和数据丢失。

### 修复
<a name="mq-5-remediation"></a>

*要创建 active/standby 具有部署模式的新 ActiveMQ 代理，请参阅亚马逊 MQ 开发者指南中的[创建和配置 ActiveMQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html) 代理。*对于**部署模式**，选择**主动/备用代理**。您无法变更现有代理的部署模式。相反，您必须创建一个新的代理并复制旧代理的设置。

## [MQ.6] RabbitMQ 代理应该使用集群部署模式
<a name="mq-6"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**低

**资源类型：**`AWS::AmazonMQ::Broker`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon MQ RabbitMQ 代理的部署模式是否设置为集群部署。如果将单实例代理（默认启用）设置为部署模式，则控制失败。

集群部署为 AWS 区域中的 Amazon MQ RabbitMQ 代理提供了高可用性。集群部署是三个 RabbitMQ 代理节点的逻辑分组，每个节点都有自己的 Amazon Elastic Block Store（Amazon EBS）卷和共享状态。集群部署确保数据被复制到集群中的所有节点，这可以减少故障时的停机时间和数据丢失。

### 修复
<a name="mq-6-remediation"></a>

要创建具有集群部署模式的新 RabbitMQ 代理，请参阅 [Amazon MQ 开发人员指南](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html)中的*创建和连接 RabbitMQ 代理*。对于**部署模式**，选择**集群部署**。您无法变更现有代理的部署模式。相反，您必须创建一个新的代理并复制旧代理的设置。

# 适用于 Neptune 的 Security Hub CSPM 控件
<a name="neptune-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon Neptune 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Neptune.1] 应对 Neptune 数据库集群进行静态加密
<a name="neptune-1"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Neptune 数据库集群是否进行静态加密。如果 Neptune 数据库集群未在静态状态下加密，则控制失败。

静态数据指的是存储在持久、非易失性存储介质中的任何数据，无论存储时长如何。加密可帮助您保护此类数据的机密性，降低未经授权的用户访问这些数据的风险。加密您的 Neptune 数据库集群可保护数据和元数据免遭未经授权的访问。它还满足了生产文件系统 data-at-rest加密的合规性要求。

### 修复
<a name="neptune-1-remediation"></a>

您可以在创建 Neptune 数据库集群时启用静态加密。创建集群后，您将无法变更加密设置。有关更多信息，请参阅 *Neptune 用户指南*中的[加密 Neptune 静态资源](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html)。

## [Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch
<a name="neptune-2"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、、 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-4 (5)、nist.800-53.r5 SI-7 (8)、I DSS v4.0.1/10.3.3

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Neptune 数据库集群是否将审核日志发布到 Ama CloudWatch zon 日志。如果 Neptune 数据库集群不向 CloudWatch 日志发布审核日志，则控制失败。 `EnableCloudWatchLogsExport`应设置为`Audit`。

Amazon Neptune 和亚马逊 CloudWatch 是集成在一起的，因此您可以收集和分析绩效指标。Neptune 会自动向警报发送指标 CloudWatch ，还支持 CloudWatch 警报。审核日志是高度可定制的。审计数据库时，可以监视对数据的每个操作并将其记录到审计跟踪记录中，包括有关访问哪个数据库集群以及如何访问的信息。我们建议将这些日志发送到， CloudWatch 以帮助您监控 Neptune 数据库集群。

### 修复
<a name="neptune-2-remediation"></a>

*要将 Neptune 审核日志发布到日 CloudWatch 志，请参阅《[Neptune 用户指南》 CloudWatch 中的 “将 Neptune 日志发布到亚马逊](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html)日志”。*在**日志导出**部分中，选择**审计**。

## [Neptune.3] Neptune 数据库集群快照不应公开
<a name="neptune-3"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、、(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**严重

**资源类型：**`AWS::RDS::DBClusterSnapshot`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Neptune 手动数据库集群快照是否公开。如果 Neptune 手动数据库集群快照是公开的，则控制失败。

除非有意图，否则 Neptune 数据库集群手动快照不应公开。如果您将未加密的手动快照公开共享，则该快照可供所有 AWS 账户使用。公开快照可能会导致意外的数据泄露。

### 修复
<a name="neptune-3-remediation"></a>

要移除 Neptune 手动数据库集群快照的公共访问权限，请参阅 *Neptune 用户指南*中的[共享数据库集群快照](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html)。

## [Neptune.4] Neptune 数据库集群应启用删除保护
<a name="neptune-4"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**类别：**保护 > 数据保护 > 数据删除保护

**严重性：**低

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Neptune 数据库集群是否启用了删除保护。如果 Neptune 数据库集群未启用删除保护，则控制失败。

启用集群删除保护可提供额外保护，防止数据库意外删除或未经授权的用户删除。启用删除保护时，无法删除 Neptune 数据库集群。您必须先禁用删除保护，删除请求才能成功。

### 修复
<a name="neptune-4-remediation"></a>

要为现有 Neptune 数据库集群启用删除保护，请参阅 *Amazon Aurora 用户指南*中的[使用控制台、CLI 和 API 修改数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings)。

## [Neptune.5] Neptune 数据库集群应启用自动备份
<a name="neptune-5"></a>

**相关要求：**NIST.800-53.r5 SI-12。

**类别：**恢复 > 弹性 > 启用备份

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  最小备份保留期（以天为单位）  |  整数  |  `7` 到 `35`  |  `7`  | 

此控件检查 Neptune 数据库集群是否启用了自动备份，以及备份保留期是否大于或等于指定时间范围。如果没有为 Neptune 数据库集群启用备份，或者保留期小于指定时间范围，则控制失败。除非您为备份保留期提供自定义参数值，否则 Security Hub CSPM 将使用默认值 7 天。

备份可帮助您更快地从安全事件中恢复并增强系统的故障恢复能力。通过自动备份 Neptune 数据库集群，您将能够将系统恢复到某个时间点，并最大限度地减少停机时间和数据丢失。

### 修复
<a name="neptune-5-remediation"></a>

要启用自动备份并为 Neptune 数据库集群设置保留期，请参阅《Amazon RDS 用户指南》**中的[启用自动备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling)。对于**备份保留期**，请选择大于或等于 7 的值。

## [Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密
<a name="neptune-6"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、 NIST.800-53.r5 SC-7 (18)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::RDS::DBClusterSnapshot`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Neptune 数据库集群快照是否处于静态加密状态。如果 Neptune 数据库集群未在静态状态下加密，则控制失败。

静态数据指的是存储在持久、非易失性存储介质中的任何数据，无论存储时长如何。加密可帮助您保护此类数据的机密性，降低未经授权的用户访问这些数据的风险。为了增加安全性，Neptune 数据库集群快照中的数据应进行静态加密。

### 修复
<a name="neptune-6-remediation"></a>

您无法加密现有的 Neptune 数据库集群快照。相反，您必须将快照还原到新的数据库集群并在集群上启用加密。您可以从加密集群创建加密快照。有关说明，请参阅 *Neptune 用户指南*中的[从数据库集群快照恢复](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html)和[在 Neptune 中创建数据库集群快照](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html)。

## [Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证
<a name="neptune-7"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-6

**类别：**保护 > 安全访问管理 > 无密码身份验证

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Neptune 数据库集群是否启用了 IAM 数据库身份验证。如果未为 Neptune 数据库集群启用 IAM 数据库身份验证，则控制失败。

Amazon Neptune 数据库集群的 IAM 数据库身份验证无需在数据库配置中存储用户凭证，因为身份验证是使用 IAM 在外部管理的。启用 IAM 数据库身份验证后，每个请求都需要使用签 AWS 名版本 4 进行签名。

### 修复
<a name="neptune-7-remediation"></a>

默认情况下，创建 Neptune 数据库集群时禁用 IAM 数据库身份验证。要启用它，请参阅 *Neptune 用户指南*中的[在 Neptune 中启用 IAM 数据库身份验证](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html)。

## [Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照
<a name="neptune-8"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控制会检查 Neptune 数据库集群是否配置为在创建快照时将所有标签复制到快照。如果 Neptune 数据库集群未配置为将标签复制到快照，则控制失败。

IT 资产的识别和清点是治理和安全的一个重要方面。您应使用与其父级 Amazon RDS 数据库集群相同的方式为快照添加标签。复制标签可确保数据库快照的元数据与父数据库集群的元数据匹配，并且数据库快照的访问策略也与父数据库实例的访问策略匹配。

### 修复
<a name="neptune-8-remediation"></a>

要将标签复制到 Neptune 数据库集群的快照，请参阅 *Neptune 用户指南*中的[在 Neptune 中复制标签](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview)。

## [Neptune.9] Neptune 数据库集群应跨多个可用区部署
<a name="neptune-9"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 Amazon Neptune 数据库集群在多个可用区中是否有只读副本实例（）。AZs如果集群仅部署在一个可用区中，则控制失败。

如果可用区不可用且处于定期维护事件期间，只读副本将用作主实例的失效转移目标。也就是说，如果主实例失败，Neptune 将只读副本实例提升为主实例。相比之下，如果您的数据库集群不包含任何只读副本实例，则当主实例出现故障时，您的数据库集群将保持不可用状态，直到重新创建该实例。与提升只读副本相比，重新创建主实例所需的时间要长得多。为确保高可用性，我们建议您创建一个或多个只读副本实例，这些实例的数据库实例类别与主实例相同，并且位于不同的 AZs 主实例中。

### 修复
<a name="neptune-9-remediation"></a>

*要在多个中部署 Neptune 数据库集群 AZs，请参阅《Neptune 用户指南》中的 [Neptune 数据库集群中的只读副本数据库实例](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas)。*

# Security Hub CSPM 控件适用于 AWS Network Firewall
<a name="networkfirewall-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS Network Firewall 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中
<a name="networkfirewall-1"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::NetworkFirewall::Firewall`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件评估通过管理的防火墙 AWS Network Firewall 是否部署在多个可用区 (AZs)。如果防火墙仅部署在一个可用区中，则控制失败。

AWS 全球基础设施包括多个 AWS 区域。 AZs 在每个区域内都是物理上分开的、孤立的地点，通过低延迟、高吞吐量和高度冗余的网络连接。通过在多个 AZs防火墙上部署 Network Firewall 防火墙 AZs，您可以平衡和转移流量，这有助于您设计高度可用的解决方案。

### 修复
<a name="networkfirewall-1-remediation"></a>

**在多个防火墙上部署 Network Firewall AZs**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中的**网络防火墙** 下，选择**防火墙**。

1. 在**防火墙**页面上，选择要编辑的防火墙。

1. 在防火墙详细信息页面上，选择**防火墙详细信息**选项卡。

1. 在**关联策略和 VPC** 部分中，选择**编辑**

1. 要添加新的可用区，请选择**添加新子网**。请选择您要使用的可用区和子网。确保至少选择两个 AZs。

1. 选择**保存**。

## [NetworkFirewall.2] 应启用 Network Firewall 日志记录
<a name="networkfirewall-2"></a>

**相关要求：** NIST.800-53.r5 AC-2(12)、(4)、(26)、(9)、 NIST.800-53.r5 AC-2 (9)、(9)、nist.800-53.r5 SI-3 NIST.800-53.r5 AC-4 (8)、 NIST.800-53.r5 AC-6 nist.800-53.r5 SI-4 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20)、nist.800-53.r5 SI-7 (8)、nist.800-171.r2 3.1.r2 3.1.r2 (20)、nist.800-53.r5 SI-7 (8) 20，nist.800-171.r2 3.13.1

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::NetworkFirewall::LoggingConfiguration`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查是否已为 AWS Network Firewall 防火墙启用日志记录。如果没有为至少一种日志类型启用日志记录或者日志记录目标不存在，则控制失败。

日志记录可帮助您保持防火墙的可靠性、可用性和性能。在 Network Firewall 中，日志记录为您提供有关网络流量的详细信息，包括有状态引擎接收数据包流的时间、有关数据包流的详细信息以及针对数据包流采取的任何有状态规则操作。

### 修复
<a name="networkfirewall-2-remediation"></a>

要启用防火墙日志记录，请参阅《AWS Network Firewall 开发人员指南》**中的[更新防火墙的日志记录配置](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html)。

## [NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组
<a name="networkfirewall-3"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-171.r2 3.1.3、nist.800-171.r2 3.13.1

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::NetworkFirewall::FirewallPolicy`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Network Firewall 策略是否关联了任何状态或无状态规则组。如果未分配无状态或有状态规则组，则控制失败。

防火墙策略定义防火墙如何监控和处理 Amazon Virtual Private Cloud（Amazon VPC）中的流量。配置无状态和有状态规则组有助于筛选数据包和流量，并定义默认流量处理。

### 修复
<a name="networkfirewall-3-remediation"></a>

要向 Network Firewall 策略添加规则组，请参阅 *AWS Network Firewall 开发人员指南*中的[更新防火墙策略](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)。有关创建和管理规则组的信息，请参阅 [AWS Network Firewall中的规则组](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html)。

## [NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包
<a name="networkfirewall-4"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::NetworkFirewall::FirewallPolicy`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)

**计划类型：**已触发变更

**参数：**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe`（不可自定义）

此控件检查 Network Firewall 策略中对完整数据包的默认无状态操作是丢弃还是转发。如果选择了 `Drop` 或 `Forward`，则控制通过，如果选择 `Pass` 则控制失败。

防火墙策略定义防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来筛选数据包和流量。默认为 `Pass` 可能会允许意外流量。

### 修复
<a name="networkfirewall-4-remediation"></a>

要变更您的防火墙策略，请参阅 *AWS Network Firewall 开发人员指南*中的[更新防火墙策略](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)。对于**无状态默认操作**，请选择**编辑**。然后，选择**丢弃**或**转发到有状态的规则组**作为**操作**。

## [NetworkFirewall.5] 对于分段的数据包，Network Firewall 策略的默认无状态操作应为丢弃或转发
<a name="networkfirewall-5"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-171.r2 3.1.3、nist.800-171.r2 3.1.14、nist.800-171.r2 3.13.1、nist.800-171.r2 3.13.6

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::NetworkFirewall::FirewallPolicy`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)

**计划类型：**已触发变更

**参数：**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe`（不可自定义）

此控件检查 Network Firewall 策略中对碎片数据包的默认无状态操作是丢弃还是转发。如果选择了 `Drop` 或 `Forward`，则控制通过，如果选择 `Pass` 则控制失败。

防火墙策略定义防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来筛选数据包和流量。默认为 `Pass` 可能会允许意外流量。

### 修复
<a name="networkfirewall-5-remediation"></a>

要变更您的防火墙策略，请参阅 *AWS Network Firewall 开发人员指南*中的[更新防火墙策略](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)。对于**无状态默认操作**，请选择**编辑**。然后，选择**丢弃**或**转发到有状态的规则组**作为**操作**。

## [NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空
<a name="networkfirewall-6"></a>

**相关要求：** NIST.800-53.r5 AC-4(21)、(11)、(16)、(21)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7、nist.800-171.r2 3.1.3、 NIST.800-53.r5 SC-7 nist.800-171.r2 3.1.14、nist.800-171.r2 3.1.14、nist.800-171.r2 3.13.1、nist.800-171.r2 3.13.6 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::NetworkFirewall::RuleGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)

**计划类型：**已触发变更

**参数：**无

此控件检查中的无状态规则组是否 AWS Network Firewall 包含规则。如果规则组中没有规则，则控制失败。

规则组包含的规则定义防火墙如何处理您的 VPC 中的流量。当防火墙策略中存在空的无状态规则组时，可能会给人一种规则组将处理流量的印象。但是，当无状态规则组为空时，它不处理流量。

### 修复
<a name="networkfirewall-6-remediation"></a>

要将规则添加到 Network Firewall 规则组，请参阅 *AWS Network Firewall 开发人员指南*中的[更新有状态规则组](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html)。在防火墙详细信息页面上，对于**无状态规则组**，选择**编辑**以添加规则。

## [NetworkFirewall.7] 应标记 Network Firewall 防火墙
<a name="networkfirewall-7"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::NetworkFirewall::Firewall`

**AWS Config 规则:**`tagged-networkfirewall-firewall`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS Network Firewall 防火墙是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果防火墙没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果防火墙未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="networkfirewall-7-remediation"></a>

要向 Network Firewall 防火墙添加标签，请参阅《*AWS Network Firewall 开发者指南*》中的[标记 AWS Network Firewall 资源](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html)。

## [NetworkFirewall.8] 应标记 Network Firewall 防火墙策略
<a name="networkfirewall-8"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::NetworkFirewall::FirewallPolicy`

**AWS Config 规则:**`tagged-networkfirewall-firewallpolicy`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS Network Firewall 防火墙策略是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果防火墙策略没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果防火墙策略未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="networkfirewall-8-remediation"></a>

要向 Network Firewall 策略添加标签，请参阅《*AWS Network Firewall 开发者指南*》中的[标记 AWS Network Firewall 资源](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html)。

## [NetworkFirewall.9] Network Firewall 防火墙应启用删除保护
<a name="networkfirewall-9"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**类别：**保护 > 网络安全

**严重性：**中

**资源类型：**`AWS::NetworkFirewall::Firewall`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS Network Firewall 防火墙是否启用了删除保护。如果未为防火墙启用删除保护，则控制失败。

AWS Network Firewall 是一项有状态的托管网络防火墙和入侵检测服务，可让您检查和过滤进出虚拟私有云或虚拟私有云之间的流量（VPCs）。删除保护设置可防止意外删除防火墙。

### 修复
<a name="networkfirewall-9-remediation"></a>

要在现有 Network Firewall 防火墙上启用删除保护，请参阅 *AWS Network Firewall 开发人员指南*中的[更新防火墙](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html)。对于**变更保护**，选择**启用**。您也可以通过调用 [ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API 并将该`DeleteProtection`字段设置为来`true`启用删除保护。

## [NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护
<a name="networkfirewall-10"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**类别：**保护 > 网络安全

**严重性：**中

**资源类型：**`AWS::NetworkFirewall::Firewall`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS Network Firewall 防火墙是否启用了子网更改保护。如果未为防火墙启用子网更改保护，则该控件会失败。

AWS Network Firewall 是一项有状态的托管网络防火墙和入侵检测服务，可用于检查和过滤进出虚拟私有云或虚拟私有云之间的流量（VPCs）。如果为 Network Firewall 防火墙启用子网更改保护，则可以保护防火墙免遭其子网关联意外更改。

### 修复
<a name="networkfirewall-10-remediation"></a>

有关为现有 Network Firewall 防火墙启用子网更改保护的信息，请参阅《AWS Network Firewall 开发人员指南》**中的 [Updating a firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html)。

# 适用于亚马逊服务的 Security Hub CSPM 控件 OpenSearch
<a name="opensearch-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估亚马逊 OpenSearch 服务（OpenSearch 服务）服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Opensearch.1] OpenSearch 域名应启用静态加密
<a name="opensearch-1"></a>

**相关要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、(1)、3、8、8 (1)、nist.800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::OpenSearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 OpenSearch 域名是否启用了 encryption-at-rest配置。如果未启用静态加密，检查将失败。

为了增加敏感数据的安全性，您应将 OpenSearch 服务域配置为静态加密。配置静态数据加密时，会 AWS KMS 存储和管理您的加密密钥。要执行加密，请 AWS KMS 使用带有 256 位密钥的高级加密标准算法 (AES-256)。

*要了解有关静态 OpenSearch 服务加密的更多信息，请参阅[《亚马逊服务*开发者指南*》中的亚马逊 OpenSearch 服务静态数据](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html)加密。 OpenSearch *

### 修复
<a name="opensearch-1-remediation"></a>

要为新域和现有 OpenSearch 域名启用静态加[密，请参阅 *Amazon S OpenSearch ervice 开发者指南*中的启用静态数据](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear)加密。

## [Opensearch.2] OpenSearch 域名不应向公众开放
<a name="opensearch-2"></a>

**相关要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3（7）、（21）、（11）、（16）、（20）、（21）、（3） NIST.800-53.r5 AC-3、（4），(9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置 > VPC 内的资源

**严重性：**严重

**资源类型：**`AWS::OpenSearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 OpenSearch 域是否在 VPC 中。它不会评估 VPC 子网路由配置来确定公共访问。

您应确保 OpenSearch 域名未连接到公有子网。请参阅《Amazon OpenSearch 服务开发者指南》中的[基于资源的政策](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource)。您还应该确保根据建议的最佳实践配置了 VPC。请参阅 Amazon VPC 用户指南中的 [VPC 安全最佳实践](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)。

OpenSearch 部署在 VPC 中的域可以通过私有 AWS 网络与 VPC 资源通信，无需穿越公共互联网。此配置通过限制对传输中数据的访问来提高安全状况。 VPCs 提供多种网络控制措施来保护对 OpenSearch 域的访问，包括网络 ACL 和安全组。Security Hub 建议您将公共 OpenSearch 域迁移 VPCs 到以利用这些控制措施。

### 修复
<a name="opensearch-2-remediation"></a>

如果您创建一个具有公有端点的域，则以后无法将其放置在 VPC 中。您必须创建一个新的域，然后迁移数据。反之亦然。如果在 VPC 中创建一个域，则该域不能具有公有端点。您必须[创建另一个域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains)或禁用该控制。

有关说明，请参阅[《亚马逊 OpenSearch 服务*开发者指南》中的在 VPC 内启动您的亚马逊 OpenSearch 服务*域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html)。

## [Opensearch.3] OpenSearch 域应加密节点之间发送的数据
<a name="opensearch-3"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 3、 NIST.800-53.r5 SC-2 3 (3)、 NIST.800-53.r5 SC-7 (3)、(4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 (1)、 NIST.800-53.r5 SC-8 (2)

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::OpenSearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 OpenSearch 域名是否启用了 node-to-node加密。如果在域上禁用了 node-to-node加密，则此控件将失败。

HTTPS (TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击窃听或操纵网络流量。只能允许通过 HTTPS（TLS）进行加密连接。为 OpenSearch 域启用 node-to-node加密可确保集群内部通信在传输过程中得到加密。

此配置可能会降低性能。在启用此选项之前，您应该了解并测试性能权衡。

### 修复
<a name="opensearch-3-remediation"></a>

要在 OpenSearch 域上启用 node-to-node加密，请参阅《*亚马逊 OpenSearch 服务开发者指南*》中的[启用 node-to-node加](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn)密。

## [Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误
<a name="opensearch-4"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、、 NIST.800-53.r5 AC-4 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::OpenSearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)

**计划类型：**已触发变更

**参数：**
+ `logtype = 'error'`（不可自定义）

此控件检查 OpenSearch 域是否配置为向日志发送错误 CloudWatch 日志。如果未为域启用错误记录功能， CloudWatch 则此控件将失败。

您应该为 OpenSearch 域启用错误日志，并将这些日志发送到 CloudWatch 日志以进行保留和响应。域错误日志可以帮助进行安全和访问审计，还可以帮助诊断可用性问题。

### 修复
<a name="opensearch-4-remediation"></a>

要启用日志发布，请参阅《*Amazon S OpenSearch ervice 开发者指南*》中的[启用日志发布（控制台）](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console)。

## [Opensearch.5] OpenSearch 域应启用审核日志
<a name="opensearch-5"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::OpenSearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)

**计划类型：**已触发变更

**参数：**
+ `cloudWatchLogsLogGroupArnList`（不可自定义）— Security Hub CSPM 不填充此参数。应为审核日志配置的 CloudWatch 日志组列表，以逗号分隔。

此控件检查 OpenSearch 域名是否启用了审核日志。如果 OpenSearch 域未启用审核日志，则此控件将失败。

审核日志是高度可定制的。它们允许您跟踪OpenSearch 集群上的用户活动，包括身份验证成功和失败、对身份验证的请求OpenSearch、索引更改以及传入的搜索查询。

