本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Security Hub CSPM 的区域限制
某些 S AWS ecurity Hub CSPM 功能仅在某些情况下可用。 AWS 区域以下各节详细说明了这些区域限制。有关 Security Hub CSPM 当前可用的所有区域的完整列表,请参阅 *AWS 一般参考* 中的 [AWS Security Hub 端点和配额](https://docs.aws.amazon.com/general/latest/gr/sechub.html)。
## 跨区域聚合限制
在中 AWS GovCloud (US) Regions,[跨区域聚合](finding-aggregation.md) AWS GovCloud (US) Regions 仅适用于调查结果、查找更新和见解。具体而言,您只能在 AWS GovCloud (美国东部)和 AWS GovCloud (美国西部)地区之间汇总发现、查找更新和见解。
在中国区域,跨区域聚合仅可用于在中国区域的调查发现、调查发现更新和见解。具体而言,您只能聚合中国(北京)和中国(宁夏)区域之间的调查发现、调查发现更新和见解。
您不能使用默认禁用的区域作为聚合区域。有关默认禁用的区域列表,请参阅*AWS 账户管理 参考指南 AWS 区域 *[中的在您的账户中启用或禁用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)。
## 按区域划分的集成可用性
有些集成并非全部 AWS 区域可用。在 Security Hub CSPM 控制台中,如果某个集成在您当前登录的区域中不可用,则该集成不会显示在**集成**页面上。
### 中国(北京)和中国(宁夏)区域支持的集成
在中国(北京)和中国(宁夏)区域,Security Hub CSPM 仅支持以下 [AWS 服务集成](securityhub-internal-providers.md):
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Identity and Access Management Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender
+ AWS Systems Manager Explorer
+ AWS Systems Manager OpsCenter
+ AWS Systems Manager 补丁管理器
在中国(北京)和中国(宁夏)区域,Security Hub CSPM 仅支持以下[第三方集成](securityhub-partner-providers.md):
+ Cloud Custodian
+ FireEye Helix
+ Helecloud
+ IBM QRadar
+ PagerDuty
+ Palo Alto Networks Cortex XSOAR
+ Palo Alto Networks VM-Series
+ Prowler
+ RSA Archer
+ Splunk Enterprise
+ Splunk Phantom
+ ThreatModeler
### AWS GovCloud (美国东部)和 AWS GovCloud (美国西部)地区支持的集成
[在 AWS GovCloud (美国东部)和 AWS GovCloud (美国西部)区域,Security Hub CSPM 仅支持以下集成: AWS 服务](securityhub-internal-providers.md)
+ AWS Config
+ Amazon Detective
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Health
+ IAM 访问分析器
+ Amazon Inspector
+ AWS IoT Device Defender
[在 AWS GovCloud (美国东部)和 AWS GovCloud (美国西部)区域,Security Hub CSPM 仅支持以下第三方集成:](securityhub-partner-providers.md)
+ Atlassian Jira Service Management
+ Atlassian Jira Service Management Cloud
+ Atlassian OpsGenie
+ Caveonix Cloud
+ Cloud Custodian
+ Cloud Storage Security Antivirus for Amazon S3
+ CrowdStrike Falcon
+ FireEye Helix
+ Forcepoint CASB
+ Forcepoint DLP
+ Forcepoint NGFW
+ Fugue
+ Kion
+ MicroFocus ArcSight
+ NETSCOUT Cyber Investigator
+ PagerDuty
+ Palo Alto Networks – Prisma Cloud Compute
+ Palo Alto Networks – Prisma Cloud Enterprise
+ Palo Alto Networks – VM-Series(仅在 AWS GovCloud (美国西部)提供)
+ Prowler
+ Rackspace Technology – Cloud Native Security
+ Rapid7 InsightConnect
+ RSA Archer
+ ServiceNow ITSM
+ Slack
+ ThreatModeler
+ Vectra AI Cognito Detect
## 按区域划分的标准的可用性
[AWS Control Tower 服务管理标准](service-managed-standard-aws-control-tower.md)仅在 AWS Control Tower 支持的版本中 AWS 区域 可用。有关 AWS Control Tower 当前支持的区域列表,请参阅《*AWS Control Tower 用户指南》 AWS Control Tower*中的 “[如何 AWS 区域 使用](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)”。
[AWS 资源标签标准](standards-tagging.md)不在亚太地区(台北)区域提供。
在 Security Hub CSPM 目前可用的所有区域,均可使用其他安全标准。