### 修复
<a name="opensearch-5-remediation"></a>

有关启用审计日志的说明，请参阅《*Amazon S OpenSearch ervice 开发者指南*》中的[启用审计日志](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling)。

## [Opensearch.6] OpenSearch 域名应至少有三个数据节点
<a name="opensearch-6"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::OpenSearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 OpenSearch 域是否配置了至少三个数据节点，并且`zoneAwarenessEnabled`是`true`。如果 OpenSearch 域小于 3 或小`instanceCount`于 3，`zoneAwarenessEnabled`则此控制失败`false`。

要实现集群级别的高可用性和容错能力，一个 OpenSearch 域应至少有三个数据节点。部署具有至少三个数据节点的 OpenSearch 域可确保在节点出现故障时集群运行。

### 修复
<a name="opensearch-6-remediation"></a>

**修改 OpenSearch 域中数据节点的数量**

1. 登录 AWS 控制台并打开亚马逊 OpenSearch 服务控制台，网址为[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/)。

1. 在**我的域**名下，选择要编辑的域名，然后选择**编辑**。

1. 在**数据节点**下，将**节点数**设置为大于 `3` 的数字。如果您要部署到三个可用区，将该数字设置为三的倍数，以确保可用区间的分布均等。

1. 选择**提交**。

## [Opensearch.7] OpenSearch 域名应启用精细的访问控制
<a name="opensearch-7"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6

**类别：**保护 > 安全访问管理 > 敏感的 API 操作受限

**严重性：**高

**资源类型：**`AWS::OpenSearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 OpenSearch 域名是否启用了细粒度访问控制。如果未启用精细访问控制，则控制失败。细粒度的访问控制需要`advanced-security-options`在 OpenSearch 参数中启`update-domain-config`用。

精细的访问控制提供了更多方法来控制对您在 Ama OpenSearch zon Service 上的数据的访问权限。

### 修复
<a name="opensearch-7-remediation"></a>

*要启用精细访问控制，请参阅《亚马逊服务开发者指南》[中的 Amazon Service OpenSearch 中的精细访问控制](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html)。 OpenSearch *

## [Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密
<a name="opensearch-8"></a>

**相关要求：** NIST.800-53.r5 AC-17 (2)、、 NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 2 (3)、3、3 ( NIST.800-53.r5 SC-13)、( NIST.800-53.r5 SC-23)、 NIST.800-53.r5 SC-2 (4)、(1)、 NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::OpenSearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)

**计划类型：**已触发变更

**参数：**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10`（不可自定义）

此控制检查是否将 Amazon S OpenSearch ervice 域终端节点配置为使用最新的 TLS 安全策略。如果 OpenSearch 域终端节点未配置为使用最新的支持策略或 HTTPs 未启用，则控制失败。

HTTPS (TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。只能允许通过 HTTPS（TLS）进行加密连接。加密传输中数据可能会影响性能。您应该使用此功能测试应用程序，以了解性能概况和 TLS 的影响。与先前版本的 TLS 相比，TLS 1.2 提供了多项安全增强功能。

### 修复
<a name="opensearch-8-remediation"></a>

要启用 TLS 加密，请使用 [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API 操作。配置[DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)字段以指定其值`TLSSecurityPolicy`。有关更多信息，请参阅《*Amazon OpenSearch 服务开发者指南*》中的[Node-to-node 加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html)。

## [Opensearch.9] 应该给 OpenSearch 域名加标签
<a name="opensearch-9"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::OpenSearch::Domain`

**AWS Config 规则:**`tagged-opensearch-domain`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件会检查 Amazon S OpenSearch ervice 域名是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果该域没有任何标签键或未在参数 `requiredTagKeys` 中指定所有键，则此控件会失败。如果未提供 `requiredTagKeys` 参数，则此控件仅会检查是否存在标签键，如果该域未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="opensearch-9-remediation"></a>

要向 OpenSearch 服务域添加标签，请参阅《*亚马逊 OpenSearch 服务开发者指南*》中的[使用标签](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console)。

## [Opensearch.10] OpenSearch 域名应安装最新的软件更新
<a name="opensearch-10"></a>

**相关要求：**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2（2）、NIST.800-53.r5 SI-2（4）、NIST.800-53.r5 SI-2（5）、PCI DSS v4.0.1/6.3.3

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**中

**资源类型：**`AWS::OpenSearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)

**计划类型：**已触发变更

**参数：**无

此控件用于检查 Amazon S OpenSearch ervice 域是否安装了最新的软件更新。如果已有可用软件更新但没有为该域安装，则控制失败。

OpenSearch 服务软件更新提供适用于该环境的最新平台修复、更新和功能。继续 up-to-date安装补丁有助于维护域的安全性和可用性。如果没有对必需更新采取任何操作，将自动更新服务软件（通常在 2 周后）。我们建议在域流量较低的时段安排更新，以最大限度地减少服务中断。

### 修复
<a name="opensearch-10-remediation"></a>

要为 OpenSearch 域安装软件更新，请参阅《*Amazon OpenSearch 服务开发者指南*》中的[启动更新](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting)。

## [Opensearch.11] OpenSearch 域名应至少有三个专用的主节点
<a name="opensearch-11"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5， NIST.800-53.r5 SC-36，nist.800-53.r5 SI-13

**类别：**恢复 > 弹性 > 高可用性

**严重性：**低

**资源类型：**`AWS::OpenSearch::Domain`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 Amazon S OpenSearch ervice 域是否配置了至少三个专用主节点。如果域的专用主节点少于三个，则此控件将失败。

OpenSearch 服务使用专用的主节点来提高集群稳定性。专用主节点执行集群管理任务，但不保留数据也不响应数据上传请求。我们建议您使用带备用空间的多可用区，这会向每个生产 OpenSearch 域添加三个专用的主节点。

### 修复
<a name="opensearch-11-remediation"></a>

要更改 OpenSearch 域的主节点数量，请参阅《[亚马逊 OpenSearch 服务*开发者指南》中的创建和管理亚马逊 OpenSearch 服务*域名](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html)。

# Security Hub CSPM 控件适用于 AWS 私有 CA
<a name="pca-controls"></a>

这些 AWS Security Hub CSPM 控件评估 AWS 私有证书颁发机构 (AWS 私有 CA) 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构
<a name="pca-1"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**保护 > 安全网络配置

**严重性：**低

**资源类型：**`AWS::ACMPCA::CertificateAuthority`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)

**计划类型：**定期

**参数：**无

此控件检查根证书颁发机构 (CA) 是否 AWS 私有 CA 已禁用。如果启用了根 CA，则控制失败。

使用 AWS 私有 CA，您可以创建包含根 CA 和下属 CA 的 CA 层次结构 CAs。您应该尽量减少在日常任务中使用根 CA，尤其是在生产环境中。根 CA 只能用于颁发中间证书 CAs。这允许将根 CA 存储在远离危险的地方，而中间证书可以 CAs 执行签发最终实体证书的日常任务。

### 修复
<a name="pca-1-remediation"></a>

要禁用根 CA，请参阅《AWS 私有证书颁发机构 用户指南》**中的[更新 CA 状态](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps)。

## [PCA.2] 应标记 AWS 私有 CA 证书颁发机构
<a name="pca-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::ACMPCA::CertificateAuthority`

**AWS Config 规则：**`acmpca-certificate-authority-tagged`

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  无默认值  | 

此控件检查 AWS 私有 CA 证书颁发机构是否具有参数中定义的特定密钥的标签`requiredKeyTags`。如果证书颁发机构没有任何标签键或者未在参数 `requiredKeyTags` 中指定所有键，则此控件会失败。如果未提供参数 `requiredKeyTags`，则该控件仅检查是否存在标签键，如果证书颁发机构未使用任何键进行标记，则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标签最佳实践，请参阅《标签* AWS 资源和标签编辑器用户指南》中的最佳做法和*[策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修复
<a name="pca-2-remediation"></a>

要向 AWS 私有 CA 机构[添加标签，请参阅*AWS 私有证书颁发机构 用户指南*中的为私有 CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) 添加标签。

# 适用于 Amazon RDS 的 Security Hub CSPM 控件
<a name="rds-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估亚马逊关系数据库服务 (Amazon RDS) 和亚马逊 RDS 资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [RDS.1] RDS 快照应为私有
<a name="rds-1"></a>

**相关要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3（7）、（21）、（11）、（16）、（20）、（21）、（3） NIST.800-53.r5 AC-3、（4），(9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**严重

**资源类型：**`AWS::RDS::DBClusterSnapshot`、`AWS::RDS::DBSnapshot`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon RDS 快照是否公有。如果 RDS 快照是公开的，则控制失败。此控件评估 RDS 实例、Aurora 数据库实例、Neptune 数据库实例和 Amazon DocumentDB 集群。

RDS 快照用于备份 RDS 实例上在特定时间点的数据。它们可用于将 RDS 实例还原到之前的状态。

除非有意这样做，否则 RDS 快照不得为公有快照。如果您将未加密的手动快照作为公有快照进行共享，这会使所有 AWS 账户均可获得此快照。这可能会导致 RDS 实例意外的数据泄露。

请注意，如果将配置更改为允许公共访问，则该 AWS Config 规则可能在长达 12 小时内无法检测到更改。在 AWS Config 规则检测到更改之前，即使配置违反了规则，检查也会通过。

要了解有关共享数据库快照的更多信息，请参阅 *Amazon RDS 用户指南*中的[共享数据库快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html)。

### 修复
<a name="rds-1-remediation"></a>

要从 RDS 快照中删除公共访问权限，请参阅 *Amazon RDS 用户指南*中的[共享快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing)。对于**数据库快照可见性**，我们选择**私有**。

## [RDS.2] RDS 数据库实例应禁止公共访问，具体取决于配置 PubliclyAccessible
<a name="rds-2"></a>

**相关要求：**CIS AWS 基金会基准 v5.0.0/2.2.3、CIS 基金会基准 v3.0.0/2.3.3、、(21)、(11)、(16)、 NIST.800-53.r5 AC-4 (21)、(4)、 NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 AC-4、PCI DSS v3.2.1/1.2.1 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.4 DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、PCI DSS v4.0.1/1.4.4 AWS 

**类别：**保护 > 安全网络配置

**严重性：**严重

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)

**计划类型：**已触发变更

**参数：**无

该控制通过评估实例配置项中的 `PubliclyAccessible` 字段，以检查是否可以公开访问 Amazon RDS 实例。

Neptune 数据库实例和 Amazon DocumentDB 集群没有 `PubliclyAccessible` 标志，因此无法进行评估。但是，这种控件仍然可以为这些资源生成调查发现。您可以隐瞒这些调查发现。

RDS 实例配置中的 `PubliclyAccessible` 值指示是否可以公开访问数据库实例。如果使用 `PubliclyAccessible` 配置了数据库实例，则它是一个面向 Internet 的实例并具有可公开解析的 DNS 名称，该名称解析为一个公有 IP 地址。如果无法公开访问数据库实例，则它是一个内部实例并具有解析为私有 IP 地址的 DNS 名称。

除非您希望 RDS 实例可公开访问，否则不应将 RDS 实例配置为 `PubliclyAccessible` 值。这样做可能会给数据库实例带来不必要的流量。

### 修复
<a name="rds-2-remediation"></a>

要移除 RDS 数据库实例的公有访问权限，请参阅 *Amazon RDS 用户指南*中的[修改 Amazon RDS 数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)。对于**公有访问权限**，选择**否**。

## [RDS.3] RDS 数据库实例应启用静态加密
<a name="rds-3"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/2.2.1、CIS 基金会基准 v3.0.0/2.3.1、CIS AWS 基金会基准 v1.4.0/2.3.1、(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、(1)、 NIST.800-53.r5 CA-9 (1)、(10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI AWS -7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon RDS 数据库实例是否启用了存储加密。

此控件适用于 RDS 数据库实例。但是，它也可以生成 Aurora 数据库实例、Neptune 数据库实例和 Amazon DocumentDB 集群的调查发现。如果这些调查发现没有用，那么您可以隐瞒它们。

为了增加 RDS 数据库实例中敏感数据的安全性，您应将 RDS 数据库实例配置为静态加密。要静态加密 RDS DB 数据库实例和快照，请启用 RDS 数据库实例的加密选项。静态加密的数据包括数据库实例的底层存储、自动备份、只读副本和快照。

RDS 加密的数据库实例使用开放的标准 AES-256 加密算法，对托管 RDS 数据库实例的服务器上的数据进行加密。在加密数据后，Amazon RDS 将以透明方式处理访问的身份验证和数据的解密，并且对性能产生的影响最小。您无需修改数据库客户端应用程序来使用加密。

Amazon RDS 加密当前可用于所有数据库引擎和存储类型。Amazon RDS 加密适用于大多数数据库实例类。要了解不支持 Amazon RDS 加密的数据库实例类，请参阅 *Amazon RDS 用户指南*中的[加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)。

### 修复
<a name="rds-3-remediation"></a>

有关在 Amazon RDS 中加密数据库实例的信息，请参阅 *Amazon RDS 用户指南*中的[加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)。

## [RDS.4] RDS 集群快照和数据库快照应进行静态加密
<a name="rds-4"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::RDS::DBClusterSnapshot`、` AWS::RDS::DBSnapshot`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 RDS 数据库快照是否已加密。如果 RDS 数据库快照未加密，则控制失败。

此控件适用于 RDS 数据库实例。但是，它也可以生成 Aurora 数据库实例、Neptune 数据库实例和 Amazon DocumentDB 集群的快照的调查发现。如果这些调查发现没有用，那么您可以隐瞒它们。

对静态数据进行加密可降低未经身份验证的用户访问存储在磁盘上的数据的风险。为了增加安全性，RDS 快照中的数据应进行静态加密。

### 修复
<a name="rds-4-remediation"></a>

要加密 RDS 快照，请参阅 *Amazon RDS 用户指南*中的[加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)。加密 RDS 数据库实例时，加密的数据包括实例的底层存储、其自动备份、只读副本和快照。

您只能在创建 RDS 数据库实例时而不是创建该数据库实例之后加密该数据库实例。不过，由于您可以加密未加密快照的副本，因此，您可以高效地为未加密的数据库实例添加加密。也就是说，您可以创建数据库实例快照，然后创建该快照的加密副本。然后，您可以从加密快照还原数据库实例，从而获得原始数据库实例的加密副本。

## [RDS.5] RDS 数据库实例应配置多个可用区
<a name="rds-5"></a>

**相关要求：**CIS AWS 基金会基准 v5.0.0/2.2.4、 NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否为 RDS 数据库实例启用了高可用性。如果 RDS 数据库实例未配置多个可用区，则控制失败 (AZs)。此控件不适用于属于多可用区数据库集群部署的 RDS 数据库实例。

配置 Amazon RDS 数据库实例 AZs 有助于确保存储数据的可用性。多可用区部署允许在可用区可用性出现问题和定期 RDS 维护期间进行自动失效转移。

### 修复
<a name="rds-5-remediation"></a>

要将数据库实例部署为多个实例 AZs，请在 [A *mazon RDS 用户指南*中将数据库实例修改为多可用区数据库实例部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating)。

## [RDS.6] 应为 RDS 数据库实例配置增强监控
<a name="rds-6"></a>

**相关要求：** NIST.800-53.r5 CA-7，nist.800-53.r5 SI-2

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `monitoringInterval`  |  监控指标收集间隔之间的秒数  |  枚举  |  `1`, `5`, `10`, `15`, `30`, `60`  |  无默认值  | 

该控件检查是否为 Amazon Relational Database Service（Amazon RDS）数据库实例启用了增强监控。如果没有为实例启用增强监控，则控制失败。如果您为 `monitoringInterval` 参数提供自定义值，则仅当在按指定间隔收集实例的增强监控指标时，控制才会通过。

在 Amazon RDS 中，增强型监控可以更快地响应底层基础设施的性能变化。这些性能变化可能会导致数据可用性不足。增强监控提供 RDS 数据库实例运行的操作系统的实时指标。实例上安装了代理。与从虚拟机管理程序层相比，代理可以更准确地获取指标。

若您想了解数据库实例上不同进程或线程对 CPU 的使用差异，增强监测指标非常有用。有关更多信息，请参阅*《Amazon RDS 用户指南》*中的[增强监控](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)。

### 修复
<a name="rds-6-remediation"></a>

有关为数据库实例启用增强监控的详细说明，请参阅 *Amazon RDS 用户指南*中的[设置和启用增强监控](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling)。

## [RDS.7] RDS 集群应启用删除保护
<a name="rds-7"></a>

**相关要求：** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)

**类别：**保护 > 数据保护 > 数据删除保护

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 RDS 数据库集群是否已启用删除保护。如果 RDS 数据库集群未启用删除保护，则控制失败。

此控件适用于 RDS 数据库实例。但是，它也可以生成 Aurora 数据库实例、Neptune 数据库实例和 Amazon DocumentDB 集群的调查发现。如果这些调查发现没有用，那么您可以隐瞒它们。

启用集群删除保护是针对意外数据库删除或未经授权实体删除的额外保护层。

启用删除保护后，RDS 集群将无法被删除。在删除请求成功之前，必须禁用删除保护。

### 修复
<a name="rds-7-remediation"></a>

要为 RDS 数据库集群启用删除保护，请参阅 *Amazon RDS 用户指南*中的[使用控制台、CLI 和 API 修改数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster)。对于**删除保护**，选择**启用删除保护**。

## [RDS.8] RDS 数据库实例应启用删除保护
<a name="rds-8"></a>

**相关要求：** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-13 (5)

**类别：**保护 > 数据保护 > 数据删除保护

**严重性：**低

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)

**计划类型：**已触发变更

**参数：**
+ `databaseEngines`：`mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web`（不可自定义）

此控件会检查使用所列数据库引擎之一的 RDS 数据库实例是否启用了删除保护。如果 RDS 数据库实例未启用删除保护，则控制失败。

启用实例删除保护是针对意外数据库删除或未经授权实体删除的额外保护层。

启用删除保护后，RDS 数据库实例无法删除。在删除请求成功之前，必须禁用删除保护。

### 修复
<a name="rds-8-remediation"></a>

要对 RDS 数据库实例启用删除保护，请参阅 *Amazon RDS 用户指南*中的[修改 Amazon RDS 数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)。对于**删除保护**，选择**启用删除保护**。

## [RDS.9] RDS 数据库实例应将日志发布到日志 CloudWatch
<a name="rds-9"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (10)、 NIST.800-53.r5 AC-6 (9)、 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.2.1

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon RDS 数据库实例是否配置为将以下日志发布到 Amazon L CloudWatch ogs。如果实例未配置为将以下日志发布到 CloudWatch 日志，则控制失败：
+ Oracle：警报、审计、跟踪、侦听器
+ PostgreSQL：Postgresql、升级
+ MySQL：审计、错误、常规、 SlowQuery
+ MariaDB：审计、错误、常规、 SlowQuery
+ SQL Server：错误、代理
+ Aurora：审计、错误、常规、 SlowQuery
+ Aurora-MySQL：审计、错误、常规、 SlowQuery
+ Aurora-PostgreSQL：Postgresql

RDS 数据库应启用相关日志。数据库日志记录提供向 RDS 发出的请求的详细记录。数据库日志可以协助安全和访问审计，并可以帮助诊断可用性问题。

### 修复
<a name="rds-9-remediation"></a>

有关将 RDS 数据库日志发布到 CloudWatch 日志的信息，请参阅 *Amazon RDS 用户指南*中的[指定要发布到 CloudWatch 日志](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure)的日志。

## [RDS.10] 应为 RDS 实例配置 IAM 身份验证
<a name="rds-10"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-6

**类别：**保护 > 安全访问管理 > 无密码身份验证

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 RDS 数据库实例是否启用了 IAM 数据库身份验证。如果未为 RDS 数据库实例配置 IAM 身份验证，则控制失败。此控件仅评估具有以下引擎类型的 RDS 实例：`mysql`、`postgres`、`aurora`、`aurora-mysql`、`aurora-postgresql` 和 `mariadb`。RDS 实例还必须处于以下状态之一才能生成调查发现：`available`、`backing-up`、`storage-optimization` 或 `storage-full`。

IAM 数据库身份验证允许使用身份验证令牌而不是密码对数据库实例进行身份验证。进出数据库的网络流量使用 SSL 加密。有关更多信息，请参阅《Amazon Aurora 用户指南》**中的 [IAM 数据库身份验证](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html)。

### 修复
<a name="rds-10-remediation"></a>

要在 RDS 数据库实例上激活 IAM 数据库身份验证，请参阅 *Amazon RDS 用户指南*中的[启用和禁用 IAM 数据库身份验证](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html)。

## [RDS.11] RDS 实例应启用自动备份
<a name="rds-11"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-12、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 启用备份 

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `backupRetentionMinimum`  |  最小备份保留期（以天为单位）  |  整数  |  `7` 到 `35`  |  `7`  | 
|  `checkReadReplicas`  |  检查 RDS 数据库实例是否已针对只读副本启用备份。  |  布尔值  |  不可自定义  |  `false`  | 

此控件检查 Amazon Relational Database Service 实例是否启用了自动备份以及备份保留期是否大于或等于指定时间范围。只读副本不在评估范围内。如果没有为实例启用备份或保留期小于指定时间范围，则控制失败。除非您为备份保留期提供自定义参数值，否则 Security Hub CSPM 将使用默认值 7 天。

备份可帮助您更快地从安全事件中恢复并增强系统的故障恢复能力。Amazon RDS 使您能够配置每日完整实例卷快照。有关 Amazon RDS 自动备份的更多信息，请参阅《Amazon RDS 用户指南》**中的[处理备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)。

### 修复
<a name="rds-11-remediation"></a>

要在 RDS 数据库实例上启用自动备份，请参阅 *Amazon RDS 用户指南*中的[启用自动备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling)。

## [RDS.12] 应为 RDS 集群配置 IAM 身份验证
<a name="rds-12"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-6

**类别：**保护 > 安全访问管理 > 无密码身份验证

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon RDS 数据库集群是否启用了 IAM 数据库身份验证。

IAM 数据库身份验证允许对数据库实例进行免密码身份验证。身份验证使用身份验证令牌。进出数据库的网络流量使用 SSL 加密。有关更多信息，请参阅《Amazon Aurora 用户指南》**中的 [IAM 数据库身份验证](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html)。

### 修复
<a name="rds-12-remediation"></a>

要为数据库集群启用 IAM 身份验证，请参阅 *Amazon Aurora 用户指南*中的[启用和禁用 IAM 数据库身份验证](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html)。

## [RDS.13] 应启用 RDS 自动次要版本升级
<a name="rds-13"></a>

**相关要求：**CIS AWS 基金会基准 v5.0.0/2.2、CIS 基金会基准 v3.0.0/2.3.2、nist.800-53.r5 SI AWS -2、nist.800-53.r5 SI-2 (2)、nist.800-53.r5 SI-2 (4)、nist.800-53.r5 SI-2 (5)、PCI DSS v4.0.1/6.3.3

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**高

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否为 RDS 数据库实例启用了自动次要版本升级。

自动次要版本升级会定期将数据库更新到新近的数据库引擎版本。但是，升级可能并不始终包括最新的数据库引擎版本。如果您需要在特定时间将数据库保持在特定版本上，我们建议您根据所需的时间表，手动升级到您需要的数据库版本。在出现严重安全问题或版本到 end-of-support期时，即使您尚未启用**自动次要版本升级选项，Amazon RDS 也可能会应用次要版本升级**。有关更多信息，请参阅特定数据库引擎的 Amazon RDS 升级文档：
+ [MariaDB 版 RDS 的自动次要版本升级](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [适用于 MySQL 的 RDS 的自动次要版本升级](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [适用于 PostgreSQL 的 RDS 的自动次要版本升级](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [亚马逊 RDS 版本上的 Db2](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [甲骨文次要版本升级](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [微软 SQL Server 数据库引擎的升级](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)

### 修复
<a name="rds-13-remediation"></a>

要为现有数据库实例启用自动次要版本升级，请参阅 *Amazon RDS 用户指南*中的[修改 Amazon RDS 数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)。对于**自动次要版本升级**，请选择**是**。

## [RDS.14] Amazon Aurora 集群应启用回溯功能
<a name="rds-14"></a>

**相关要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6（1）、NIST.800-53.r5 CP-6（2）、NIST.800-53.r5 CP-9、NIST.800-53.r5 SI-13（5）。

**类别：**恢复 > 弹性 > 启用备份 

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `BacktrackWindowInHours`  |  回溯 Aurora MySQL 集群所需的小时数  |  双精度  |  `0.1` 到 `72`  |  无默认值  | 

此控件检查 Amazon Aurora 集群是否启用了回溯。如果集群未启用回溯，则控制失败。如果您为 `BacktrackWindowInHours` 参数提供自定义值，则仅当集群在指定的时间长度内被回溯时，控制才会通过。

备份可以帮助您更快地从安全事件中恢复。它们还可以增强系统的弹性。Aurora 回溯可将数据库还原到某个时间点的时间。这样做不需要数据库恢复。

### 修复
<a name="rds-14-remediation"></a>

要启用 Aurora 回溯，请参阅《Amazon Aurora 用户指南》**中的[配置回溯](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring)。

请注意，您无法在现有集群上启用回溯功能。相反，您可创建启用回溯功能的克隆。有关 Aurora 回溯限制的更多信息，请参阅[回溯概述](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)中的限制列表。

## [RDS.15] 应为多个可用区配置 RDS 数据库集群
<a name="rds-15"></a>

**相关要求：**CIS AWS 基金会基准 v5.0.0/2.2.4、 NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否为 RDS 数据库集群启用了高可用性。如果 RDS 数据库集群未部署在多个可用区中，则控制失败 (AZs)。

RDS 数据库集群应配置为多个 AZs ，以确保存储数据的可用性。部署到多个可用区 AZs 允许在出现可用区可用性问题和定期 RDS 维护事件期间进行自动故障转移。

### 修复
<a name="rds-15-remediation"></a>

要在多个数据库集群中部署 AZs，请在 [A *mazon RDS 用户指南*中将数据库实例修改为多可用区数据库实例部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating)。

Aurora 全球数据库的修复步骤有所不同。要为 Aurora 全球数据库配置多个可用区，请选择数据库集群。然后，选择 “**操作**” 和 “**添加阅读器**”，并指定多个 AZs。有关更多信息，请参阅 *Amazon Aurora 用户指南*中的[将 Aurora 副本添加到数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html)。

## [RDS.16] 应将 Aurora 数据库集群配置为将标签复制到数据库快照
<a name="rds-16"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)

**类别：**识别 > 清单

**严重性：**低

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则:**`rds-cluster-copy-tags-to-snapshots-enabled`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件检查是否已配置 Amazon Aurora 数据库集群，以便在创建快照时自动将标签复制到数据库集群的快照。如果未将 Aurora DB 集群配置为在创建集群的快照时自动将标签复制到快照，则该控件会失败。

IT 资产的识别和清点是治理和安全的一个重要方面。您需要了解所有 Amazon Aurora 数据库集群的可见性，以便评测其安全状况并对潜在的薄弱环节采取行动。Aurora 数据库快照应该与其父数据库集群具有相同的标签。在 Amazon Aurora 中，您可以配置数据库集群，使其自动将集群的所有标签复制到集群的快照中。启用此设置可确保数据库快照继承与其父数据库集群相同的标签。

### 修复
<a name="rds-16-remediation"></a>

有关配置 Amazon Aurora 数据库集群以自动将标签复制到数据库快照的信息，请参阅《Amazon Aurora 用户指南》**中的[修改 Amazon Aurora 数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html)。

## [RDS.17] 应将 RDS 数据库实例配置为将标签复制到快照
<a name="rds-17"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)

**类别：**识别 > 清单

**严重性：**低

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则:**`rds-instance-copy-tags-to-snapshots-enabled`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控制检查 RDS 数据库实例是否配置为在创建快照时将所有标签复制到快照。

IT 资产的识别和清点是治理和安全的一个重要方面。您需要了解所有 RDS 数据库实例，以便评测其安全状况并对潜在的薄弱环节采取行动。快照的标记方式应与其父 RDS 数据库实例相同。启用此设置可确保快照继承其父级数据库实例的标签。

### 修复
<a name="rds-17-remediation"></a>

要自动将标签复制到 RDS 数据库实例的快照，请参阅 *Amazon RDS 用户指南*中的[修改 Amazon RDS 数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)。选择**将标签复制到快照**。

## [RDS.18] RDS 实例应部署在 VPC 中
<a name="rds-18"></a>

**类别：**保护 > 安全网络配置 > VPC 内的资源 

**严重性：**高

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则:**`rds-deployed-in-vpc`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件检查是否在 EC2-VPC 上部署了 Amazon RDS 实例。

VPC 提供了许多网络控制来保护对 RDS 资源的访问。这些控制包括 VPC 端点、网络 ACL 和安全组。要利用这些控制，我们建议您在 EC2-VPC 上创建 RDS 实例。

### 修复
<a name="rds-18-remediation"></a>

有关将 RDS 实例移至 VPC 的说明，请参阅 *Amazon RDS 用户指南*中的[更新数据库实例的 VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html)。

## [RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅
<a name="rds-19"></a>

**相关要求：** NIST.800-53.r5 CA-7，nist.800-53.r5 SI-2

**分类：**检测 > 检测服务 > 应用程序监控

**严重性：**低

**资源类型：**`AWS::RDS::EventSubscription`

**AWS Config 规则:**`rds-cluster-event-notifications-configured`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件检查数据库集群的现有 Amazon RDS 事件订阅是否为以下源类型和事件类别键值对启用了通知：

```
DBCluster: ["maintenance","failure"]
```

如果账户中没有现有活动订阅，则控件通过。

RDS 事件通知使用 Amazon SNS 来通知 RDS 资源的可用性或配置的变化。这些通知允许快速响应。有关 RDS 事件通知的更多信息，请参阅 *Amazon RDS 用户指南*中的[使用 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html)。

### 修复
<a name="rds-19-remediation"></a>

要订阅 RDS 集群事件通知，请参阅 *Amazon RDS 用户指南*中的[订阅 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html)。使用以下值：


| Field | Value | 
| --- | --- | 
|  Source type（源类型）  |  集群  | 
|  要包括的集群  |  所有集群  | 
|  要包括的事件类别  |  选择特定事件类别或所有事件类别  | 

## [RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅
<a name="rds-20"></a>

**相关要求：** NIST.800-53.r5 CA-7，nist.800-53.r5 SI-2，PCI DSS v4.0.1/11.5.2

**分类：**检测 > 检测服务 > 应用程序监控

**严重性：**低

**资源类型：**`AWS::RDS::EventSubscription`

**AWS Config 规则:**`rds-instance-event-notifications-configured`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件检查数据库实例的现有 Amazon RDS 事件订阅是否为以下源类型和事件类别键值对启用了通知：

```
DBInstance: ["maintenance","configuration change","failure"]
```

如果账户中没有现有活动订阅，则控件通过。

RDS 事件通知使用 Amazon SNS 来通知 RDS 资源的可用性或配置的变化。这些通知允许快速响应。有关 RDS 事件通知的更多信息，请参阅 *Amazon RDS 用户指南*中的[使用 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html)。

### 修复
<a name="rds-20-remediation"></a>

要订阅 RDS 实例事件通知，请参阅 *Amazon RDS 用户指南*中的[订阅 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html)。使用以下值：


| Field | Value | 
| --- | --- | 
|  Source type（源类型）  |  实例  | 
|  要包括的实例  |  所有实例  | 
|  要包括的事件类别  |  选择特定事件类别或所有事件类别  | 

## [RDS.21] 应为关键数据库参数组事件配置 RDS 事件通知订阅
<a name="rds-21"></a>

**相关要求：** NIST.800-53.r5 CA-7，nist.800-53.r5 SI-2，PCI DSS v4.0.1/11.5.2

**分类：**检测 > 检测服务 > 应用程序监控

**严重性：**低

**资源类型：**`AWS::RDS::EventSubscription`

**AWS Config 规则:**`rds-pg-event-notifications-configured`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件检查是否存在针对以下源类型、事件类别键值对启用通知的 Amazon RDS 事件订阅。如果账户中没有现有活动订阅，则控件通过。

```
DBParameterGroup: ["configuration change"]
```

RDS 事件通知使用 Amazon SNS 来通知 RDS 资源的可用性或配置的变化。这些通知允许快速响应。有关 RDS 事件通知的更多信息，请参阅 *Amazon RDS 用户指南*中的[使用 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html)。

### 修复
<a name="rds-21-remediation"></a>

要订阅 RDS 数据库参数组事件通知，请参阅 *Amazon RDS 用户指南*中的[订阅 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html)。使用以下值：


| Field | Value | 
| --- | --- | 
|  Source type（源类型）  |  参数组  | 
|  要包括的参数组  |  所有参数组  | 
|  要包括的事件类别  |  选择特定事件类别或所有事件类别  | 

## [RDS.22] 应为关键数据库安全组事件配置 RDS 事件通知订阅
<a name="rds-22"></a>

**相关要求：** NIST.800-53.r5 CA-7，nist.800-53.r5 SI-2，PCI DSS v4.0.1/11.5.2

**分类：**检测 > 检测服务 > 应用程序监控

**严重性：**低

**资源类型：**`AWS::RDS::EventSubscription`

**AWS Config 规则:**`rds-sg-event-notifications-configured`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件检查是否存在针对以下源类型、事件类别键值对启用通知的 Amazon RDS 事件订阅。如果账户中没有现有活动订阅，则控件通过。

```
DBSecurityGroup: ["configuration change","failure"]
```

RDS 事件通知使用 Amazon SNS 来通知 RDS 资源的可用性或配置的变化。这些通知允许快速响应。有关 RDS 事件通知的更多信息，请参阅 *Amazon RDS 用户指南*中的[使用 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html)。

### 修复
<a name="rds-22-remediation"></a>

要订阅 RDS 实例事件通知，请参阅 *Amazon RDS 用户指南*中的[订阅 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html)。使用以下值：


| Field | Value | 
| --- | --- | 
|  Source type（源类型）  |  安全组  | 
|  要包括的安全组  |  所有安全组  | 
|  要包括的事件类别  |  选择特定事件类别或所有事件类别  | 

## [RDS.23] RDS 实例不应使用数据库引擎的默认端口
<a name="rds-23"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (5)

**类别：**保护 > 安全网络配置

**严重性：**低

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则:**`rds-no-default-ports`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件检查 RDS 集群或实例是否使用数据库引擎默认端口以外的端口。如果 RDS 集群或实例使用默认端口，则控制失败。此控件不适用于属于集群的 RDS 实例。

如果您使用已知端口部署 RDS 集群或实例，攻击者可以猜测有关集群或实例的信息。攻击者可以将此信息与其他信息结合使用来连接到 RDS 集群或实例，或者获取有关应用程序的其他信息。

变更端口时，还必须更新用于连接到旧端口的现有连接字符串。您还应检查数据库实例的安全组，确保其包含允许在新端口上进行连接的入口规则。

### 修复
<a name="rds-23-remediation"></a>

要修改现有 RDS 数据库实例的默认端口，请参阅 *Amazon RDS 用户指南*中的[修改 Amazon RDS 数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)。要修改现有 RDS 数据库集群的默认端口，请参阅 *Amazon Aurora 用户指南*中的[使用控制台、CLI 和 API 修改数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster)。对于**数据库端口**，将端口值变更为非默认值。

## [RDS.24] RDS 数据库集群应使用自定义管理员用户名
<a name="rds-24"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、PCI DSS v4.0.1/2.2.2

**类别：**识别 > 资源配置

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**`[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon RDS 数据库集群是否已将管理员用户名从其默认值变更为其他值。该控件不适用于 neptune（Neptune 数据库）或 docdb（DocumentDB）类型的引擎。如果管理员用户名设置为默认值，则此规则将失败。

创建 Amazon RDS 数据库时，应将默认管理员用户名变更为唯一值。默认用户名是众所周知的，应在创建 RDS 数据库期间进行变更。变更默认用户名可以降低意外访问的风险。

### 修复
<a name="rds-24-remediation"></a>

要变更与 Amazon RDS 数据库集群关联的管理员用户名，请在创建数据库时[创建一个新的 RDS 数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html)并变更默认管理员用户名。

## [RDS.25] RDS 数据库实例应使用自定义管理员用户名
<a name="rds-25"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、PCI DSS v4.0.1/2.2.2

**类别：**识别 > 资源配置

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**`[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`

**计划类型：**已触发变更

**参数：**无

此控件检查您是否变更了 Amazon Relational Database Service（Amazon RDS）数据库实例的管理用户名，而不是默认值。如果将管理用户名设置为默认值，则控制失败。该控件不适用于 neptune（Neptune 数据库）或 docdb（DocumentDB）类型的引擎，也不适用于属于集群一部分的 RDS 实例。

Amazon RDS 数据库上的默认管理用户名是众所周知的。创建 Amazon RDS 数据库时，应将默认管理用户名变更为唯一值，以降低意外访问的风险。

### 修复
<a name="rds-25-remediation"></a>

要变更与 RDS 数据库实例关联的管理用户名，[请先创建一个新的 RDS 数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html)。在创建数据库时变更默认的管理用户名。

## [RDS.26] RDS 数据库实例应受备份计划保护
<a name="rds-26"></a>

**类别：**恢复 > 弹性 > 启用备份

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-12、nist.800-53.r5 SI-13 (5)

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html)**``

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  如果参数设置为 true 且资源使用 AWS Backup 文件库锁定，则控件会生成`PASSED`结果。  |  布尔值  |  `true` 或者 `false`  |  无默认值  | 

此控件用于评估备份计划是否涵盖 Amazon RDS 数据库实例。如果备份计划未涵盖 RDS 数据库实例，则控制失败。如果将`backupVaultLockCheck`参数设置为`true`，则仅当实例备份到 AWS Backup 锁定的文件库中时，控制才会通过。

**注意**  
此控件不评估 Neptune 和 DocumentDB 实例。它也不会评估属于集群成员的 RDS 数据库实例。

AWS Backup 是一项完全托管的备份服务，可集中和自动备份数据。 AWS 服务使用 AWS Backup，您可以创建名为备份计划的备份策略。您可以使用这些计划来定义备份要求，例如数据的备份频率以及这些备份的保留时间。将 RDS 数据库实例纳入备份计划可帮助您保护数据免遭意外丢失或删除。

### 修复
<a name="rds-26-remediation"></a>

要将 RDS 数据库实例添加到 AWS Backup 备份计划，请参阅*AWS Backup 开发人员指南*中的[为备份计划分配资源](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)。

## [RDS.27] 应对 RDS 数据库集群进行静态加密
<a name="rds-27"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html)**``

**计划类型：**已触发变更

**参数：**无

此控件检查 RDS 数据库集群是否进行静态加密。如果 RDS 数据库集群未进行静态加密，则控制失败。

静态数据指的是存储在持久、非易失性存储介质中的任何数据，无论存储时长如何。加密可帮助您保护此类数据的机密性，降低未经授权的用户访问这些数据的风险。加密 RDS 数据库集群可保护数据和元数据免遭未经授权的访问。它还满足了生产文件系统 data-at-rest加密的合规性要求。

### 修复
<a name="rds-27-remediation"></a>

您可以在创建 RDS 数据库集群时启用静态加密。创建集群后，您将无法变更加密设置。有关更多信息，请参阅 *Amazon Aurora 用户指南*中的[加密 Amazon Aurora 数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling)。

## [RDS.28] 应标记 RDS 数据库集群
<a name="rds-28"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则:**`tagged-rds-dbcluster`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon RDS 数据库集群是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果数据库集群没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果数据库集群未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="rds-28-remediation"></a>

要向 RDS 数据库集群添加标签，请参阅《Amazon RDS 用户指南》**中的[为 Amazon RDS 资源添加标签](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。

## [RDS.29] 应标记 RDS 数据库集群快照
<a name="rds-29"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::RDS::DBClusterSnapshot`

**AWS Config 规则:**`tagged-rds-dbclustersnapshot`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon RDS 数据库集群快照是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果数据库集群快照没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果数据库集群快照未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="rds-29-remediation"></a>

要向 RDS 数据库集群快照添加标签，请参阅《Amazon RDS 用户指南》**中的[为 Amazon RDS 资源添加标签](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。

## [RDS.30] 应标记 RDS 数据库实例
<a name="rds-30"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则:**`tagged-rds-dbinstance`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon RDS 数据库实例是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果数据库实例没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果数据库实例未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="rds-30-remediation"></a>

要向 RDS 数据库实例添加标签，请参阅《Amazon RDS 用户指南》**中的[为 Amazon RDS 资源添加标签](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。

## [RDS.31] 应标记 RDS 数据库安全组
<a name="rds-31"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::RDS::DBSecurityGroup`

**AWS Config 规则:**`tagged-rds-dbsecuritygroup`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon RDS 数据库安全组是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果数据库安全组没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果数据库安全组未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="rds-31-remediation"></a>

要向 RDS 数据库安全组添加标签，请参阅《Amazon RDS 用户指南》**中的[为 Amazon RDS 资源添加标签](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。

## [RDS.32] 应标记 RDS 数据库快照
<a name="rds-32"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::RDS::DBSnapshot`

**AWS Config 规则:**`tagged-rds-dbsnapshot`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon RDS 数据库快照是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果数据库快照没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果数据库快照未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="rds-32-remediation"></a>

要向 RDS 数据库快照添加标签，请参阅《Amazon RDS 用户指南》**中的[为 Amazon RDS 资源添加标签](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。

## [RDS.33] 应标记 RDS 数据库子网组
<a name="rds-33"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::RDS::DBSubnetGroup`

**AWS Config 规则:**`tagged-rds-dbsubnetgroups`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon RDS 数据库子网组是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果数据库子网组没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果数据库子网组未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="rds-33-remediation"></a>

要向 RDS 数据库子网组添加标签，请参阅《Amazon RDS 用户指南》**中的[为 Amazon RDS 资源添加标签](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。

## [RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch
<a name="rds-34"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html)**``

**计划类型：**已触发变更

**参数：**无

此控件检查是否将 Amazon Aurora MySQL 数据库集群配置为向亚马逊日志发布审核 CloudWatch 日志。如果集群未配置为向日志发布审核日志，则控制失败。 CloudWatch 该控件不会为 Aurora Serverless v1 数据库集群生成调查发现。

审核日志记录捕获数据库活动的记录，包括登录尝试、数据修改、架构变更和其他可以出于安全性和合规性目的进行审计的事件。当您配置 Aurora MySQL 数据库集群以将审计日志发布到 Amazon CloudWatch 日志中的日志组时，您可以对日志数据进行实时分析。 CloudWatch 日志将日志保留在高度耐用的存储空间中。您还可以在中创建警报和查看指标 CloudWatch。

**注意**  
将审计日志发布到 CloudWatch 日志的另一种方法是启用高级审计，并将集群级别的数据库参数`server_audit_logs_upload`设置为。`1``server_audit_logs_upload parameter` 的默认值为 `0`。但是，我们建议您改用以下补救说明来传递此控件。

### 修复
<a name="rds-34-remediation"></a>

要将 Aurora MySQL 数据库集群审计日志发布到 CloudWatch 日志，请参阅[亚马逊 Aurora 用户指南中的将 Amazon Aurora MySQL CloudWatch 日志发布到](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html)*亚马逊*日志。

## [RDS.35] RDS 数据库集群应启用自动次要版本升级
<a name="rds-35"></a>

**相关要求：**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2（2）、NIST.800-53.r5 SI-2（4）、NIST.800-53.r5 SI-2（5）、PCI DSS v4.0.1/6.3.3

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html)**``

**计划类型：**已触发变更

**参数：**无

此控件可检查是否为 Amazon RDS Multi-AZ 数据库集群启用了次要版本自动升级。如果未为多可用区数据库集群启用次要版本自动升级，则此控件将失败。

RDS 提供次要版本自动升级，这样您就可以让多可用区数据库集群保持最新状态。次要版本可以引入新的软件功能、错误修复、安全补丁和性能改进。通过在 RDS 数据库集群上启用自动次要版本升级，当有新版本可用时，集群以及集群中的实例将收到次要版本的自动更新。更新会在维护时段自动应用。

### 修复
<a name="rds-35-remediation"></a>

要在多可用区数据库集群上启用次要版本自动升级，请参阅《Amazon RDS 用户指南》**中的[修改多可用区数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html)。

## [RDS.36] 适用于 PostgreSQL 数据库实例的 RDS 应将日志发布到日志 CloudWatch
<a name="rds-36"></a>

**相关要求：**PCI DSS v4.0.1/10.4.2

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  要发布到 Logs 的日志类型列表（以逗号分隔） CloudWatch   |  StringList  |  不可自定义  |  `postgresql`  | 

此控件检查是否将 Amazon RDS for PostgreSQL 数据库实例配置为将日志发布到亚马逊日志。 CloudWatch 如果 PostgreSQL 数据库实例未配置为将参数中`logTypes`提及的日志类型发布到日志，则控制失败。 CloudWatch 

数据库日志记录提供向 RDS 实例发出的请求的详细记录。PostgreSQL 会生成事件日志，其中包含对管理员有用的信息。将这些日志发布到 CloudWatch 日志可以集中管理日志，并帮助您对日志数据进行实时分析。 CloudWatch 日志将日志保留在高度耐用的存储空间中。您还可以在中创建警报和查看指标CloudWatch。

### 修复
<a name="rds-36-remediation"></a>

*要将 PostgreSQL 数据库实例日志发布 CloudWatch 到日志，请参阅亚马逊 RDS 用户指南中的将 [PostgreSQL 日志发布到 CloudWatch 亚马逊](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs)日志。*

## [RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch
<a name="rds-37"></a>

**相关要求：**PCI DSS v4.0.1/10.4.2

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon Aurora PostgreSQL 数据库集群是否已配置为向亚马逊日志发布日志。 CloudWatch 如果 Aurora PostgreSQL 数据库集群未配置为将 PostgreSQL 日志发布到日志，则控制失败。 CloudWatch 

数据库日志记录提供向 RDS 集群发出的请求的详细记录。Aurora PostgreSQL 会生成事件日志，其中包含对管理员有用的信息。将这些日志发布到 CloudWatch 日志可以集中管理日志，并帮助您对日志数据进行实时分析。 CloudWatch 日志将日志保留在高度耐用的存储空间中。您还可以在中创建警报和查看指标 CloudWatch。

### 修复
<a name="rds-37-remediation"></a>

*要将 Aurora PostgreSQL 数据库集群日志发布 CloudWatch 到日志，请参阅亚马逊 RDS 用户指南中的将 [Aurora PostgreSQL 日志发布到 CloudWatch 亚马逊](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html)日志。*

## [RDS.38] RDS for PostgreSQL 数据库实例应在传输过程中加密
<a name="rds-38"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)

**计划类型：**定期

**参数：**无

此控件检查与 Amazon RDS for PostgreSQL 数据库 (DB) 实例的连接在传输过程中是否经过加密。如果与实例关联的参数组的 `rds.force_ssl` 参数设置为 `0`（关闭），则此控件会失败。此控件不评估属于数据库集群的 RDS 数据库实例。

传输中数据是指从一个位置移动到另一个位置的数据，例如在集群中的节点之间或在集群和应用程序之间。数据可能通过互联网或在私有网络内移动。对传输中数据进行加密可降低未经授权的用户侦听网络流量的风险。

### 修复
<a name="rds-38-remediation"></a>

要要求与 RDS for PostgreSQL 数据库实例的所有连接都使用 SSL，请参阅《Amazon RDS 用户指南》**中的[将 SSL 与 PostgreSQL 数据库实例结合使用](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html)。

## [RDS.39] RDS for MySQL 数据库实例应在传输过程中加密
<a name="rds-39"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)

**计划类型：**定期

**参数：**无

此控件检查与 Amazon RDS for MySQL 数据库 (DB) 实例的连接在传输过程中是否经过加密。如果与实例关联的参数组的 `rds.require_secure_transport` 参数设置为 `0`（关闭），则此控件会失败。此控件不评估属于数据库集群的 RDS 数据库实例。

传输中数据是指从一个位置移动到另一个位置的数据，例如在集群中的节点之间或在集群和应用程序之间。数据可能通过互联网或在私有网络内移动。对传输中数据进行加密可降低未经授权的用户侦听网络流量的风险。

### 修复
<a name="rds-39-remediation"></a>

要要求与 RDS for MySQL 数据库实例的所有连接都使用 SSL，请参阅《Amazon RDS 用户指南》**中的 [Amazon RDS 上 MySQL 数据库实例的 SSL/TLS 支持](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html)。

## [RDS.40] 适用于 SQL Server 数据库实例的 RDS 应将日志发布到日志 CloudWatch
<a name="rds-40"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、、 NIST.800-53.r5 AC-4 (10)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  RDS for SQL Server 数据库实例应配置为发布到 CloudWatch 日志的日志类型列表。如果数据库实例未配置为发布列表中指定的日志类型，则此控制会失败。  |  EnumList （最多 2 件商品）  |  `agent`, `error`  |  `agent`, `error`  | 

此控件检查适用于微软 SQL Server 的 Amazon RDS 数据库实例是否配置为将日志发布到亚马逊 CloudWatch 日志。如果 RDS for SQL Server 数据库实例未配置为向日志发布日 CloudWatch 志，则控制失败。您可以选择指定数据库实例应配置为发布的日志类型。

数据库日志记录提供向 Amazon RDS 数据库实例发出的请求的详细记录。将日志发布到 CloudWatch 日志可以集中管理日志，并帮助您对日志数据进行实时分析。 CloudWatch 日志将日志保留在高度耐用的存储空间中。此外，您可以使用它为可能发生的特定错误创建警报，例如错误日志中记录的频繁重启。同样，您可以为 SQL Server 代理日志中记录的与 SQL 代理作业相关的错误或警告创建警报。

### 修复
<a name="rds-40-remediation"></a>

有关将日志发布到 RDS for SQL Server 数据库实例 CloudWatch 日志的信息，请参阅《[亚马逊*关系数据库服务用户指南》中的 Amazon RDS for Microsoft SQL Server 数据库*日志文件](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html)。

## [RDS.41] RDS for SQL Server 数据库实例应在传输过程中加密
<a name="rds-41"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)

**计划类型：**定期

**参数：**无

此控件检查与 Amazon RDS for Microsoft SQL Server 数据库实例的连接在传输过程中是否加密。如果与数据库实例关联的参数组的 `rds.force_ssl` 参数设置为 `0 (off)`，则该控件会失败。

传输中数据是指从一个位置移动到另一个位置的数据，例如在数据库集群中的节点之间或在数据库集群和客户端应用程序之间。数据可以通过互联网或在私有网络内移动。对传输中数据进行加密可降低未经授权用户侦听网络流量的风险。

### 修复
<a name="rds-41-remediation"></a>

 SSL/TLS 有关启用[与运行微软 SQL Server 的 Amazon RDS 数据库实例的连接的信息，请参阅*亚马逊关系数据库服务用户指南中的在微软 SQL Server 数据库*实例上使用 SS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html) L。

## [RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch
<a name="rds-42"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、(9)、 NIST.800-53.r5 AC-6 (10)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20)、nist.800-53.r5 SI-7 (8)、nist.800-53.r5 SI-7 (8) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  MariaDB 数据库实例应配置为发布到 CloudWatch 日志的日志类型列表。如果数据库实例未配置为发布列表中指定的日志类型，则该控件会生成 `FAILED` 调查发现。  |  EnumList （最多 4 件商品）  |  `audit`, `error`, `general`, `slowquery`  |  `audit, error`  | 

此控件检查是否将 Amazon RDS for MariaDB 数据库实例配置为将某些类型的日志发布到亚马逊 CloudWatch 日志。如果 MariaDB 数据库实例未配置为将日志发布到 CloudWatch 日志，则控制失败。您可以选择指定 MariaDB 数据库实例应配置为发布哪些类型的日志。

数据库日志记录提供向 Amazon RDS for MariaDB 数据库实例发出的请求的详细记录。将日志发布到 Amazon Log CloudWatch s 可以集中管理日志，并帮助您对日志数据进行实时分析。此外， CloudWatch Logs 会将日志保留在持久存储中，这可以支持安全性、访问权限以及可用性审查和审计。借助 CloudWatch 日志，您还可以创建警报和查看指标。

### 修复
<a name="rds-42-remediation"></a>

有关配置 Amazon RDS for MariaDB 数据库实例以将日志发布到亚马逊 CloudWatch 日志的信息，请参阅亚马逊*关系数据库服务用户指南中的将 MariaDB CloudWatch 日志发布到亚马逊*[日志](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html)。

## [RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密
<a name="rds-43"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::RDS::DBProxy`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon RDS 数据库代理是否要求代理与底层 RDS 数据库实例之间的所有连接都使用 TLS。如果代理不要求代理与 RDS 数据库实例之间的所有连接都使用 TLS，则该控件会失败。

Amazon RDS 代理可作为客户端应用程序和底层 RDS 数据库实例之间的附加安全层。例如，即使底层数据库实例支持旧版 TLS，您也可以使用 TLS 1.3 连接到 RDS。通过使用 RDS 代理，您可以对数据库应用程序强制执行严格的身份验证要求。

### 修复
<a name="rds-43-remediation"></a>

有关更改 Amazon RDS 代理设置以要求使用 TLS 的信息，请参阅《Amazon Relational Database Service 用户指南》**中的[修改 RDS 代理](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html)。

## [RDS.44] RDS for MariaDB 数据库实例应在传输过程中加密
<a name="rds-44"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)

**计划类型：**定期

**参数：**无

此控件检查与 Amazon RDS for MariaDB 数据库实例的连接是否在传输过程中加密。如果与数据库实例关联的数据库参数组不同步，或者参数组的 `require_secure_transport` 参数未设置为 `ON`，则该控件会失败。

**注意**  
此控件不会评估使用早于 10.5 版的 MariaDB 版本的 Amazon RDS 数据库实例。`require_secure_transport` 参数仅支持 MariaDB 版本 10.5 及更高版本。

传输中数据是指从一个位置移动到另一个位置的数据，例如在数据库集群中的节点之间或在数据库集群和客户端应用程序之间。数据可以通过互联网或在私有网络内移动。对传输中数据进行加密可降低未经授权用户侦听网络流量的风险。

### 修复
<a name="rds-44-remediation"></a>

 SSL/TLS 有关启用与 Amazon RDS for MariaDB 数据库实例的连接的信息，请参阅《*亚马逊关系数据库服务用户指南》中的 “要求 SSL/TLS 所有与 MariaDB 数据库*[实例的连接](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html)”。

## [RDS.45] Aurora MySQL 数据库集群应启用审核日志记录
<a name="rds-45"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、(9)、 NIST.800-53.r5 AC-6 nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、nist.800-53.r5 SI-7 (8)

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon Aurora MySQL 数据库集群是否启用了审核日志记录。如果与数据库集群关联的数据库参数组不同步、`server_audit_logging` 参数未设置为 `1` 或者 `server_audit_events` 参数设置为空值，则该控件会失败。

数据库日志可以协助安全和访问审计，并帮助诊断可用性问题。审核日志记录捕获数据库活动的记录，包括登录尝试、数据修改、架构变更和其他可以出于安全性和合规性目的进行审计的事件。

### 修复
<a name="rds-45-remediation"></a>

有关为亚马逊 Aurora MySQL 数据库集群启用日志记录的信息，请参阅[亚马逊 Aurora 用户指南中的将亚马逊 Aurora MySQL CloudWatch 日志发布到](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html)*亚马逊*日志。

## [RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中
<a name="rds-46"></a>

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**高

**资源类型：**`AWS::RDS::DBInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon RDS 数据库实例是否部署在具有通往互联网网关的路由的公共子网中。如果 RDS 数据库实例部署在具有通往互联网网关的路由的子网中，并且目标设置为 `0.0.0.0/0` 或 `::/0`，则该控件会失败。

通过在私有子网中预置 Amazon RDS 资源，您可以防止 RDS 资源接收来自公共互联网的入站流量，从而防止意外访问您的 RDS 数据库实例。如果 RDS 资源是在对互联网开放的公共子网中预置的，则可能容易面临数据泄露等风险。

### 修复
<a name="rds-46-remediation"></a>

有关为 Amazon RDS 数据库实例配置私有子网的信息，请参阅《Amazon Relational Database Service 用户指南》**中的[在 VPC 中使用数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html)。

## [RDS.47] 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照
<a name="rds-47"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)

**计划类型：**已触发变更

**参数：**无

此控制检查 Amazon RDS for PostgreSQL 数据库集群是否配置为在创建快照时将所有标签复制到快照。如果 RDS for PostgreSQL 数据库集群的 `CopyTagsToSnapshot` 参数设置为 `false`，则该控件会失败。

将标签复制到数据库快照有助于在备份资源之间保持适当的资源跟踪、管理和成本分配。这样就可以在活动数据库及其快照中实现一致的资源识别、访问控制和合规性监控。正确标记的快照可以确保备份资源继承与其源数据库相同的元数据，从而提高安全运营效率。

### 修复
<a name="rds-47-remediation"></a>

有关配置 Amazon RDS for PostgreSQL 数据库集群以自动将标签复制到数据库快照的信息，请参阅《Amazon Relational Database Service 用户指南》**中的[为 Amazon RDS 资源添加标签](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。

## [RDS.48] 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照
<a name="rds-48"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)

**计划类型：**已触发变更

**参数：**无

此控制检查 Amazon RDS for MySQL 数据库集群是否配置为在创建快照时将所有标签复制到快照。如果 RDS for MySQL 数据库集群的 `CopyTagsToSnapshot` 参数设置为 `false`，则该控件会失败。

将标签复制到数据库快照有助于在备份资源之间保持适当的资源跟踪、管理和成本分配。这样就可以在活动数据库及其快照中实现一致的资源识别、访问控制和合规性监控。正确标记的快照可以确保备份资源继承与其源数据库相同的元数据，从而提高安全运营效率。

### 修复
<a name="rds-48-remediation"></a>

有关配置 Amazon RDS for MySQL 数据库集群以自动将标签复制到数据库快照的信息，请参阅《Amazon Relational Database Service 用户指南》**中的[为 Amazon RDS 资源添加标签](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。

## [RDS.50] RDS 数据库集群应设置足够的备份保留期
<a name="rds-50"></a>

**类别：**恢复 > 弹性 > 启用备份 

**严重性：**中

**资源类型：**`AWS::RDS::DBCluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  控件要检查的最短备份保留期（以天为单位）  |  整数  |  `7` 到 `35`  |  `7`  | 

此控件检查 RDS 数据库集群是否有最短的备份保留期。如果备份保留期小于指定的参数值，则控制失败。除非您提供自定义参数值，否则 Security Hub 使用默认值 7 天。

此控件检查 RDS 数据库集群是否有最短的备份保留期。如果备份保留期小于指定的参数值，则控制失败。除非您提供客户参数值，否则 Security Hub 使用默认值 7 天。此控件适用于所有类型的 RDS 数据库集群，包括 Aurora 数据库集群、文档数据库集群、NeptuneDB 集群等。

### 修复
<a name="rds-50-remediation"></a>

要配置 RDS 数据库集群的备份保留期，请修改群集设置并将备份保留期设置为至少 7 天（或控制参数中指定的值）。有关详细说明，请参阅 *Amazon Relational Database Service 用户指南*中的[备份保留期](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html)。对于 Aurora 数据库集群，请参阅*亚马逊 Aurora 用户指南中的备份和恢复 Aurora* [数据库集群概述](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html)。对于其他类型的数据库集群（例如 DocumentDB 集群），请参阅相应的服务用户指南，了解如何更新集群的备份保留期。

# 适用于亚马逊 Redshift 的 Security Hub CSPM 控件
<a name="redshift-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon Redshift 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Redshift.1] Amazon Redshift 集群应禁止公共访问
<a name="redshift-1"></a>

**相关要求：** NIST.800-53.r5 AC-21、、 NIST.800-53.r5 AC-3 (7)、(21) NIST.800-53.r5 AC-3、、、(11)、(16) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (20)、(21) NIST.800-53.r5 AC-6、(3) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、PCI DSS v3.2.1/1.2.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.4 2.1/1.3.6，PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**严重

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)

**计划类型：**已触发变更

**参数：**无 

此控件可检查 Amazon Redshift 集群是否公开访问。它会评估集群配置项目中的 `PubliclyAccessible` 字段。

Amazon Redshift 集群配置的 `PubliclyAccessible` 属性表示集群是否公开访问。当集群配置为 `PubliclyAccessible` 设置为 `true` 时，它是一个面向 Internet 的实例，具有可公开解析的 DNS 名称，可解析为公共 IP 地址。

当集群不可公开访问时，它是一个内部实例，其 DNS 名称可解析为私有 IP 地址。除非您希望集群可以公开访问，否则不应将集群配置为把 `PubliclyAccessible` 设置为 `true`。

### 修复
<a name="redshift-1-remediation"></a>

要更新 Amazon Redshift 集群以禁用公共访问，请参阅 *Amazon Redshift 管理指南*中的[修改集群](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster)。将**公开访问**设置为**否**。

## [Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密
<a name="redshift-2"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 3、3 ( NIST.800-53.r5 SC-23)、( NIST.800-53.r5 SC-23)、(4)、 NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2)、PCI DSS v4.0.1/4.2.1

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否需要连接到 Amazon Redshift 集群才能在传输中使用加密。如果 Amazon Redshift 集群参数 `require_SSL` 未设置为 `True`，则检查将失败。

TLS 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。只应允许通过 TLS 进行加密连接。加密传输中数据可能会影响性能。您应该使用此功能测试应用程序，以了解性能概况和 TLS 的影响。

### 修复
<a name="redshift-2-remediation"></a>

要将 Amazon Redshift 参数组更新为要求加密，请参阅 *Amazon Redshift 管理指南*中的[修改参数组](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify)。将 `require_ssl` 设置为 **True**。

## [Redshift.3] Amazon Redshift 集群应启用自动快照
<a name="redshift-3"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、 NIST.800-53.r5 SC-7 (10)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 启用备份 

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `​MinRetentionPeriod`  |  最短快照保留期（以天为单位）  |  整数  |  `7` 到 `35`  |  `7`  | 

此控件检查 Amazon Redshift 集群是否启用了自动快照，以及保留期是否大于或等于指定的时间范围。如果没有为集群启用自动快照，或者保留期小于指定的时间范围，则控制失败。除非您为快照保留期提供自定义参数值，否则 Security Hub CSPM 将使用默认值 7 天。

备份可以帮助您更快地从安全事件中恢复。它们增强了系统的弹性。默认情况下，Amazon Redshift 会定期拍摄快照。此控件检查是否已启用自动快照并将其保留至少七天。有关 Amazon Redshift 自动快照的更多详情，请参阅 *Amazon Redshift 管理指南*中的[自动快照](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots)。

### 修复
<a name="redshift-3-remediation"></a>

要更新 Amazon Redshift 集群的快照保留期，请参阅 *Amazon Redshift 管理指南*中的[修改集群](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster)。对于**备份**，将**快照保留期**设置为 7 或更大。

## [Redshift.4] Amazon Redshift 集群应启用审核日志记录
<a name="redshift-4"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则:**`redshift-cluster-audit-logging-enabled`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无 

此控件用于检查 Amazon Redshift 集群是否启用了审核日志。

Amazon Redshift 审核日志记录提供有关集群中的连接和用户活动的其他信息。这些数据可以存储在 Amazon S3 中并加以保护，有助于安全审计和调查。有关更多信息，请参阅 *Amazon Redshift 管理指南*中的[数据库审核日志记录](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html)。

### 修复
<a name="redshift-4-remediation"></a>

要为 Amazon Redshift 集群配置审核日志记录，请参阅 *Amazon Redshift 管理指南*中的[使用控制台配置审计](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html)。

## [Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能
<a name="redshift-6"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-2、nist.800-53.r5 SI-2 (2)、nist.800-53.r5 SI-2 (4)、nist.800-53.r5 SI-2 (5)

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)

**计划类型：**已触发变更

**参数：**
+ `allowVersionUpgrade = true`（不可自定义）

此控件检查是否为 Amazon Redshift 集群启用了自动主要版本升级。

启用自动主要版本升级可确保在维护时段内安装 Amazon Redshift 集群的最新主要版本更新。这些更新可能包括安全补丁和错误修复。及时安装补丁程序是保护系统安全的重要一步。

### 修复
<a name="redshift-6-remediation"></a>

要从中修复此问题 AWS CLI，请使用 Amazon `modify-cluster` Redshift 命令并设置`--allow-version-upgrade`属性。 `clustername`是您的亚马逊 Redshift 集群的名称。

```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```

## [Redshift.7] Redshift 集群应使用增强型 VPC 路由
<a name="redshift-7"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)

**类别：**保护 > 安全网络配置 > API 私有访问

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 Amazon Redshift 集群是否已启用 `EnhancedVpcRouting`。

增强型 VPC 路由强制集群和数据存储库之间的所有 `COPY` 和 `UNLOAD` 流量通过 VPC。然后，您可以使用安全组和网络访问控制列表等 VPC 功能来保护网络流量。您还可以使用 VPC Flow 日志监控网络流量。

### 修复
<a name="redshift-7-remediation"></a>

有关详细的补救说明，请参阅 *Amazon Redshift 管理指南*中的[启用增强型 VPC 路由](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html)。

## [Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名
<a name="redshift-8"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**识别 > 资源配置

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon Redshift 集群是否已将管理员用户名从其默认值变更为其他值。如果 Redshift 集群的管理员用户名设置为 `awsuser`，则此控制失败。

创建 Redshift 集群时，应将默认管理员用户名变更为唯一值。默认用户名是众所周知的，应在配置时进行变更。变更默认用户名可以降低意外访问的风险。

### 修复
<a name="redshift-8-remediation"></a>

创建 Amazon Redshift 集群后，您无法更改其管理员用户名。要使用非默认用户名创建新集群，请参阅《Amazon Redshift 入门指南》**中的[步骤 1：创建示例 Amazon Redshift 集群](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html)。

## [Redshift.10] Redshift 集群应在静态状态下进行加密
<a name="redshift-10"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 Amazon Redshift 集群是否处于静态加密状态。如果 Redshift 集群未静态加密或者加密密钥与规则参数中提供的密钥不同，则则控制失败。

在 Amazon Redshift 中，您可以为集群开启数据库加密，以帮助保护静态数据。为集群开启加密时，会对集群及其快照的数据块和系统元数据进行加密。静态数据加密是推荐的最佳实践，因为它为数据添加了一层访问管理。对静态 Redshift 集群进行加密可降低未经授权的用户访问磁盘上存储的数据的风险。

### 修复
<a name="redshift-10-remediation"></a>

要将 Redshift 集群修改为使用 KMS 加密，请参阅 *Amazon Redshift* 管理指南中的[变更集群加密](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html)。

## [Redshift.11] 应标记 Redshift 集群
<a name="redshift-11"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则:**`tagged-redshift-cluster`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon Redshift 集群是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果集群没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果集群未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="redshift-11-remediation"></a>

要向 Redshift 集群添加标签，请参阅《Amazon Redshift 管理指南》**中的[在 Amazon Redshift 中为资源添加标签](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。

## [Redshift.12] 应标记 Redshift 事件通知订阅
<a name="redshift-12"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Redshift::EventSubscription`

**AWS Config 规则:**`tagged-redshift-eventsubscription`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon Redshift 集群快照是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果集群快照没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果集群快照未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="redshift-12-remediation"></a>

要向 Redshift 事件通知订阅添加标签，请参阅《Amazon Redshift 管理指南》**中的[在 Amazon Redshift 中为资源添加标签](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。

## [Redshift.13] 应标记 Redshift 集群快照
<a name="redshift-13"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Redshift::ClusterSnapshot`

**AWS Config 规则:**`tagged-redshift-clustersnapshot`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon Redshift 集群快照是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果集群快照没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果集群快照未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="redshift-13-remediation"></a>

要向 Redshift 集群快照添加标签，请参阅《Amazon Redshift 管理指南》**中的[在 Amazon Redshift 中为资源添加标签](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。

## [Redshift.14] 应标记 Redshift 集群子网组
<a name="redshift-14"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Redshift::ClusterSubnetGroup`

**AWS Config 规则:**`tagged-redshift-clustersubnetgroup`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon Redshift 集群子网组是否有具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果集群子网组没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果集群子网组未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="redshift-14-remediation"></a>

要向 Redshift 集群子网组添加标签，请参阅《Amazon Redshift 管理指南》**中的[在 Amazon Redshift 中为资源添加标签](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。

## [Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口
<a name="redshift-15"></a>

**相关要求：**PCI DSS v4.0.1/1.3.1

**类别：**保护 > 安全网络配置 > 安全组配置

**严重性：**高

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)

**计划类型：**定期

**参数：**无

此控件可与检查 Amazon Redshift 集群关联的安全组是否有允许从互联网访问集群端口的入口规则（0.0.0.0/0 或 ::/0）。如果安全组入口规则允许从互联网访问集群端口，则此控件将失败。

允许对 Redshift 集群端口（带有 /0 后缀的 IP 地址）进行不受限制的入站访问可能会导致未经授权的访问或安全事件。我们建议在创建安全组和配置入站规则时应用最低权限访问原则。

### 修复
<a name="redshift-15-remediation"></a>

要将 Redshift 集群端口的入口限制为受限来源，请参阅《Amazon VPC 用户指南》**中的[使用安全组规则](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules)。更新端口范围与 Redshift 集群端口相匹配且 IP 端口范围为 0.0.0.0/0 的规则。

## [Redshift.16] Redshift 集群子网组应具有来自多个可用区的子网
<a name="redshift-16"></a>

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::Redshift::ClusterSubnetGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon Redshift 集群子网组是否包含来自多个可用区（AZ）的子网。如果集群子网组没有来自至少两个不同 AZs子网的子网，则控制失败。

跨多个子网配置 AZs 有助于确保即使发生故障事件，您的 Redshift 数据仓库也能继续运行。

### 修复
<a name="redshift-16-remediation"></a>

要将 Redshift 集群子网组修改为跨多个集群子网组 AZs，请参阅《*Amazon Redshift* [管理指南》中的修改集群子网组](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html)。

## [Redshift.17] 应标记 Redshift 集群参数组
<a name="redshift-17"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Redshift::ClusterParameterGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 Amazon Redshift 集群参数组是否具有 `requiredKeyTags` 参数指定的标签键。如果参数组没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果参数组没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="redshift-17-remediation"></a>

有关向 Amazon Redshift 集群参数组添加标签的信息，请参阅《Amazon Redshift 管理指南》**中的[在 Amazon Redshift 中为资源添加标签](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。

## [Redshift.18] Redshift 集群应启用多可用区部署
<a name="redshift-18"></a>

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否为 Amazon Redshift 集群启用了多个可用区（Multi-AZ）部署。如果没有为 Amazon Redshift 集群启用多可用区部署，则此控件会失败。

Amazon Redshift 支持对预置的集群使用多可用区（Multi-AZ）部署。如果为集群启用了多可用区部署，则在可用区（AZ）出现意外事件的故障场景中，Amazon Redshift 数据仓库可以继续运行。多可用区部署将计算资源部署在多个可用区中，这些计算资源可通过单个端点访问。如果某个可用区出现彻底故障，则第二个可用区中的剩余计算资源可用于继续处理工作负载。您可以将现有单可用区数据仓库转换为多可用区数据仓库。然后在第二个可用区预置额外的计算资源。

### 修复
<a name="redshift-18-remediation"></a>

有关为 Amazon Redshift 集群配置多可用区部署的信息，请参阅《Amazon Redshift 管理指南》**中的[将单可用区数据仓库转换为多可用区数据仓库](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html)。

# 适用于亚马逊 Redshift Serverless 的 Security Hub CSPM 控件
<a name="redshiftserverless-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon Redshift 无服务器服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由
<a name="redshiftserverless-1"></a>

**类别：**保护 > 安全网络配置 > VPC 内的资源

**严重性：**高

**资源类型：**`AWS::RedshiftServerless::Workgroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)

**计划类型：**定期

**参数：**无

此控件检查是否为 Amazon Redshift Serverless 工作组启用了增强型 VPC 路由。如果为工作组禁用了增强型 VPC 路由，则该控件会失败。

如果对 Amazon Redshift 无服务器工作组禁用增强型 VPC 路由，Amazon Redshift 会通过互联网路由流量，包括流向网络内其他服务的流量。 AWS 如果为工作组启用增强型 VPC 路由，Amazon Redshift 会强制基于 Amazon VPC 服务通过虚拟私有云（VPC）路由集群和数据存储库之间的所有 `COPY` 和 `UNLOAD` 流量。借助增强型 VPC 路由，您可以使用标准 VPC 功能来控制 Amazon Redshift 集群与其他资源之间的数据流。这包括 VPC 安全组和终端节点策略、网络访问控制列表 (ACLs) 和域名系统 (DNS) 服务器等功能。您还可以使用 VPC 流日志来监控 `COPY` 和 `UNLOAD` 流量。

### 修复
<a name="redshiftserverless-1-remediation"></a>

有关增强型 VPC 路由以及如何为工作组启用它的更多信息，请参阅《Amazon Redshift 管理指南》**中的[使用 Redshift 增强型 VPC 路由控制网络流量](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html)。

## [RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组
<a name="redshiftserverless-2"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::RedshiftServerless::Workgroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)

**计划类型：**定期

**参数：**无

此控件检查是否需要连接到 Amazon Redshift Serverless 工作组才能加密传输中数据。如果工作组的 `require_ssl` 配置参数设置为 `false`，则该控件会失败。

Amazon Redshift Serverless 工作组是一组计算资源，将 RPUs VPC 子网组和安全组等计算资源组合在一起。工作组的属性包括网络和安全设置。这些设置指定是否应要求与工作组的连接使用 SSL 加密传输中数据。

### 修复
<a name="redshiftserverless-2-remediation"></a>

有关更新 Amazon Redshift Serverless 工作组的设置以要求 SSL 连接的信息，请参阅《Amazon Redshift 管理指南》**中的[连接到 Amazon Redshift Serverless](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html)。

## [RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问
<a name="redshiftserverless-3"></a>

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**高

**资源类型：**`AWS::RedshiftServerless::Workgroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)

**计划类型：**定期

**参数：**无

此控件检查是否为 Amazon Redshift Serverless 工作组禁用了公开访问。它评估 Redshift Serverless 工作组的 `publiclyAccessible` 属性。如果为工作组启用了公开访问（`true`），则该控件会失败。

Amazon Redshift Serverless 工作组的公开访问（`publiclyAccessible`）设置指定是否可以从公共网络访问该工作组。如果为工作组启用了公开访问（`true`），Amazon Redshift 会创建一个弹性 IP 地址，使得可以从 VPC 外部公开访问该工作组。如果您不希望某个工作组可以公开访问，请为其禁用公开访问。

### 修复
<a name="redshiftserverless-3-remediation"></a>

有关更改 Amazon Redshift Serverless 工作组的公开访问设置的信息，请参阅《Amazon Redshift 管理指南》**中的[查看工作组的属性](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html)。

## [RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys
<a name="redshiftserverless-4"></a>

**相关要求：** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1)、(10)、2 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::RedshiftServerless::Namespace`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  评估中 AWS KMS keys 要包含的 Amazon 资源名称 (ARNs) 列表。如果 Redshift Serverless 命名空间未使用列表中的 KMS 密钥进行加密，则该控件会生成 `FAILED` 调查发现。  |  StringList （最多 3 件商品）  |  1—3 个 ARNs 现有 KMS 密钥。例如：`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。  |  无默认值  | 

此控件检查 Amazon Redshift Serverless 命名空间是否使用客户管理型 AWS KMS key进行静态加密。如果未使用客户管理型 KMS 密钥对 Redshift Serverless 命名空间进行加密，则该控件会失败。您可以选择为控件指定要包含在评估中的 KMS 密钥列表。

在 Amazon Redshift Serverless 中，命名空间定义了数据库对象的逻辑容器。此控件会定期检查命名空间的加密设置是否指定由客户管理 AWS KMS key的而不是 AWS 托管的 KMS 密钥来加密命名空间中的数据。使用客户管理型 KMS 密钥，您可以完全控制密钥。这包括定义和维护密钥策略、管理授权、轮换加密材料、分配标签、创建别名以及启用和禁用密钥。

### 修复
<a name="redshiftserverless-4-remediation"></a>

有关更新 Amazon Redshift 无服务器命名空间的加密设置和指定客户托管的命名空间的信息 AWS KMS key，请参阅 *Amazon* Redshift 管理[指南中的更改命名空间](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html)。 AWS KMS key 

## [RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名
<a name="redshiftserverless-5"></a>

**类别：**识别 > 资源配置

**严重性：**中

**资源类型：**`AWS::RedshiftServerless::Namespace`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon Redshift Serverless 命名空间的管理员用户名是否为默认管理员用户名 `admin`。如果 Redshift Serverless 命名空间的管理员用户名为 `admin`，则该控件会失败。

创建 Amazon Redshift Serverless 命名空间时，应为该命名空间指定自定义管理员用户名。默认管理员用户名为公共知识。例如，通过指定自定义管理员用户名，您可以帮助降低命名空间遭受暴力攻击的风险或有效性。

### 修复
<a name="redshiftserverless-5-remediation"></a>

您可以使用 Amazon Redshift Serverless 控制台或 API 更改 Amazon Redshift Serverless 命名空间的管理员用户名。要使用控制台进行更改，请选择命名空间配置，然后在**操作**菜单上选择**编辑管理员凭证**。要以编程方式对其进行更改，请使用[UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)操作，或者，如果您使用的是，则运行 [update- AWS CLI namesp](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html) ace 命令。如果您更改管理员用户名，则必须同时更改管理员密码。

## [RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch
<a name="redshiftserverless-6"></a>

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::RedshiftServerless::Namespace`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon Redshift Serverless 命名空间是否配置为将连接和用户日志导出到亚马逊日志。 CloudWatch 如果 Redshift Serverless 命名空间未配置为将日志导出到日志，则控制失败。 CloudWatch 

如果您将 Amazon Redshift Serverless 配置为将连接 CloudWatch 日志 (`connectionlog``userlog`) 和用户日志 () 数据导出到 Amazon Logs 中的日志组，则可以收集日志记录并将其存储在持久存储中，这样可以支持安全、访问和可用性审查和审计。借助 CloudWatch 日志，您还可以对日志数据进行实时分析，并 CloudWatch 用于创建警报和查看指标。

### 修复
<a name="redshiftserverless-6-remediation"></a>

要将 Amazon Redshift Serverless 命名空间的 CloudWatch 日志数据导出到 Amazon 日志，必须在该命名空间的审核日志配置设置中选择相应的日志进行导出。有关更新这些设置的信息，请参阅《Amazon Redshift 管理指南》**中的[编辑安全性和加密](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html)。

# 53 号公路的 Security Hub CSPM 控制
<a name="route53-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon Route 53 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Route53.1] 应标记 Route53 运行状况检查
<a name="route53-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Route53::HealthCheck`

**AWS Config 规则:**`tagged-route53-healthcheck`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon Route 53 运行状况检查是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果运行状况检查没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果运行状况检查未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="route53-1-remediation"></a>

要向 Route 53 运行状况检查添加标签，请参阅《Amazon Route 53 开发人员指南》**中的[为运行状况检查命名和添加标签](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html)。

## [Route53.2] Route 53 公有托管区域应记录 DNS 查询
<a name="route53-2"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::Route53::HostedZone`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否为 Amazon Route 53 公共托管区域启用了 DNS 查询日志记录。如果未为 Route 53 公共托管区域启用 DNS 查询日志记录，控制将会失败。

记录 Route 53 托管区域的 DNS 查询可满足 DNS 安全性和合规性要求并授予可见性。日志包含诸如查询的域或子域、查询的日期和时间、DNS 记录类型（例如 A 或 AAAA）以及 DNS 响应代码（例如 `NoError` 或 `ServFail`）等信息。启用 DNS 查询日志记录后，Route 53 会将日志文件发布到 Amazon CloudWatch 日志。

### 修复
<a name="route53-2-remediation"></a>

要记录 Route 53 公共托管区域的 DNS 查询，请参阅 *Amazon Route 53 开发人员指南*中的 [DNS 查询配置日志记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring)。

# 适用于亚马逊 S3 的 Security Hub CSPM 控件
<a name="s3-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估亚马逊简单存储服务 (Amazon S3) Service 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置
<a name="s3-1"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/2.1.4、CIS 基金会基准 v3.0.0/2.1.4、CIS AWS 基金会基准 v1.4.0/2.1.5、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3（7）、、（21）、、（11）、（16）、（20）、（21） NIST.800-53.r5 AC-3、（3）、（4）、 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7（9） NIST.800-53.r5 AC-4、PCI DSS v3.2.1/1.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.1 3.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v4.0.1/1.4.4 AWS NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html)

**计划类型：**定期

**参数：**
+ `ignorePublicAcls`：`true`（不可自定义）
+ `blockPublicPolicy`：`true`（不可自定义）
+ `blockPublicAcls`：`true`（不可自定义）
+ `restrictPublicBuckets`：`true`（不可自定义）

此控件可检查是否在账户级别为 S3 通用存储桶配置了上述 Amazon S3 屏蔽公共访问权限设置。如果将一个或多个屏蔽公共访问权限设置设为 `false`，则此控件将失败。

如果将任何设置设置为 `false`，或者未配置任何设置，则控制失败。

Amazon S3 公有访问区块旨在提供对整个 S3 存储桶 AWS 账户 或单个 S3 存储桶级别的控制，以确保对象永远无法公开访问。通过访问控制列表 (ACLs)、存储桶策略或两者兼而有之，向存储桶和对象授予公共访问权限。

除非您打算让 S3 存储桶可公开访问，否则您应该配置账户级别 Amazon S3 屏蔽公共访问权限功能。

要了解更多信息，请参阅 *Amazon Simple Storage Service 用户指南*中的[使用 Amazon S3 屏蔽公共访问权限](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html)。

### 修复
<a name="s3-1-remediation"></a>

要为您启用 Amazon S3 [阻止公共访问 AWS 账户，请参阅《*亚马逊简单存储服务用户指南*》中的为您的账户配置阻止公开访问设置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html)。

## [S3.2] S3 通用存储桶应阻止公共读取访问权限
<a name="s3-2"></a>

**相关要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3（7）、（21）、（11）、（16）、（20）、（21）、（3） NIST.800-53.r5 AC-3、（4），(9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**严重

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)

**计划类型：**定期计划和触发变更

**参数：**无

此控件可检查 Amazon S3 通用存储桶是否允许公共读取访问权限。它会对阻止公有访问设置、存储桶策略和存储桶访问控制列表（ACL）进行评估。如果存储桶允许公共读取访问权限，则此控件将失败。

**注意**  
如果 S3 存储桶具有存储桶策略，则此控件不会评估使用通配符或变量的策略条件。要生成 `PASSED` 调查发现，存储桶策略中的条件只能使用固定值，即不包含通配符或策略变量的值。有关策略变量的信息，请参阅《AWS Identity and Access Management 用户指南》**中的[变量和标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

有些使用案例可能要求 Internet 上的每个人都能够从 S3 存储桶中读取数据。然而，这种情况很少见。为确保数据的完整性和安全性，您的 S3 存储桶不应可公开读取。

### 修复
<a name="s3-2-remediation"></a>

要阻止对您的 Amazon S3 存储桶的公共读取权限，请参阅 *Amazon 简单存储服务用户指南*中的[为 S3 存储桶配置阻止公开访问设置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)。

## [S3.3] S3 通用存储桶应阻止公共写入访问权限
<a name="s3-3"></a>

**相关要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、1、、(7)、(21)、(21)、(16)、(20)、(21)、(3)、(4)、(9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**严重

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)

**计划类型：**定期计划和触发变更

**参数：**无

此控件可检查 Amazon S3 通用存储桶是否允许公共写入访问权限。它会对阻止公有访问设置、存储桶策略和存储桶访问控制列表（ACL）进行评估。如果存储桶允许公共写入访问权限，则此控件将失败。

**注意**  
如果 S3 存储桶具有存储桶策略，则此控件不会评估使用通配符或变量的策略条件。要生成 `PASSED` 调查发现，存储桶策略中的条件只能使用固定值，即不包含通配符或策略变量的值。有关策略变量的信息，请参阅《AWS Identity and Access Management 用户指南》**中的[变量和标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

有些使用案例要求互联网上的每个人都能写入您的 S3 存储桶。然而，这种情况很少见。为确保数据的完整性和安全性，您的 S3 存储桶不应可公开写入。

### 修复
<a name="s3-3-remediation"></a>

要阻止对您的 Amazon S3 存储桶的公共写入权限，请参阅 *Amazon 简单存储服务用户指南*中的[为 S3 存储桶配置阻止公开访问设置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)。

## [S3.5] S3 通用存储桶应需要请求才能使用 SSL
<a name="s3-5"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/2.1.1、CIS 基金会基准 v3.0.0/2.1.1、CIS AWS 基金会基准 v1.4.0/2.1.2、7 (2)、、(1)、2 (3)、3、(3)、(4)、(1)、(2) NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5 nist.800-53.r5 SI AWS - NIST.800-53.r5 AC-1 7 (6)、nist.800-171.r NIST.800-53.r5 SC-1 2 3.13.8、 NIST.800-53.r5 SC-2 nist.800-171.r2 3.13.15、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/4.1 NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.1、PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon S3 通用存储桶是否具有需要请求才能使用 SSL 的策略。如果存储桶策略不需要请求来使用 SSL，则此控件将失败。

S3 存储桶的策略应要求所有请求（`Action: S3:*`）在 S3 资源策略中仅接受通过 HTTPS 传输的数据，由条件密钥 `aws:SecureTransport` 表示。

### 修复
<a name="s3-5-remediation"></a>

要更新 Amazon S3 存储桶策略以拒绝不安全传输，请参阅《Amazon Simple Storage Service 用户指南》**中的[使用 Amazon S3 控制台添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。

添加与以下策略中的策略语句相似的策略语句。将 `amzn-s3-demo-bucket` 替换为您要修改的存储桶的名称。

------
#### [ JSON ]

****  

```
{
    "Id": "ExamplePolicy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}
```

------

有关更多信息，请参阅[我应该使用哪个 S3 存储桶策略来遵守 AWS Config 规则 s3-bucket-ssl-requests-only？](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) 在*AWS 官方知识中心*中。

## [S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户
<a name="s3-6"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-171.r2 3.13.4

**类别：**保护 > 安全访问管理 > 敏感的 API 操作操作受限 

**严重性：**高

**资源类型：**`AWS::S3::Bucket`

**AWS Config** 规则：[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)

**计划类型：**已触发变更

**参数：**
+ `blacklistedactionpatterns`：`s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl`（不可自定义）

此控件可检查 Amazon S3 通用存储桶策略是否阻止其他 AWS 账户 的主体对 S3 存储桶中的资源执行被拒绝的操作。如果存储桶策略允许另一个 AWS 账户中的主体执行上述一项或多项操作，则此控件将失败。

实施最低权限访问对于降低安全风险以及错误或恶意意图的影响至关重要。如果 S3 存储桶策略允许从外部账户进行访问，则可能会导致内部威胁或攻击者泄露数据。

`blacklistedactionpatterns` 参数允许成功评估 S3 存储桶的规则。该参数授予对未包含在 `blacklistedactionpatterns` 列表中的操作模式的外部账户访问权限。

### 修复
<a name="s3-6-remediation"></a>

要更新 Amazon S3 存储桶策略以删除权限，请参阅 *Amazon Simple Storage Service 用户指南*中的[使用 Amazon S3 控制台添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。

在**编辑存储桶策略**页面的策略编辑文本框中，执行以下操作之一：
+ 删除授予其他 AWS 账户 访问被拒绝操作的权限的语句。
+ 从语句中删除允许的拒绝操作。

## [S3.7] S3 通用存储桶应使用跨区域复制
<a name="s3-7"></a>

**相关要求：**PCI DSS v3.2.1/2.2、 NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2)、(2)、nist.800-53.r5 NIST.800-53.r5 SC-5 SI-13 (5)

**类别：**保护 > 安全访问管理

**严重性：**低

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon S3 通用存储桶是否启用了跨区域复制。如果存储桶未启用跨区域复制，则此控件将失败。

复制是指在相同或不同的 AWS 区域存储桶之间自动异步复制对象。复制操作会将源存储桶中新创建的对象和对象更新复制到目标存储桶。 AWS 最佳实践建议对由同一 AWS 账户拥有的源存储桶和目标存储桶进行复制。除了可用性以外，您还应该考虑其他系统强化设置。

如果复制目标存储桶未启用跨区域复制，则此控件会生成该存储桶的 `FAILED` 调查发现。如果有正当理由表明目标存储桶不需要启用跨区域复制，则可以隐藏该存储桶的调查发现。

### 修复
<a name="s3-7-remediation"></a>

要在 S3 存储桶上启用跨区域复制，请参阅 *Amazon Simple Storage Service 用户指南*中的[为同一账户拥有的源存储桶和目标存储桶配置复制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html)。对于**源存储桶**，选择**应用到存储桶中的所有对象**。

## [S3.8] S3 通用存储桶应屏蔽公共访问权限
<a name="s3-8"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/2.1.4、CIS AWS 基金会基准 v3.0.02.1.4、CIS AWS 基金会基准 v1.4.0/2.1.5、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3（7）、、（21） NIST.800-53.r5 AC-3、、（11）、（16） NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4（20）、（21） NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7（21）、 NIST.800-53.r5 SC-7（3）、（4）、 NIST.800-53.r5 SC-7（9）、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全访问管理 > 访问控制

**严重性：**高

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)

**计划类型：**已触发变更

**参数：**
+ `excludedPublicBuckets`（不可自定义）- 已知允许的公共 S3 存储桶名称的逗号分隔列表

此控件可检查 Amazon S3 通用存储桶是否在存储桶级别屏蔽了公共访问权限。如果将以下任一设置设为 `false`，则此控件将失败：
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`

S3 存储桶级别的阻止公共访问提供了控制，以确保对象永远不会具有公共访问权限。通过访问控制列表 (ACLs)、存储桶策略或两者兼而有之，向存储桶和对象授予公共访问权限。

除非您打算公开访问 S3 存储桶，否则您应该配置存储桶级别 Amazon S3 屏蔽公共访问权限功能。

### 修复
<a name="s3-8-remediation"></a>

有关如何在存储桶级别删除公开访问权限的信息，请参阅 *Amazon S3 用户指南*中的[阻止公众访问 Amazon S3 存储](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html)。

## [S3.9] S3 通用存储桶应启用服务器访问日志记录
<a name="s3-9"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、nist.800-171.r2 3.8、PCI DSS v4.0.1/10.2.1

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查是否为 Amazon S3 通用存储桶启用了服务器访问日志记录。如果未启用服务器访问日志记录，则此控件将失败。启用日志记录后，Amazon S3 将源存储桶的访问日志传送到选定的目标存储桶。目标存储桶必须与源存储桶位于同一 AWS 区域 存储桶中，并且不得配置默认保留期。目标日志存储桶不需要启用服务器访问日志记录，您应该隐藏该存储桶的调查发现。

服务器访问日志记录提供对存储桶发出的请求的详细记录。服务器访问日志可以帮助进行安全和访问审核。有关更多信息，请参阅 [Amazon S3 的安全最佳实践：启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html)。

### 修复
<a name="s3-9-remediation"></a>

要启用 Amazon S3 服务器访问日志，请参阅 *Amazon S3 用户指南*中的[启用 Amazon S3 服务器访问日志](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。

## [S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置
<a name="s3-10"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-13 (5)

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon S3 通用版本存储桶是否具有生命周期配置。如果存储桶不具有生命周期配置，则此控件将失败。

我们建议为 S3 存储桶配置生命周期规则，以帮助您定义希望 Amazon S3 在对象生命周期内执行的操作。

### 修复
<a name="s3-10-remediation"></a>

有关在 Amazon S3 存储桶上配置生命周期的更多信息，请参阅[在存储桶上设置生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)[和管理存储生命周期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)。

## [S3.11] S3 通用存储桶应启用事件通知
<a name="s3-11"></a>

**相关要求：** NIST.800-53.r5 CA-7，nist.800-53.r5 SI-3 (8)、nist.800-53.r5 SI-4、nist.800-53.r5 SI-4 (4)、nist.800-171.r2 3.8

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `eventTypes`  |  首选 S3 事件类型列表  |  EnumList （最多 28 个项目）  |  `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent`  |  无默认值  | 

此控件可检查 Amazon S3 通用存储桶上是否启用了 S3 事件通知。如果未在存储桶上启用 S3 事件通知，则此控件将失败。如果您为 `eventTypes` 参数提供自定义值，则仅当在为指定类型的事件启用事件通知时，此控件才会通过。

启用 S3 事件通知后，当发生影响 S3 存储桶的特定事件时，您会收到警报。例如，您可以收到有关对象创建、对象移除和对象恢复的通知。这些通知可以提醒相关团队注意可能导致未经授权的数据访问的意外或故意修改。

### 修复
<a name="s3-11-remediation"></a>

有关检测 S3 存储桶和对象变更的信息，请参阅 *Amazon S3 用户指南*中的 [Amazon S3 事件通知](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html)。

## ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限
<a name="s3-12"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-6

**类别：**保护 > 安全访问管理 > 访问控制

**严重性：**中

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon S3 通用存储桶是否通过访问控制列表（ACL）为用户提供权限。如果将 ACL 配置为管理存储桶上的用户访问权限，则此控件将失败。

ACLs 是早于 IAM 的传统访问控制机制。相反 ACLs，我们建议使用 S3 存储桶策略或 AWS Identity and Access Management (IAM) 策略来管理对您的 S3 存储桶的访问权限。

### 修复
<a name="s3-12-remediation"></a>

要传递此控制权，您应该对 ACLs S3 存储桶禁用。有关说明，请参阅[《*Amazon 简单存储服务用户指南》中的控制对象所有权和禁用 ACLs 存储*桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)。

要创建 S3 存储桶策略，请参阅[使用 Amazon S3 控制台添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。要在 S3 存储桶上创建 IAM 用户策略，请参阅[使用用户策略控制对存储桶的访问权限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions)。

## [S3.13] S3 通用存储桶应具有生命周期配置
<a name="s3-13"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-13 (5)

**类别：**保护 > 数据保护 

**严重性：**低

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `targetTransitionDays`  |  对象创建后转换到指定存储类的天数。  |  整数  |  `1` 到 `36500`  |  无默认值  | 
|  `targetExpirationDays`  |  对象创建后到被删除为止的天数。  |  整数  |  `1` 到 `36500`  |  无默认值  | 
|  `targetTransitionStorageClass`  |  目标 S3 存储类类型  |  枚举  |  `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE`  |  无默认值  | 

此控件可检查 Amazon S3 通用存储桶是否具有生命周期配置。如果存储桶不具有生命周期配置，则此控件将失败。如果您为前面的一个或多个参数提供自定义值，则仅当策略包含指定的存储类、删除时间或转换时间时，控制才会通过。

为 S3 存储桶创建生命周期配置可定义您希望 Amazon S3 在对象的生命周期内执行的操作。例如，您可以创建一个生命定期策略，该策略将对象转换为另一个存储类别，存档对象，或在指定时间段后将其删除。

### 修复
<a name="s3-13-remediation"></a>

有关在 Amazon S3 存储桶上配置生命周期策略的信息，请参阅[在存储桶上设置生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)，并参阅 *Amazon S3 用户指南*中的[管理存储生命周期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)。

## [S3.14] S3 通用存储桶应启用版本控制
<a name="s3-14"></a>

**类别：**保护 > 数据保护 > 数据删除保护

**相关要求：** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-12、nist.800-53.r5 SI-13 (5)、nist.800-171.r2 3.8 3.8

**严重性：**低

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon S3 通用存储桶是否启用了版本控制。如果暂停了存储桶的版本控制，则此控件将失败。

版本控制将对象的多个变体保留在同一个 S3 存储桶中。您可以使用版本控制来保留、检索和恢复 S3 存储桶中存储的对象的早期版本。版本控制可帮助您从意外的用户操作和应用程序故障中恢复。

**提示**  
随着版本控制导致存储桶中的对象数量增加，您可以设置生命周期策略以根据规则自动归档或删除版本化对象。有关更多信息，请参阅[受版本控制的对象的 Amazon S3 生命周期管理](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/)。

### 修复
<a name="s3-14-remediation"></a>

要在 S3 存储桶上使用版本控制，请参阅 *Amazon S3 用户指南*中的在[存储桶上启用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html)。

## [S3.15] S3 通用存储桶应启用对象锁定
<a name="s3-15"></a>

**类别：**保护 > 数据保护 > 数据删除保护

**相关要求：**NIST.800-53.r5 CP-6（2）、PCI DSS v4.0.1/10.5.1

**严重性：**中

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `mode`  |  S3 对象锁定保留模式  |  枚举  |  `GOVERNANCE`, `COMPLIANCE`  |  无默认值  | 

此控件可检查 Amazon S3 通用存储桶是否启用了对象锁定。如果没有为存储桶启用对象锁定，则此控件将失败。如果您为 `mode` 参数提供自定义值，则仅当 S3 对象锁定使用指定的保留模式时，控制才会通过。

您可以使用 S3 对象锁定通过 write-once-read-many (WORM) 模型存储对象。对象锁定可以帮助防止 S3 存储桶中的对象在固定时间内或无限期地被删除或覆盖。您可以​使用 S3 对象锁定满足需要 WORM 存储的法规要求，或添加一个额外的保护层来防止对象被更改和删除。

### 修复
<a name="s3-15-remediation"></a>

要为新的和现有 S3 存储桶配置对象锁定，请参阅《Amazon S3 用户指南》**中的[配置 S3 对象锁定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html)。

## [S3.17] S3 通用存储桶应使用静态加密 AWS KMS keys
<a name="s3-17"></a>

**类别：**保护 > 数据保护 > 加密 data-at-rest

**相关要求：** NIST.800-53.r5 SC-12 (2)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、(10)、(1)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)、 NIST.800-53.r5 CA-9 nist.800-53.r5 AU-9、nist.800-171.r2 3.8.9、nist.800-171.r2 3.13.16、PCI DSS v4.0.1/3.5.1

**严重性：**中

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 Amazon S3 通用存储桶是否使用 AWS KMS key （SSE-KMS 或 DSSE-KMS）进行加密。如果使用默认加密（SSE-S3）对存储桶进行加密，则此控件将失败。

服务器端加密（SSE）是接收数据的应用程序或服务在数据目的地对其进行加密。密是指由接收数据的应用程序或服务在目标位置对数据进行加密。除非您另行指定，否则 S3 存储桶默认使用 Amazon S3 托管密钥（SSE-S3）进行服务器端加密。但是，为了增加控制力，您可以选择将存储桶配置为改用服务器端加密 AWS KMS keys （SSE-KMS 或 DSSE-KMS）。当您的数据写入数据中心的磁盘时，Amazon S3 会在对象级别对其进行加密，并在您访问 AWS 数据时为您解密。

### 修复
<a name="s3-17-remediation"></a>

*要使用 SSE-KMS 加密 S3 存储桶，请参阅 Amazon S3 用户指南中的[使用 AWS KMS (SSE-KMS) 指定服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html)。**要使用 DSSE-KMS 加密 S3 存储桶，请参阅 Amazon S3 用户指南[中的使用 AWS KMS keys (DSSE-KMS) 指定双层服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html)。*

## [S3.19] S3 接入点已启用屏蔽公共访问权限设置
<a name="s3-19"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、、(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**类别：**保护 > 安全访问管理 > 资源不公开访问

**严重性：**严重

**资源类型：**`AWS::S3::AccessPoint`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)

**计划类型：**已触发变更

**参数：**无

该控件检查 Amazon S3 接入点是否启用了屏蔽公共访问权限设置。如果没有为接入点启用屏蔽公共访问权限设置，则控制失败。

Amazon S3 屏蔽公共访问权限功能可帮助您在 3 个级别上管理对 S3 资源的访问权限：账户、存储桶和接入点级别。可以独立配置每个级别的设置，从而允许您对数据设置不同级别的公共访问权限限制。接入点设置不能单独覆盖更高级别的、限制性更高的设置（账户级别或分配给接入点的存储桶）。相反，接入点级别的设置是附加的，这意味着它们作为其他级别的设置的补充，并与之配合使用。除非您打算让 S3 接入点可供公共访问，否则应启用屏蔽公共访问权限设置。

### 修复
<a name="s3-19-remediation"></a>

Amazon S3 当前不支持在创建接入点之后更改接入点的屏蔽公共访问权限设置。默认情况下，在创建新的接入点时，将启用所有屏蔽公共访问权限设置。除非您有特定的需求要禁用任何一个设置，建议您将所有设置保持为启用状态。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[管理接入点的公共访问权限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html)。

## [S3.20] S3 通用存储桶应启用 MFA 删除
<a name="s3-20"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/2.1.2、CIS 基金会基准 v3.0.0/2.1.2、CIS AWS 基金会基准 v1.4.0/2.1.3、(1)、(2) AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**类别：**保护 > 数据保护 > 数据删除保护

**严重性：**低

**资源类型：**`AWS::S3::Bucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon S3 通用存储桶是否启用了多重身份验证（MFA）删除。如果存储桶未启用 MFA 删除，则控件将失败。对于具有生命周期配置的存储桶，该控件不会生成任何调查发现。

如果为 S3 通用存储桶启用版本控制，则可以选择为存储桶配置 MFA 删除，从而添加另一层安全保护。如果这样做，存储桶所有者必须在删除存储桶中对象的版本或更改存储桶的版本控制状态的任何请求中包含两种形式的身份验证。例如，如果存储桶所有者的安全凭证遭到泄露，MFA 删除可提供额外安全性。MFA 删除要求启动删除操作的用户证明其实际拥有具有 MFA 代码的 MFA 设备，并为删除操作增加额外的摩擦和安全性，这样也有助于防止存储桶被意外删除。

**注意**  
仅当 S3 通用存储桶启用 MFA 删除时，此控件才会生成 `PASSED` 调查发现。要为某存储桶启用 MFA 删除，还必须为该存储桶启用版本控制。存储桶版本控制是在相同的存储桶中存储 S3 对象的多个变体的方法。此外，只有以根用户身份登录的存储桶拥有者才能启用 MFA 删除并对存储桶执行删除操作。不能对具有生命周期配置的存储桶使用 MFA 删除。

### 修复
<a name="s3-20-remediation"></a>

有关启用版本控制和为 S3 存储桶配置 MFA 删除的信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[配置 MFA 删除](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html)。

## [S3.22] S3 通用存储桶应记录对象级写入事件
<a name="s3-22"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/3.8、CIS 基金会基准 v3.0.0/3.8、PCI DSS AWS v4.0.1/10.2.1

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)

**计划类型：**定期

**参数：**无

此控件检查是否至少 AWS 账户 有一个 AWS CloudTrail 多区域跟踪，用于记录 Amazon S3 存储桶的所有写入数据事件。如果账户没有用于记录 S3 存储桶写入数据事件的多区域跟踪，则此控件将失败。

S3 对象级操作（例如 `GetObject`、`DeleteObject` 和 `PutObject`）称为数据事件。默认情况下， CloudTrail 不记录数据事件，但您可以配置跟踪以记录 S3 存储桶的数据事件。当您为写入数据事件启用对象级日志记录时，您可以记录 S3 存储桶内每个单独的对象（文件）访问。启用对象级日志记录可以帮助您满足数据合规性要求，执行全面的安全分析，监控您的特定用户行为模式 AWS 账户，并使用 Amazon Events 对 S3 存储桶中的对象级 API 活动采取措施。 CloudWatch 如果您配置了多区域跟踪，用于记录所有 S3 存储桶的只写或所有类型的数据事件，则此控件会生成 `PASSED` 调查发现。

### 修复
<a name="s3-22-remediation"></a>

要为 S3 存储桶启用对象级日志记录，请参阅《Amaz [on *简单*存储服务用户指南》中的 “为 S3 存储桶和对象启用 CloudTrail 事件记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)”。

## [S3.23] S3 通用存储桶应记录对象级读取事件
<a name="s3-23"></a>

**相关要求：**独联体 AWS 基金会基准 v5.0.0/3.9、CIS 基金会基准 v3.0.0/3.9、PCI DSS AWS v4.0.1/10.2.1

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)

**计划类型：**定期

**参数：**无

此控件检查是否至少 AWS 账户 有一个 AWS CloudTrail 多区域跟踪，用于记录 Amazon S3 存储桶的所有读取数据事件。如果账户没有用于记录 S3 存储桶读取数据事件的多区域跟踪，则此控件将失败。

S3 对象级操作（例如 `GetObject`、`DeleteObject` 和 `PutObject`）称为数据事件。默认情况下， CloudTrail 不记录数据事件，但您可以配置跟踪以记录 S3 存储桶的数据事件。当您为读取数据事件启用对象级日志记录时，您可以记录 S3 存储桶内每个单独的对象（文件）访问。启用对象级日志记录可以帮助您满足数据合规性要求，执行全面的安全分析，监控您的特定用户行为模式 AWS 账户，并使用 Amazon Events 对 S3 存储桶中的对象级 API 活动采取措施。 CloudWatch 如果您配置了多区域跟踪，用于记录所有 S3 存储桶的只读或所有类型的数据事件，则此控件会生成 `PASSED` 调查发现。

### 修复
<a name="s3-23-remediation"></a>

要为 S3 存储桶启用对象级日志记录，请参阅《Amaz [on *简单*存储服务用户指南》中的 “为 S3 存储桶和对象启用 CloudTrail 事件记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)”。

## [S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置
<a name="s3-24"></a>

**相关要求：**PCI DSS v4.0.1/1.4.4

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**高

**资源类型：**`AWS::S3::MultiRegionAccessPoint`

**AWS Config 规则:**`s3-mrap-public-access-blocked`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon S3 多区域接入点是否启用了屏蔽公共访问权限设置。当多区域接入点未启用屏蔽公共访问权限设置时，此控件将失败。

可公开访问的资源可能会导致未经授权的访问、数据泄露或漏洞利用。通过身份验证和授权措施来限制访问有助于保护敏感信息并维护资源的完整性。

### 修复
<a name="s3-24-remediation"></a>

默认情况下，为 S3 多区域接入点启用所有屏蔽公共访问权限设置。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[用 Amazon S3 多区域接入点屏蔽公共访问权限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html)。在创建多区域接入点之后，您无法更改其屏蔽公共访问权限设置。

## [S3.25] S3 目录存储桶应具有生命周期配置
<a name="s3-25"></a>

**类别：** 保护 > 数据保护

**严重性：**低

**资源类型：**`AWS::S3Express::DirectoryBucket`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `targetExpirationDays`  |  创建对象后对象应过期的天数。  |  整数  |  `1` 到 `2147483647`  |  无默认值  | 

此控件检查是否为 S3 目录存储桶配置了生命周期规则。如果未为目录存储桶配置生命周期规则，或者存储桶的生命周期规则指定的过期设置与您可选指定的参数值不匹配，则该控件会失败。

在 Amazon S3 中，生命周期配置是一组规则，其定义 Amazon S3 对存储桶中的一组对象执行的操作。对于 S3 目录存储桶，您可以创建一个生命周期规则，根据期限（以天为单位）指定对象何时过期。您还可以创建一个删除未完成分段上传的生命周期规则。与其他类型的 S3 存储桶（例如通用存储桶）不同，目录存储桶对生命周期规则不支持其他类型的操作（例如在存储类别之间转换对象）。

### 修复
<a name="s3-25-remediation"></a>

要为 S3 目录存储桶定义生命周期配置，请为该存储桶创建一个生命周期规则。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[为目录存储桶创建和管理生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html)。

# 适用于 AI 的 Security Hub CSPM 控件 SageMaker
<a name="sagemaker-controls"></a>

这些 AWS Security Hub CSPM 控制措施会评估 Amazon SageMaker AI 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网
<a name="sagemaker-1"></a>

**相关要求：** NIST.800-53.r5 AC-21、、 NIST.800-53.r5 AC-3（7）、（21） NIST.800-53.r5 AC-3、、、（11）、（16） NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4（20）、（21） NIST.800-53.r5 AC-6、（3） NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7（4）、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7（9）、PCI DSS v3.2.1/1.2.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.4 2.1/1.3.6，PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**高

**资源类型：**`AWS::SageMaker::NotebookInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)

**计划类型：**定期

**参数：**无

此控件用于检查 SageMaker AI 笔记本实例是否已禁用直接互联网接入。如果为笔记本实例启用了 `DirectInternetAccess` 字段，则此控件将失败。

如果您在没有 VPC 的情况下配置 SageMaker AI 实例，则默认情况下，您的实例将启用直接互联网访问。您应该使用 VPC 配置实例，并将默认设置变更为**禁用——通过 VPC 访问 Internet**。要使用笔记本电脑训练或托管模型，您需要访问 Internet。要启用互联网访问，您的 VPC 必须具有接口端点（AWS PrivateLink）或 NAT 网关，以及允许出站连接的安全组。要详细了解如何将笔记本实例连接到 VPC 中的资源，请参阅 *Amazon A SageMaker I 开发人员指南*[中的将笔记本实例连接到 VPC 中的资源](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html)。您还应确保只有经过授权的用户才能访问您的 SageMaker AI 配置。限制允许用户更改 A SageMaker I 设置和资源的 IAM 权限。

### 修复
<a name="sagemaker-1-remediation"></a>

在创建笔记本实例后，您无法变更 Internet 访问设置。相反，您可以停止、删除和重新创建 Internet 访问受阻的实例。要删除允许直接访问互联网的笔记本实例，请参阅 *Amazon A SageMaker I 开发者指南*中的[使用笔记本实例构建模型：清理](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html)。要重新创建拒绝 Internet 访问的笔记本实例，请参阅[创建笔记本实例](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html)。对于**网络，直接访问Internet**，选择**禁用-通过 VPC 访问 Internet。**

## [SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动
<a name="sagemaker-2"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)

**类别：**保护 > 安全网络配置 > VPC 内的资源

**严重性：**高

**资源类型：**`AWS::SageMaker::NotebookInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon SageMaker AI 笔记本实例是否在自定义虚拟私有云 (VPC) 中启动。如果 A SageMaker I 笔记本实例未在自定义 VPC 内启动或在 SageMaker AI 服务 VPC 中启动，则此控制失败。

子网是 VPC 内的一系列 IP 地址。我们建议尽可能将资源保留在自定义 VPC 内，以确保为您的基础设施提供安全的网络保护。Amazon VPC 是专用于您的虚拟网络 AWS 账户。使用 Amazon VPC，您可以控制 A SageMaker I Studio 和笔记本实例的网络访问和互联网连接。

### 修复
<a name="sagemaker-2-remediation"></a>

在创建笔记本实例后，您无法变更 VPC 设置。相反，您可以停止、删除和重新创建实例。有关说明，请参阅 *Amazon A SageMaker I 开发者指南*中的[使用笔记本实例构建模型：清理](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html)。

## [SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限
<a name="sagemaker-3"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6、 NIST.800-53.r5 AC-6 (10)、 NIST.800-53.r5 AC-6 (2)

**类别：**保护 > 安全访问管理 >根用户访问限制

**严重性：**高

**资源类型：**`AWS::SageMaker::NotebookInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否已为 Amazon A SageMaker I 笔记本实例开启根访问权限。如果为 SageMaker AI 笔记本实例开启了根访问权限，则控制失败。

根据最低权限原则，建议的安全最佳实践是限制根用户对实例资源的访问权限，以避免无意中过度预置权限。

### 修复
<a name="sagemaker-3-remediation"></a>

要限制对 SageMaker AI 笔记本实例的根访问权限，请参阅 A *mazon A SageMaker I 开发者指南中的控制 A SageMaker I* [笔记本实例的根访问](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html)权限。

## [SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1
<a name="sagemaker-4"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5、 NIST.800-53.r5 SC-3 6、 NIST.800-53.r5 SA-1 3

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::SageMaker::EndpointConfig`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)

**计划类型：**定期

**参数：**无

此控件会检查 Amazon A SageMaker I 终端节点的生产变体的初始实例数是否大于 1。如果端点的生产变体只有 1 个初始实例，则此控件将失败。

在实例数大于 1 的情况下运行的生产变体允许由 A SageMaker I 管理的多可用区实例冗余。跨多个可用区部署资源是在您的架构中提供高可用性 AWS 的最佳实践。高可用性可帮助您从安全事件中恢复。

**注意**  
此控件仅适用于基于实例的端点配置。

### 修复
<a name="sagemaker-4-remediation"></a>

有关终端节点配置参数的更多信息，请参阅 *Amazon A SageMaker I 开发人员指南*中的[创建终端节点配置](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config)。

## [SageMaker.5] SageMaker 模型应启用网络隔离
<a name="sagemaker-5"></a>

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**中

**资源类型：**`AWS::SageMaker::Model`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon A SageMaker I 托管模型是否启用了网络隔离。如果托管模型的 `EnableNetworkIsolation` 参数设置为 `False`，则该控件会失败。

SageMaker AI 训练和部署的推理容器默认支持互联网。如果您不希望 SageMaker AI 为训练或推理容器提供外部网络访问权限，则可以启用网络隔离。如果启用网络隔离，则无法通过模型容器进行入站或出站网络调用，包括通过其他 AWS 服务进行的调用。此外，容器运行时环境不提供任何 AWS 凭证。启用网络隔离有助于防止互联网意外访问您的 SageMaker AI 资源。

**注意**  
2025年8月13日，Security Hub CSPM更改了该控件的标题和描述。新的标题和描述更准确地反映了控件会检查 Amazon A SageMaker I 托管模型的`EnableNetworkIsolation`参数设置。以前，此控件的标题为：*SageMaker models should block inbound traffic*。

### 修复
<a name="sagemaker-5-remediation"></a>

有关 SageMaker AI 模型的网络隔离的更多信息，请参阅 A *mazon A SageMaker I 开发者*指南[中的在无互联网模式下运行训练和推理容器](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html)。创建模型时，您可以通过将 `EnableNetworkIsolation` 参数的值设置为 `True` 来启用网络隔离。

## [SageMaker.6] 应 SageMaker 标记应用程序映像配置
<a name="sagemaker-6"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::SageMaker::AppImageConfig`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 Amazon SageMaker AI 应用程序映像配置 (`AppImageConfig`) 是否具有`requiredKeyTags`参数指定的标签密钥。如果应用程序映像配置没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果应用程序映像配置没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="sagemaker-6-remediation"></a>

要向 Amazon A SageMaker I 应用程序映像配置 (`AppImageConfig`) 添加标签，您可以使用 SageMaker AI API 的[AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)操作，或者，如果您使用的是 AWS CLI，则运行 add [-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html) 命令。

## [SageMaker.7] 应为 SageMaker 图像加标签
<a name="sagemaker-7"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::SageMaker::Image`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 Amazon SageMaker AI 图像是否具有`requiredKeyTags`参数指定的标签密钥。如果映像没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果映像没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="sagemaker-7-remediation"></a>

要向 Amazon A SageMaker I 图像添加标签，您可以使用 AI AP SageMaker I 的[AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)操作，或者，如果您使用的是 AWS CLI，则可以运行 add [-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html) 命令。

## [SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行
<a name="sagemaker-8"></a>

**类别：**检测 > 漏洞、补丁和版本管理

**严重性：**中

**资源类型：**`AWS::SageMaker::NotebookInstance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)

**计划类型：**定期

**参数：**
+ `supportedPlatformIdentifierVersions`：`notebook-al2-v3`（不可自定义）

此控件根据为笔记本实例指定的平台标识符，检查 SageMaker Amazon AI 笔记本实例是否配置为在支持的平台上运行。如果笔记本实例配置为在不再受支持的平台上运行，则该控件会失败。

如果不再支持 Amazon SageMaker AI 笔记本实例的平台，则该平台可能无法收到安全补丁、错误修复或其他类型的更新。笔记本实例可能会继续运行，但它们不会收到 SageMaker AI 安全更新或严重错误修复。使用不支持的平台所带来的风险由您自行承担。有关更多信息，请参阅 *Amazon A SageMaker I 开发者指南*中的[JupyterLab版本控制](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html)。

### 修复
<a name="sagemaker-8-remediation"></a>

有关 Amazon A SageMaker I 目前支持的平台以及如何迁移到这些平台的信息，请参阅《[亚马逊 A * SageMaker I 开发者指南》中的 Amaz* on Linux 2 笔记本实例](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html)。

## [SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密
<a name="sagemaker-9"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::SageMaker::DataQualityJobDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon SageMaker AI 数据质量任务定义是否为容器间流量启用了加密。如果监控数据质量和漂移的任务的定义没有为容器间流量启用加密，则控制失败。

启用容器间流量加密可在分布式处理期间保护敏感的机器学习数据，以进行数据质量分析。

### 修复
<a name="sagemaker-9-remediation"></a>

有关 Amazon AI 的容器间流量加密的更多信息，请参阅 SageMaker Amazon A * SageMaker I 开发人员指南*[中的保护分布式训练 Job 中机器学习计算实例之间的通信](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html)。创建数据质量任务定义时，您可以通过将`EnableInterContainerTrafficEncryption`参数的值设置为来启用容器间流量加密。`True`

## [SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密
<a name="sagemaker-10"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::SageMaker::ModelExplainabilityJobDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon SageMaker 模型可解释性任务定义是否启用了容器间流量加密。如果模型可解释性任务定义未启用容器间流量加密，则控制失败。

启用容器间流量加密可在分布式处理期间保护敏感的机器学习数据，例如模型数据、训练数据集、中间处理结果、参数和模型权重，以进行可解释性分析。

### 修复
<a name="sagemaker-10-remediation"></a>

对于现有的 SageMaker 模型可解释性任务定义，无法在原地更新容器间流量加密。要创建启用容器间流量加密的新 SageMaker 模型可解释性任务定义，请使用 API [或 CL [I](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) 或[ CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html)并将设置为。[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)`True`

## [SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离
<a name="sagemaker-11"></a>

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::SageMaker::DataQualityJobDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon SageMaker AI 数据质量监控任务定义是否启用了网络隔离。如果监控数据质量和偏差的作业的定义禁用了网络隔离，则控制失败。

网络隔离可减少攻击。浮出水面并防止外部访问，从而防止未经授权的外部访问、意外的数据泄露和潜在的数据泄露。

### 修复
<a name="sagemaker-11-remediation"></a>

有关 AI 网络隔离的更多信息，请参阅 A *mazon SageMaker A SageMaker I 开发者*[指南中的在无互联网模式下运行训练和推理容器](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html)。创建数据质量作业定义时，可以通过将`EnableNetworkIsolation`参数的值设置为来启用网络隔离`True`。

## [SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离
<a name="sagemaker-12"></a>

**类别：**保护 > 安全网络配置 > 资源策略配置

**严重性：**中

**资源类型：**`AWS::SageMaker::ModelBiasJobDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 SageMaker 模型偏差作业定义是否启用了网络隔离。如果模型偏差作业定义未启用网络隔离，则控制失败。

网络隔离可防止 SageMaker 模型偏差作业通过 Internet 与外部资源通信。通过启用网络隔离，可以确保任务的容器无法建立出站连接，从而减少攻击面并保护敏感数据免遭泄露。这对于处理受监管或敏感数据的作业尤其重要。

### 修复
<a name="sagemaker-12-remediation"></a>

要启用网络隔离，您必须创建一个新的模型偏差作业定义，并将`EnableNetworkIsolation`参数设置为`True`。创建作业定义后，无法修改网络隔离。要创建新的模型偏差任务定义，请参阅 *Amazon A SageMaker I 开发者指南[ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)*中的。

## [SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密
<a name="sagemaker-13"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::SageMaker::ModelQualityJobDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon SageMaker 模型质量任务定义是否为容器间流量启用了传输中加密。如果模型质量任务定义未启用容器间流量加密，则控制失败。

容器间流量加密可保护分布式模型质量监控任务期间容器之间传输的数据。默认情况下，容器间流量未加密。启用加密有助于在处理过程中保持数据机密性，并支持遵守传输中数据保护的监管要求。

### 修复
<a name="sagemaker-13-remediation"></a>

要为您的 Amazon SageMaker 模型质量任务定义启用容器间流量加密，您必须使用相应的传输中加密配置重新创建任务定义。要创建模型质量任务定义，请参阅 *Amazon A SageMaker I 开发者指南[ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)*中的。

## [SageMaker.14] SageMaker 监控计划应启用网络隔离
<a name="sagemaker-14"></a>

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::SageMaker::MonitoringSchedule`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon SageMaker 监控计划是否启用了网络隔离。如果监视计划 EnableNetworkIsolation 设置为 false 或未配置，则控制失败

网络隔离可防止监控作业进行出站网络呼叫，通过消除容器访问互联网来减少攻击面。

### 修复
<a name="sagemaker-14-remediation"></a>

有关在创建或更新监控计划时在 NetworkConfig 参数中配置网络隔离的信息，请参阅 *Amazon A SageMaker I 开发者指南[ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)*中的[CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)或。

## [SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密
<a name="sagemaker-15"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::SageMaker::ModelBiasJobDefinition`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)

**计划类型：**已触发变更

**参数：**无

此控件检查在使用多个计算实例时，Amazon SageMaker 模型偏差任务定义是否启用了容器间流量加密。如果设置`EnableInterContainerTrafficEncryption`为 false 或者没有为实例计数等于 2 或更大的作业定义进行配置，则控件将失败。

EInter-容器流量加密可保护分布式模型偏差监控作业期间计算实例之间传输的数据。加密可防止未经授权访问模型相关信息，例如在实例之间传输的权重。

### 修复
<a name="sagemaker-15-remediation"></a>

要为 SageMaker 模型偏差任务定义启用容器间流量加密，请在任务定义使用多个计算实例`True`时将`EnableInterContainerTrafficEncryption`参数设置为。有关保护 ML 计算实例之间通信的信息，请参阅 *Amazon A SageMaker I 开发人员指南*[中的保护分布式训练 Job 中机器学习计算实例之间的通](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html)信。

# Secrets Manager 的 Security Hub CSPM 控件
<a name="secretsmanager-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS Secrets Manager 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [SecretsManager.1] Secrets Manager 密钥应启用自动轮换
<a name="secretsmanager-1"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3 (15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9

**类别：**保护 > 安全开发

**严重性：**中

**资源类型：**`AWS::SecretsManager::Secret`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `maximumAllowedRotationFrequency`  |  密钥轮换频率的最大允许天数（以天为单位）。  |  整数  |  `1` 到 `365`  |  无默认值  | 

此控件检查存储在中的密钥 AWS Secrets Manager 是否配置了自动轮换。如果密钥未配置自动轮换，则控制失败。如果您为 `maximumAllowedRotationFrequency` 参数提供自定义值，则仅当密钥在指定的时间窗口内自动轮换时，控制才会通过。

Screts Manager 可帮助您改善组织的安全状况。密钥包括数据库凭证、密码和第三方 API 密钥。您可以使用 Secrets Manager 集中存储机密、自动加密机密、控制对机密的访问以及安全自动轮换机密。

Secrets Manager 可以轮换密钥。您可以使用轮换将长期密钥替换为短期机密。轮换密钥会限制未经授权的用户使用泄露密钥的时间。因此，您应该经常轮换机密。要了解有关轮换的更多信息，请参阅《*AWS Secrets Manager 用户指南》*[中的轮换 AWS Secrets Manager 密钥](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。

### 修复
<a name="secretsmanager-1-remediation"></a>

要启用 Secrets Manager 密钥的[自动轮换，请参阅《*AWS Secrets Manager 用户指南》*中的使用控制台为 AWS Secrets Manager 密钥设置自动轮换](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html)。必须选择和配置轮换 AWS Lambda 函数。

## [SecretsManager.2] 配置了自动轮换功能的 Secrets Manager 密钥应成功轮换
<a name="secretsmanager-2"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3 (15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9

**类别：**保护 > 安全开发

**严重性：**中

**资源类型：**`AWS::SecretsManager::Secret`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)

**计划类型：**已触发变更

**参数：**无

此控件根据轮换计划检查 AWS Secrets Manager 密钥是否成功轮换。如果 `RotationOccurringAsScheduled` 是 `false`，则控制失败。该控件只评估已开启轮换。

Screts Manager 可帮助您改善组织的安全状况。密钥包括数据库凭证、密码和第三方 API 密钥。您可以使用 Secrets Manager 集中存储机密、自动加密机密、控制对机密的访问以及安全自动轮换机密。

Secrets Manager 可以轮换密钥。您可以使用轮换将长期密钥替换为短期机密。轮换密钥会限制未经授权的用户使用泄露密钥的时间。因此，您应该经常轮换机密。

除了将机密配置为自动轮换之外，您还应确保这些机密根据轮换计划成功轮换。

要了解有关轮换的更多信息，请参阅 *AWS Secrets Manager 用户指南*中的[轮换 AWS Secrets Manager 密钥](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。

### 修复
<a name="secretsmanager-2-remediation"></a>

如果自动轮换失败，那么 Secrets Manager 可能遇到了错误配置。要在 Secrets Manager 中轮换密钥，您可以使用 Lambda 函数来定义如何与拥有该密钥的数据库或服务进行交互。

有关诊断和修复与密钥轮换相关的常见错误的帮助，请参阅*AWS Secrets Manager 用户指南*中的[密钥 AWS Secrets Manager 轮换疑难解答](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html)。

## [SecretsManager.3] 移除未使用的 Secrets Manager 密钥
<a name="secretsmanager-3"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3 (15)

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::SecretsManager::Secret`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `unusedForDays`  |  密钥可以保持未使用状态的最大天数  |  整数  |  `1` 到 `365`  |  `90`  | 

此控件检查 AWS Secrets Manager 密钥是否在指定的时间范围内被访问。如果密钥在指定的时间范围之外未使用，则控制失败。除非您为访问期提供自定义参数值，否则 Security Hub CSPM 将使用 90 天的默认值。

删除未使用的机密与轮换机密一样重要。未使用的机密可能会被以前的用户滥用，他们不再需要访问这些机密。此外，随着越来越多的用户访问秘密，有人可能会处理不当并将其泄露给未经授权的实体，这增加了滥用的风险。删除未使用的密钥有助于撤销不再需要的用户的密钥访问权限。它还有助于降低 Secrets Manager 的使用 Secrets Manager 的成本。因此，必须定期删除未使用的密钥。

### 修复
<a name="secretsmanager-3-remediation"></a>

要删除不活跃的 Sec [rets Manager AWS Secrets Manager 密钥，请参阅*AWS Secrets Manager 用户指南*中的删除](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html)密钥。

## [SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换
<a name="secretsmanager-4"></a>

**相关要求：** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3 (15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::SecretsManager::Secret`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `maxDaysSinceRotation`  |  密钥可以保持不变的最大天数  |  整数  |  `1` 到 `180`  |  `90`  | 

此控件检查 AWS Secrets Manager 密钥是否在指定的时间范围内至少轮换一次。如果密钥未达到该轮换频率，则控制失败。除非您为轮换期提供自定义参数值，否则 Security Hub CSPM 将使用 90 天的默认值。

轮换密钥可以帮助您降低未经授权在 AWS 账户中使用密钥的风险。示例包括数据库凭证、密码、第三方 API 密钥，甚至任意文本。如果您长时间不更改密钥，则密钥更有可能被泄露。

随着越来越多的用户访问密钥，有人处理不当并将其泄露给未经授权的实体的可能性就变得更大。密钥可能会通过日志和缓存数据泄露出去。密钥可能会共享用于调试目的，但在调试完成后未更改或撤销。出于所有这些原因，密钥应该频繁地轮换。

您可以在 AWS Secrets Manager中为密钥配置自动轮换。通过自动轮换，您可以用短期密钥替换长期密钥，从而显着降低泄露风险。我们建议您为 Secrets Manager 密钥配置自动轮换。有关更多信息，请参阅 *AWS Secrets Manager 用户指南*中的[轮换 AWS Secrets Manager 密钥](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。

### 修复
<a name="secretsmanager-4-remediation"></a>

要启用 Secrets Manager 密钥的[自动轮换，请参阅《*AWS Secrets Manager 用户指南》*中的使用控制台为 AWS Secrets Manager 密钥设置自动轮换](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html)。必须选择和配置轮换 AWS Lambda 函数。

## [SecretsManager.5] 应标记 Secrets Manager 机密
<a name="secretsmanager-5"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::SecretsManager::Secret`

**AWS Config 规则:**`tagged-secretsmanager-secret`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS Secrets Manager 密钥是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果密钥没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果该密钥未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="secretsmanager-5-remediation"></a>

要向 Secrets Manager 密钥添加[标签，请参阅*AWS Secrets Manager 用户指南*中的标签 AWS Secrets Manager 密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html)钥。

# Security Hub CSPM 控件适用于 AWS Service Catalog
<a name="servicecatalog-controls"></a>

此 AWS Security Hub CSPM 控件评估 AWS Service Catalog 服务和资源。该控件可能并非在所有 AWS 区域都可用。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享
<a name="servicecatalog-1"></a>

**相关要求：** NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7

**类别：**保护 > 安全访问管理

**严重性：**中

**资源类型：**`AWS::ServiceCatalog::Portfolio`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)

**计划类型：**已触发变更

**参数：**无

此控件检查启用与 AWS Organizations 集成后，组织内是否 AWS Service Catalog 共享投资组合。如果组织内不共享产品组合，则此控件将失败。

仅在组织内共享产品组合有助于确保不会与不正确的 AWS 账户共享产品组合。要与组织中的账户共享服务目录组合，Security Hub CSPM 建议使用`ORGANIZATION_MEMBER_ACCOUNT`代替。`ACCOUNT`这样就可以通过管理整个组织内授予账户的访问权限来简化管理。如果您有业务需要与外部账户共享 Service Catalog 产品组合，您可以从此控件[自动隐藏调查发现](automation-rules.md)或[禁用此控件](disable-controls-overview.md)。

### 修复
<a name="servicecatalog-1-remediation"></a>

要启用与共享电子档案夹 AWS Organizations，请参阅《*AWS Service Catalog 管理员指南》 AWS Organizations*中的 “[与共享](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations)”。

# 适用于 Amazon SES 的 Security Hub CSPM 控件
<a name="ses-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估了亚马逊简单电子邮件服务 (Amazon SES) Service 的服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [SES.1] 应标记 SES 联系人列表
<a name="ses-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::SES::ContactList`

**AWS Config规则:**`tagged-ses-contactlist`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon SES 联系人列表中是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果联系人列表没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果联系人列表未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="ses-1-remediation"></a>

要向亚马逊 SES 联系人列表添加标签，请参阅[TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)《*亚马逊 SES API v2 参考*》。

## [SES.2] 应标记 SES 配置集
<a name="ses-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::SES::ConfigurationSet`

**AWS Config规则:**`tagged-ses-configurationset`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件可检查 Amazon SES 配置集是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果配置集没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果配置集未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="ses-2-remediation"></a>

要向 Amazon SES 配置集添加标签，请参阅[TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)《*亚马逊 SES API v2 参考*》。

## [SES.3] SES 配置集应启用 TLS 以发送电子邮件
<a name="ses-3"></a>

**类别：**保护 > 数据保护 > 加密 data-in-transit 

**严重性：**中

**资源类型：**`AWS::SES::ConfigurationSet`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon SES 配置集是否需要 TLS 连接。如果配置集的 TLS 策略未设置`'REQUIRE'`为，则控制失败。

默认情况下，Amazon SES 使用机会主义 TLS，这意味着如果无法与接收邮件服务器建立 TLS 连接，则可以在未加密的情况下发送电子邮件。对电子邮件发送强制执行 TLS 可确保只有在可以建立安全的加密连接时才会发送邮件。这有助于在 Amazon SES 和收件人的邮件服务器之间传输期间保护电子邮件内容的机密性和完整性。如果无法建立安全的 TLS 连接，则邮件将无法传送，从而防止敏感信息可能被泄露。

**注意**  
虽然 TLS 1.3 是 Amazon SES 的默认传送方式，但如果不通过配置集强制执行 TLS 要求，则在 TLS 连接失败时，可能会以纯文本形式传送消息。要传递此控制权，您必须在 SES 配置集的传送选项`'REQUIRE'`中将 TLS 策略配置为。如果需要 TLS，则只有在能够与接收邮件服务器建立 TLS 连接的情况下，才会传递邮件。

### 修复
<a name="ses-3-remediation"></a>

要将 Amazon SES 配置为要求配置集使用 TLS 连接，请参阅《[亚马逊 SES *开发者指南》中的 Amazon SES* 和安全协议](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver)。

# 适用于亚马逊 SNS 的 Security Hub CSPM 控件
<a name="sns-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [SNS.1] SNS 主题应使用以下方法进行静态加密 AWS KMS
<a name="sns-1"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、8 (1)、(10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI- NIST.800-53.r5 SC-2 7 (6)、 NIST.800-53.r5 SC-7 nist.800-171.r2 3.13.11、nist.800-171.r2 3.13.11、nist.800-171.r2 3.13.16

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::SNS::Topic`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查是否使用 AWS Key Management Service （AWS KMS）中管理的密钥对 Amazon SNS 主题进行静态加密。如果 SNS 主题未使用 KMS 密钥进行服务器端加密（SSE），则此控件将失败。默认情况下，SNS 使用磁盘加密来存储消息和文件。要传递此控件，必须选择改用 KMS 密钥进行加密。这将额外增加一层安全性，并提供更多的访问控制灵活性。

对静态数据进行加密可降低存储在磁盘上的数据被未经身份验证的用户访问的风险。 AWS需要 API 权限来解密数据，然后才能读取数据。我们建议使用 KMS 密钥加密 SNS 主题，以额外增加一层安全性。

### 修复
<a name="sns-1-remediation"></a>

要为 SNS 主题启用 SSE，请参阅《Amazon Simple Notification Service 开发人员指南》**中的[为 Amazon SNS 主题启用服务器端加密（SSE）](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html)。在使用 SSE 之前，还必须配置 AWS KMS key 策略以允许对主题进行加密以及对消息进行加密和解密。有关更多信息，请参阅《*Amazon 简单通知服务开发者指南》*中的[配置 AWS KMS 权限](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse)。

## [SNS.2] 应为发送到主题的通知消息启用传输状态记录
<a name="sns-2"></a>

**重要**  
Security Hub CSPM 于 2024 年 4 月取消了该控制权。有关更多信息，请参阅 [Security Hub CSPM 控件的更改日志](controls-change-log.md)。

**相关要求：**NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2。

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::SNS::Topic`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否启用记录发送到端点的 Amazon SNS 主题的通知消息的传输状态。如果未启用邮件的传输状态通知，则此控件将失败。

日志记录是维护服务的可靠性、可用性和性能的重要组成部分。记录消息传送状态有助于提供操作见解，例如：
+ 了解消息是否已传输到 Amazon SNS 端点。
+ 识别从 Amazon SNS 端点发送到 Amazon SNS 的响应。
+ 确定消息停留时间（发布时间戳和移交到 Amazon SNS 端点之间的时间）。

### 修复
<a name="sns-2-remediation"></a>

要为主题配置传输状态日志，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 消息传输状态](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html)。

## [SNS.3] 应标记 SNS 主题
<a name="sns-3"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::SNS::Topic`

**AWS Config 规则:**`tagged-sns-topic`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon SNS 主题是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果主题没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果主题未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="sns-3-remediation"></a>

要为 SNS 主题添加标签，请参阅《Amazon Simple Notification Service Developer Guide》**中的 [Configuring Amazon SNS topic tags](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html)。

## [SNS.4] SNS 主题访问策略不应允许公共访问
<a name="sns-4"></a>

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**严重

**资源类型：**`AWS::SNS::Topic`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)

**计划类型：**已触发变更

**参数：**无

此控件可检查 Amazon SNS 主题访问策略是否允许公共访问。如果 SNS 主题访问策略允许公共访问，则此控件将失败。

您可以使用具有特定主题的 Amazon SNS 访问策略来限制谁能使用该主题（例如，谁能向该主题发布消息、谁能订阅该主题等）。SNS 策略可以向其他 AWS 账户人或您自己的 AWS 账户用户授予访问权限。在主题策略的 `Principal` 字段中提供通配符（\$1）以及缺乏限制主题策略的条件可能会导致数据泄露、拒绝服务或攻击者向您的服务中注入不必要的消息。

**注意**  
此控件不会评估使用通配符或变量的策略条件。要生成 `PASSED` 调查发现，Amazon SNS 主题访问策略中的条件必须仅使用固定值，即不包含通配符或策略变量的值。有关策略变量的信息，请参阅《AWS Identity and Access Management 用户指南》**中的[变量和标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

### 修复
<a name="sns-4-remediation"></a>

要更新 SNS 主题的访问策略，请参阅《Amazon Simple Notification Service Developer Guide》**中的 [Overview of managing access in Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html)。

# 适用于亚马逊 SQS 的 Security Hub CSPM 控件
<a name="sqs-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估亚马逊简单队列服务 (Amazon SQS) Simple Queue Service 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [SQS.1] 应对 Amazon SQS 队列进行静态加密
<a name="sqs-1"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::SQS::Queue`

**AWS Config 规则:**`sqs-queue-encrypted`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无

此控件检查是否对 Amazon SQS 队列进行了静态加密。如果队列未使用 SQS 托管密钥 (SSE-SQS) 或 () 密钥 (SSE-KMS) 加密， AWS Key Management Service 则控制失败。AWS KMS

对静态数据进行加密可降低未经身份验证的用户访问磁盘上存储的数据的风险。服务器端加密 (SSE) 使用 SQS 托管的加密密钥 (SSE-SQS) 或密钥 (SSE-KMS) 保护 SQS 队列中的消息内容。 AWS KMS 

### 修复
<a name="sqs-1-remediation"></a>

要为 SQS 队列配置 SSE，请参阅《Amazon Simple Queue Service 开发人员指南》**中的[为队列配置服务器端加密（SSE）（控制台）](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html)。

## [SQS.2] 应标记 SQS 队列
<a name="sqs-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::SQS::Queue`

**AWS Config 规则:**`tagged-sqs-queue`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon SQS 队列是否具有特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果队列没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果队列未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳实践，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="sqs-2-remediation"></a>

要使用 Amazon SQS 控制台向现有队列添加标签，请参阅《Amazon Simple Queue Service 开发人员指南》**中的[为 Amazon SQS 队列配置成本分配标签（控制台）](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html)。

## [SQS.3] SQS 队列访问策略不应允许公开访问
<a name="sqs-3"></a>

**类别：**保护 > 安全访问管理 > 资源不公开访问

**严重性：**严重

**资源类型：**`AWS::SQS::Queue`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon SQS 访问策略是否允许对 SQS 队列进行公开访问。如果 SQS 访问策略允许对队列进行公开访问，则该控件会失败。

Amazon SQS 访问策略可以允许公开访问 SQS 队列，这可能允许匿名用户或任何经过身份验证的 AWS IAM 身份访问该队列。SQS 访问策略通常通过在策略的`Principal` 元素中指定通配符（`*`）和/或不使用适当的条件限制对队列的访问来提供此访问。如果 SQS 访问策略允许公开访问，则第三方可能能够执行诸如从队列接收消息、向队列发送消息或修改队列的访问策略之类的任务。这可能会导致数据泄露、拒绝服务或威胁参与者向队列注入消息等事件。

**注意**  
此控件不会评估使用通配符或变量的策略条件。要生成 `PASSED` 调查发现，Amazon SQS 队列访问策略中的条件必须仅使用固定值，即不包含通配符或策略变量的值。有关策略变量的信息，请参阅《AWS Identity and Access Management 用户指南》**中的[变量和标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

### 修复
<a name="sqs-3-remediation"></a>

有关配置 SQS 队列的 SQS 访问策略的信息，请参阅《Amazon Simple Queue Service 开发人员指南》**中的[将自定义策略与 Amazon SQS 访问策略语言配合使用](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html)。

# 适用于 Step Functions 的 Security Hub CSPM 控件
<a name="stepfunctions-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS Step Functions 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [StepFunctions.1] Step Functions 状态机应该开启日志功能
<a name="stepfunctions-1"></a>

**相关要求：**PCI DSS v4.0.1/10.4.2

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::StepFunctions::StateMachine`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `logLevel`  |  最低日志记录级别  |  枚举  |  `ALL, ERROR, FATAL`  |  无默认值  | 

此控件检查 AWS Step Functions 状态机是否已开启日志记录。如果状态机没有开启日志记录，则控制失败。如果您为 `logLevel` 参数提供自定义值，则仅当状态机开启了指定的日志记录级别时，控制才会通过。

监控可帮助您保持 Step Functions 的可靠性、可用性和性能。您应从中收集尽可能多的监控数据 AWS 服务 ，以便可以更轻松地调试多点故障。为你的 Step Function CloudWatch s 状态机定义日志配置后，你就可以在 Amazon Logs 中跟踪执行历史和结果。或者，您只能跟踪错误或致命事件。

### 修复
<a name="stepfunctions-1-remediation"></a>

要为 Step Functions 状态机开启日志记录，请参阅 *AWS Step Functions 开发人员指南*中的[配置日志记录](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure)。

## [StepFunctions.2] 应标记 Step Functions 活动
<a name="stepfunctions-2"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::StepFunctions::Activity`

**AWS Config 规则:**`tagged-stepfunctions-activity`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值  | 

此控件检查 AWS Step Functions 活动是否具有参数中定义的特定键的标签`requiredTagKeys`。如果活动没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果活动未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="stepfunctions-2-remediation"></a>

要向 Step Functions 活动添加标签，请参阅《AWS Step Functions Developer Guide》**中的 [Tagging in Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html)。

# Systems Manager 的 Security Hub CSPM 控件
<a name="ssm-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS Systems Manager (SSM) 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [SSM.1] Amazon EC2 实例应由以下人员管理 AWS Systems Manager
<a name="ssm-1"></a>

**相关要求：**PCI DSS v3.2.1/2.4、 NIST.800-53.r5 CA-9 (1)、5 (2)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8)、nist.800-53.r NIST.800-53.r5 SA-1 5 SI-2 (3) NIST.800-53.r5 SA-3

**类别：**识别 > 清单

**严重性：**中

**评估的资源：**`AWS::EC2::Instance`

**所需的 AWS Config 录制资源：**`AWS::EC2::Instance`，`AWS::SSM::ManagedInstanceInventory`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)

**计划类型：**已触发变更

**参数：**无

此控件检查您账户中已停止和正在运行的 EC2 实例是否由管理 AWS Systems Manager。您可以使用 S AWS 服务 ystems Manager 来查看和控制您的 AWS 基础架构。

为了帮助您维护安全性和合规性，Systems Manager 会扫描已停止和正在运行的托管实例。托管实例是配置为与 Systems Manager 一起使用的机器。然后，Systems Manager 会报告其检测到的任何策略违规行为或采取纠正措施。Systems Manager 还帮助您配置和维护托管实例。要了解有关更多信息，请参阅 [AWS Systems Manager 用户指南](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)。

**注意**  
此控件会生成由管理的 AWS Elastic Disaster Recovery 复制服务器实例的 EC2 实例的`FAILED`调查结果 AWS。复制服务器实例是一个 EC2 实例，它由自动启动 AWS Elastic Disaster Recovery ，用于支持源服务器的持续数据复制。 AWS 故意从这些实例中移除 Systems Manager (SSM) 代理，以保持隔离并帮助防止潜在的意外访问路径。

### 修复
<a name="ssm-1-remediation"></a>

有关使用管理 EC2 实例的信息 AWS Systems Manager，请参阅*AWS Systems Manager 用户指南*[中的 Amazon EC2 主机管理](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html)。在 AWS Systems Manager 控制台的 “**配置选项**” 部分，您可以保留默认设置或根据需要对其进行更改，以满足您的首选配置。

## [SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态
<a name="ssm-2"></a>

**相关要求：**NIST.800-53.r5 CM-8（3）、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2（2）、NIST.800-53.r5 SI-2（3）、NIST.800-53.r5 SI-2（4）、NIST.800-53.r5 SI-2（5）、NIST.800-171.r2 3.7.1、PCI DSS v3.2.1/6.2、PCI DSS v4.0.1/2.2.1、PCI DSS v4.0.1/6.3.3

**类别：**检测 > 检测服务 

**严重性：**高

**资源类型：**`AWS::SSM::PatchCompliance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)

**计划类型：**已触发变更

**参数：**无

该控件在实例上安装补丁后检查 Systems Manager 补丁合规性的合规状态是否为 `COMPLIANT` 或 `NON_COMPLIANT`。如果合规性状态为 `NON_COMPLIANT`，则控制失败。该控件仅检查 Systems Manager Patch Manager 管理的实例。

根据您的组织的要求修补 EC2 实例可以减少 AWS 账户的攻击面。

### 修复
<a name="ssm-2-remediation"></a>

Systems Manager 建议使用[补丁策略](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html)为您的托管实例配置补丁。您也可以使用 [Systems Manager 文档](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html)（如以下过程所述）来修补实例。

**修复不合规的补丁**

1. 打开 AWS Systems Manager 控制台，网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。

1. 对于**节点管理**，选择**运行命令**，然后选择**运行命令**。

1. 选择 **AWS-** 的选项RunPatchBaseline。

1. 将**操作**改为**安装**。

1. 选择**手动选择实例**，然后选择不合规的实例。

1. 选择**运行**。

1. 命令完成后，要监控已修补实例的新合规性状态，请在导航窗格中选择**合规性**。

## [SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT
<a name="ssm-3"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)、nist.800-53.r5 CM-8、nist.800-53.r5 CM-8 (1)、nist.800-53.r5 CM-8 (3)、nist.800-53.r5 SI-2 (3)，PCI DSS v3.2.1/2.4，PCI DSS v4.0.1/2.1，PCI DSS v4.0.1/6.3.3

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::SSM::AssociationCompliance`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS Systems Manager 关联合规性的状态是`COMPLIANT`还是关联在实例上运行`NON_COMPLIANT`之后。如果关联合规性状态为 `NON_COMPLIANT`，则控制失败。

状态管理器关联是分配给托管实例的配置。该配置定义要在实例上保持的状态。例如，关联可以指定必须在实例上安装并运行防病毒软件，或者必须关闭某些端口。

创建一个或多个状态管理器关联后，您可以立即获得合规状态信息。您可以在控制台中查看合规性状态，也可以在响应 AWS CLI 命令或相应的 Systems Manager API 操作时查看合规性状态。对于关联，配置合规性显示合规性状态（`Compliant` 或 `Non-compliant`）。它还显示分配给关联的严重性级别，例如 `Critical` 或 `Medium`。

要了解有关 State Manager 关联合规性的更多信息，请参阅 *AWS Systems Manager 用户指南*中的[关于 State Manager 关联合规性](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association)。

### 修复
<a name="ssm-3-remediation"></a>

失败的关联可能与不同的事物相关，包括目标和 Systems Manager 文档名称。要修复此问题，您必须首先通过查看关联历史记录来识别和调查关联。有关查看关联历史记录的说明，请参阅 *AWS Systems Manager 用户指南*中的[查看关联历史记录](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html)。

调查完成后，您可以编辑关联以更正已结果的问题。您可以编辑关联以指定新名称、计划、严重级别或目标。编辑关联后， AWS Systems Manager 创建新版本。有关编辑关联的说明，请参阅 *AWS Systems Manager 用户指南*中的[编辑和创建关联的新版本](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html)。

## [SSM.4] SSM 文档不应公开
<a name="ssm-4"></a>

**相关要求：** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**严重

**资源类型：**`AWS::SSM::Document`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)

**计划类型：**定期

**参数：**无

此控件检查账户拥有的 AWS Systems Manager 文档是否公开。如果所有者为 `Self` 的 Systems Manager 文档是公开的，则此控件会失败。

公开的 Systems Manager 文档可能会允许意外访问您的文档。公开的 Systems Manager 文档可能会公开有关账户、资源和内部流程的有价值的信息。

除非使用案例要求公开共享，否则我们建议您阻止对所有者为 `Self` 的 Systems Manager 文档进行公开共享设置。

### 修复
<a name="ssm-4-remediation"></a>

有关配置 Systems Manager 文档共享的信息，请参阅《AWS Systems Manager 用户指南》**中的[共享 SSM 文档](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share)。

## [SSM.5] 应标记 SSM 文档
<a name="ssm-5"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::SSM::Document`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签键区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 AWS Systems Manager 文档是否具有`requiredKeyTags`参数指定的标签密钥。如果文档没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果文档没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。该控件不评估 Amazon 拥有的 Systems Manager 文档。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="ssm-5-remediation"></a>

要向 AWS Systems Manager 文档添加标签，您可以使用 AWS Systems Manager API 的[AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)操作，或者，如果您使用的是 AWS CLI，则运行[add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)命令。您还可以使用 AWS Systems Manager 控制台。

## [SSM.6] SSM 自动化应启用日志记录 CloudWatch
<a name="ssm-6"></a>

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查是否已启用 Amazon CloudWatch 日志功能 AWS Systems Manager (SSM) 自动化。如果未为 SSM 自动化启用 CloudWatch 日志记录，则控件将失败。

SSM Automation 是一 AWS Systems Manager 款工具，可帮助您构建自动化解决方案，以便使用预定义或自定义运行手册大规模部署、配置和管理 AWS 资源。为了满足贵组织的运营或安全要求，您可能需要提供其运行的脚本的记录。您可以将 SSM Automation 配置为将运行手册中`aws:executeScript`操作的输出发送到您指定的 Amazon Log CloudWatch s 日志组。使用 CloudWatch 日志，您可以监控、存储和访问各种日志文件 AWS 服务。

### 修复
<a name="ssm-6-remediation"></a>

有关启用 SSM 自动化的 CloudWatch 日志记录的信息，请参阅《*AWS Systems Manager 用户指南*》中的[使用 CloudWatch 日志记录自动化操作输出](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html)。

## [SSM.7] SSM 文档应启用“阻止公开共享”设置
<a name="ssm-7"></a>

**类别：**保护 > 安全访问管理 > 资源不公开访问

**严重性：**严重

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)

**计划类型：**定期

**参数：**无

此控件检查是否为 AWS Systems Manager 文档启用了阻止公开共享设置。如果为 Systems Manager 文档禁用了阻止公开共享设置，则此控件会失败。

 AWS Systems Manager (SSM) 文档的屏蔽公开共享设置是账户级别的设置。启用此设置可防止对 SSM 文档进行不需要的访问。启用此设置后，您的更改不会影响您当前与公众共享的任何 SSM 文档。除非您的使用案例要求与公众共享 SSM 文档，否则我们建议您启用阻止公开共享设置。每种设置可能有所不同 AWS 区域。

### 修复
<a name="ssm-7-remediation"></a>

有关为 AWS Systems Manager （SSM）文档启用阻止公开共享设置的信息，请参阅《AWS Systems Manager 用户指南》**中的[阻止 SSM 文档的公开共享](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access)。

# Security Hub CSPM 控件适用于 AWS Transfer Family
<a name="transfer-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS Transfer Family 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Transfer.1] 应标记 AWS Transfer Family 工作流程
<a name="transfer-1"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Transfer::Workflow`

**AWS Config 规则:**`tagged-transfer-workflow`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件检查 AWS Transfer Family 工作流程是否具有参数中定义的特定键的标签`requiredTagKeys`。如果工作流程没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果工作流程未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="transfer-1-remediation"></a>

**要向 Transfer Family 工作流程（控制台）添加标签，请执行以下操作**

1. 打开控制 AWS Transfer Family 台。

1. 在导航窗格中，选择**工作流**。然后，选择要标记的工作流程。

1. 选择**管理标签**，然后添加标签。

## [Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接
<a name="transfer-2"></a>

**相关要求：** NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5， NIST.800-53.r5 SC-8，PCI DSS v4.0.1/4.2.1

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::Transfer::Server`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)

**计划类型：**定期

**参数：**无

此控件检查 AWS Transfer Family 服务器是否使用 FTP 以外的协议进行端点连接。如果服务器使用 FTP 协议让客户端连接到服务器的端点，则此控件失败。

FTP（文件传输协议）通过未加密的通道建立端点连接，因此通过这些通道发送的数据容易被拦截。使用 SFTP（SSH 文件传输协议）、FTPS（安全文件传输协议）或AS2 （适用性声明 2）通过加密传输中的数据来提供额外的安全层，并可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。

### 修复
<a name="transfer-2-remediation"></a>

要修改 Transfer Family 服务器的协议，请参阅《AWS Transfer Family User Guide》**中的 [Edit the file transfer protocols](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols)。

## [Transfer.3] Transfer Family 连接器应启用日志记录
<a name="transfer-3"></a>

**相关要求：** NIST.800-53.r5 AC-2(12)、(4)、(26)、 NIST.800-53.r5 AC-2 (9)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-4、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::Transfer::Connector`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS Transfer Family 连接器是否启用了 Amazon CloudWatch 日志记录。如果连接器未启用 CloudWatch 日志记录，则控件将失败。

Amazon CloudWatch 是一项监控和可观察性服务，可提供对您的 AWS 资源（包括 AWS Transfer Family 资源）的可视性。对于 Transfer Family， CloudWatch提供工作流程进度和结果的合并审计和日志记录。这包括 Transfer Family 为工作流定义的多个指标。您可以将 Transfer Family 配置为在中自动记录连接器事件 CloudWatch。为此，您需要为连接器指定一个日志记录角色。对于日志记录角色，您可以创建一个 IAM 角色和一个基于资源的 IAM 策略（定义该角色的权限）。

### 修复
<a name="transfer-3-remediation"></a>

有关为 Transfer Family 连接器启用 CloudWatch [ CloudWatch 日志记录的信息，请参阅*AWS Transfer Family 用户指南*中的亚马逊 AWS Transfer Family 服务器](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html)日志记录。

## [Transfer.4] 应标记 Transfer Family 协议
<a name="transfer-4"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Transfer::Agreement`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 AWS Transfer Family 协议是否具有`requiredKeyTags`参数指定的标签密钥。如果协议没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果协议没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="transfer-4-remediation"></a>

有关向 AWS Transfer Family 协议添加标签的信息，请参阅《[标记资源*和标签编辑器用户指南》中的 AWS 资源标记*方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)。

## [Transfer.5] 应标记 Transfer Family 证书
<a name="transfer-5"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Transfer::Certificate`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 AWS Transfer Family 证书是否具有`requiredKeyTags`参数指定的标签密钥。如果证书没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果证书没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="transfer-5-remediation"></a>

有关为 AWS Transfer Family 证书添加标签的信息，请参阅《[标记资源*和标签编辑器用户指南》中的 AWS 资源标记*方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)。

## [Transfer.6] 应标记 Transfer Family 连接器
<a name="transfer-6"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Transfer::Connector`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 AWS Transfer Family 连接器是否具有`requiredKeyTags`参数指定的标签密钥。如果连接器没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果连接器没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="transfer-6-remediation"></a>

有关向 AWS Transfer Family 连接器添加标签的信息，请参阅《[标记资源*和标签编辑器用户指南》中的 AWS 资源标记*方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)。

## [Transfer.7] 应标记 Transfer Family 配置文件
<a name="transfer-7"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Transfer::Profile`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 AWS Transfer Family 配置文件是否具有`requiredKeyTags`参数指定的标签密钥。如果配置文件没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果配置文件没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。此控件评估本地配置文件和合作伙伴配置文件。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="transfer-7-remediation"></a>

有关向 AWS Transfer Family 配置文件添加标签的信息，请参阅《[标记资源*和标签编辑器用户指南》中的 AWS 资源标记*方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)。

# Security Hub CSPM 控件适用于 AWS WAF
<a name="waf-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS WAF 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录
<a name="waf-1"></a>

**相关要求：** NIST.800-53.r5 AC-4(26)、、(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8)、PCI DSS v4.0.1/10.4.2

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::WAF::WebACL`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查是否为 AWS WAF 全局 Web ACL 启用了日志记录。如果未为 Web ACL 启用日志记录，则此控制失败。

日志记录是维护 AWS WAF 全球可靠性、可用性和性能的重要组成部分。这是许多组织中的业务和合规性要求，并允许您对应用程序行为进行故障排除。它还提供有关附加到 AWS WAF的 Web ACL 所分析的流量的详细信息。

### 修复
<a name="waf-1-remediation"></a>

要启用 AWS WAF Web ACL 的[日志记录，请参阅*AWS WAF 开发人员指南*中的记录 Web ACL 流量信息](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html)。

## [WAF.2] AWS WAF 经典区域规则应至少有一个条件
<a name="waf-2"></a>

**相关要求：** NIST.800-53.r5 AC-4(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAFRegional::Rule`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF 区域规则是否至少具有一个条件。如果规则中不存在任何条件，则控制失败。

WAF 区域规则可以包含多个条件。规则的条件允许进行流量检查并采取定义的操作（允许、阻止或计数）。在没有任何条件的情况下，流量未经检查就通过。没有任何条件但带有建议允许、阻止或计数的名称或标签的 WAF 区域规则可能会导致错误地假设其中一项操作正在发生。

### 修复
<a name="waf-2-remediation"></a>

要向空规则添加条件，请参阅 *AWS WAF 开发人员指南*中的[在规则中添加和删除条件](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html)。

## [WAF.3] AWS WAF 经典区域规则组应至少有一条规则
<a name="waf-3"></a>

**相关要求：** NIST.800-53.r5 AC-4(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAFRegional::RuleGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF 区域规则组是否至少有一条规则。如果规则组中不存在任何规则，则控制失败。

一个 WAF 区域规则组可以包含多个规则。规则的条件允许进行流量检查并采取定义的操作（允许、阻止或计数）。在没有任何规则的情况下，流量未经检查就通过。没有规则但具有建议允许、阻止或计数的名称或标签的 WAF 区域规则组可能会导致错误地假设其中一项操作正在发生。

### 修复
<a name="waf-3-remediation"></a>

要向空规则组添加规则和规则条件，请参阅[《*AWS WAF 开发者指南*》中的在 AWS WAF 经典规则组中添加和删除](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html)[规则以及在规则中添加和删除条件](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html)。

## [WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组
<a name="waf-4"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAFRegional::WebACL`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF Classic Regional Web ACL 是否包含任何 WAF 规则或 WAF 规则组。如果 Web ACL 不包含任何 WAF 规则或规则组，则此控制失败。

WAF Regional Web ACL 可以包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空，则根据默认操作，Web 流量可以在不被 WAF 检测到或处理的情况下通过。

### 修复
<a name="waf-4-remediation"></a>

要向空的 AWS WAF 经典区域 Web ACL 添加规则或规则组，请参阅*AWS WAF 开发人员指南*中的[编辑 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html)。

## [WAF.6] AWS WAF 经典全局规则应至少有一个条件
<a name="waf-6"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAF::Rule`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF 全局规则是否包含任何条件。如果规则中不存在任何条件，则控制失败。

一个 WAF 全局规则可以包含多个条件。规则的条件允许进行流量检查并采取定义的操作（允许、阻止或计数）。在没有任何条件的情况下，流量未经检查就通过。不带条件但带有建议允许、阻止或计数的名称或标签的 WAF 全局规则可能会导致错误地假设其中一项操作正在发生。

### 修复
<a name="waf-6-remediation"></a>

有关创建规则和添加条件的说明，请参阅 *AWS WAF 开发人员指南*中的[创建规则和添加条件](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html)。

## [WAF.7] AWS WAF 经典全局规则组应至少有一条规则
<a name="waf-7"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAF::RuleGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF 全局规则组是否至少有一条规则。如果规则组中不存在任何规则，则控制失败。

一个 WAF 全局规则组可以包含多个规则。规则的条件允许进行流量检查并采取定义的操作（允许、阻止或计数）。在没有任何规则的情况下，流量未经检查就通过。没有规则但具有建议允许、阻止或计数的名称或标签的 WAF 全局规则组可能会导致错误地假设其中一项操作正在发生。

### 修复
<a name="waf-7-remediation"></a>

有关向规则组添加规则的说明，请参阅*《AWS WAF 开发人员指南*》中的[创建 AWS WAF 经典规则组](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html)。

## [WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组
<a name="waf-8"></a>

**相关要求：** NIST.800-53.r5 AC-4(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAF::WebACL`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF 全局 Web ACL 是否包含至少一个 WAF 规则或 WAF 规则组。如果 Web ACL 不包含任何 WAF 规则或规则组，则控制失败。

WAF 全局 Web ACL 可以包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空，则根据默认操作，Web 流量可以在不被 WAF 检测到或处理的情况下通过。

### 修复
<a name="waf-8-remediation"></a>

要向空的 AWS WAF 全局 Web ACL 添加规则或规则组，请参阅*AWS WAF 开发人员指南*中的[编辑 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html)。对于 “**筛选**”，选择 “**全局” (CloudFront)**。

## [WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组
<a name="waf-10"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAFv2::WebACL`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF V2 Web 访问控制列表 (Web ACL) 是否至少包含一个规则或规则组。如果 Web ACL 不包含任何规则或规则组，则控制失败。

Web ACL 可让您对受保护资源响应的所有 HTTP（S）Web 请求进行精细控制。Web ACL 应包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空，则 AWS WAF 根据默认操作，Web 流量可以在不被检测或处理的情况下通过。

### 修复
<a name="waf-10-remediation"></a>

要向空的 WAFV2 Web ACL 添加规则或规则组，请参阅*AWS WAF 开发人员指南*中的[编辑 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html)。

## [WAF.11] 应启 AWS WAF 用 Web ACL 日志记录
<a name="waf-11"></a>

**相关要求：** NIST.800-53.r5 AC-4(26)、(10)、 NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8)、PCI DSS v4.0.1/10.4.2

**类别：**识别 > 日志记录

**严重性：**低

**资源类型：**`AWS::WAFv2::WebACL`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``

**计划类型：**定期

**参数：**无

此控件检查 AWS WAF V2 Web 访问控制列表 (Web ACL) 是否已激活日志记录。如果停用 Web ACL 的日志记录，则此控制失败。

**注意**  
此控件不检查是否已通过 Amazon Security Lake 为账户启用 AWS WAF 网页 ACL 日志记录。

日志记录可维护的可靠性、可用性和性能 AWS WAF。此外，在许多组织中，日志记录是一项业务和合规要求。通过记录由 Web ACL 分析的流量，您可以对应用程序行为进行故障排除。

### 修复
<a name="waf-11-remediation"></a>

要激活 AWS WAF Web ACL 的日志[记录，请参阅*《AWS WAF 开发人员指南》*中的管理 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) 的日志记录。

## [WAF.12] AWS WAF 规则应启用指标 CloudWatch
<a name="waf-12"></a>

**相关要求：** NIST.800-53.r5 AC-4(26)、(10)、(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8)、 NIST.800-53.r5 SC-7 nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::WAFv2::RuleGroup`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF 规则或规则组是否启用了 Amazon CloudWatch 指标。如果规则或规则组未启用 CloudWatch 指标，则控件将失败。

在 AWS WAF 规则和规则组上配置 CloudWatch 指标可提供对流量的可见性。您可以看到哪些 ACL 规则被触发，哪些请求被接受和阻止。这种可见性可以帮助您识别关联资源上的恶意活动。

### 修复
<a name="waf-12-remediation"></a>

要在 AWS WAF 规则组上启用 CloudWatch 指标，请调用 [ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API。要在 AWS WAF 规则上启用 CloudWatch 指标，请调用 [ UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) API。将 `CloudWatchMetricsEnabled` 字段设置为 `true`。当您使用 AWS WAF 控制台创建规则或规则组时， CloudWatch 指标会自动启用。

# Security Hub CSPM 控件适用于 WorkSpaces
<a name="workspaces-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon WorkSpaces 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [WorkSpaces.1] WorkSpaces 用户卷应在静态时加密
<a name="workspaces-1"></a>

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::WorkSpaces::Workspace`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon WorkSpaces WorkSpace 中的用户卷是否处于静态加密状态。如果未对WorkSpace 用户卷进行静态加密，则控制失败。

静态数据是指存储在持久、非易失性存储介质中的数据，无论存储时长如何。对静态数据进行加密可帮助您保护数据的机密性，降低未经授权的用户访问这些数据的风险。

### 修复
<a name="workspaces-1-remediation"></a>

要加密 WorkSpaces 用户卷，请参阅《*Amazon WorkSpaces 管理指南*》 WorkSpace中的[加](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace)密。

## [WorkSpaces.2] WorkSpaces 根卷应在静态时加密
<a name="workspaces-2"></a>

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::WorkSpaces::Workspace`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon WorkSpaces WorkSpace 中的根卷是否处于静态加密状态。如果 WorkSpace 根卷未在静态状态下加密，则控制失败。

静态数据是指存储在持久、非易失性存储介质中的数据，无论存储时长如何。对静态数据进行加密可帮助您保护数据的机密性，降低未经授权的用户访问这些数据的风险。

### 修复
<a name="workspaces-2-remediation"></a>

要加密 WorkSpaces 根卷，请参阅《*Amazon WorkSpaces 管理指南*》 WorkSpace中的[加](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace)密。