## 按地区划分的控件可用性
某些 Security Hub CSPM 控件并非全部可用。 AWS 区域有关每个区域不可用的控件列表,请参阅[对 Security Hub CSPM 控件的区域限制](regions-controls.md)。
在 Security Hub CSPM 控制台上,如果某个控件在您当前登录的区域中不可用,则该控件不会出现在控件列表中。聚合区域除外。如果您设置了某个聚合区域并登录到该区域,控制台将显示聚合区域或者一个或多个关联区域中可用的控件。
# 对 Security Hub CSPM 控件的区域限制
某些 S AWS ecurity Hub CSPM 控件并非全部可用。 AWS 区域此页面指定了哪些控件在特定区域不可用。
在 Security Hub CSPM 控制台上,如果某个控件在您当前登录的区域中不可用,则该控件不会出现在控件列表中。聚合区域除外。如果您设置了某个聚合区域并登录到该区域,控制台将显示聚合区域或者一个或多个关联区域中可用的控件。
**Topics**
+ [
## 美国东部(弗吉尼亚州北部)
](#securityhub-control-support-useast1)
+ [
## 美国东部(俄亥俄州)
](#securityhub-control-support-useast2)
+ [
## 美国西部(北加利福尼亚)
](#securityhub-control-support-uswest1)
+ [
## 美国西部(俄勒冈州)
](#securityhub-control-support-uswest2)
+ [
## 非洲(开普敦)
](#securityhub-control-support-afsouth1)
+ [
## 亚太地区(香港)
](#securityhub-control-support-apeast1)
+ [
## 亚太地区(海得拉巴)
](#securityhub-control-support-apsouth2)
+ [
## 亚太地区(雅加达)
](#securityhub-control-support-apsoutheast3)
+ [
## 亚太地区(马来西亚)
](#securityhub-control-support-apsoutheast5)
+ [
## 亚太地区(墨尔本)
](#securityhub-control-support-apsoutheast4)
+ [
## 亚太地区(孟买)
](#securityhub-control-support-apsouth1)
+ [
## 亚太地区(新西兰)
](#securityhub-control-support-apsoutheast6)
+ [
## 亚太地区(大阪)
](#securityhub-control-support-apnortheast3)
+ [
## 亚太地区(首尔)
](#securityhub-control-support-apnortheast2)
+ [
## 亚太地区(新加坡)
](#securityhub-control-support-apsoutheast1)
+ [
## 亚太地区(悉尼)
](#securityhub-control-support-apsoutheast2)
+ [
## 亚太地区(台北)
](#securityhub-control-support-apeast2)
+ [
## 亚太地区(泰国)
](#securityhub-control-support-apsoutheast7)
+ [
## 亚太地区(东京)
](#securityhub-control-support-apnortheast1)
+ [
## 加拿大(中部)
](#securityhub-control-support-cacentral1)
+ [
## 加拿大西部(卡尔加里)
](#securityhub-control-support-cawest1)
+ [
## 中国(北京)
](#securityhub-control-support-cnnorth1)
+ [
## 中国(宁夏)
](#securityhub-control-support-cnnorthwest1)
+ [
## 欧洲地区(法兰克福)
](#securityhub-control-support-eucentral1)
+ [
## 欧洲地区(爱尔兰)
](#securityhub-control-support-euwest1)
+ [
## 欧洲地区(伦敦)
](#securityhub-control-support-euwest2)
+ [
## 欧洲地区(米兰)
](#securityhub-control-support-eusouth1)
+ [
## 欧洲地区(巴黎)
](#securityhub-control-support-euwest3)
+ [
## 欧洲(西班牙)
](#securityhub-control-support-eusouth2)
+ [
## 欧洲地区(斯德哥尔摩)
](#securityhub-control-support-eunorth1)
+ [
## 欧洲(苏黎世)
](#securityhub-control-support-eucentral2)
+ [
## 以色列(特拉维夫)
](#securityhub-control-support-ilcentral1)
+ [
## 墨西哥(中部)
](#securityhub-control-support-mxcentral1)
+ [
## 中东(巴林)
](#securityhub-control-support-mesouth1)
+ [
## 中东(阿联酋):
](#securityhub-control-support-mecentral1)
+ [
## 南美洲(圣保罗)
](#securityhub-control-support-saeast1)
+ [
## AWS GovCloud (美国东部)
](#securityhub-control-support-usgoveast1)
+ [
## AWS GovCloud (美国西部)
](#securityhub-control-support-usgovwest1)
## 美国东部(弗吉尼亚州北部)
美国东部(弗吉尼亚州北部)区域不支持以下控件。
+ [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
## 美国东部(俄亥俄州)
美国东部(俄亥俄州)区域不支持以下控件。
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 美国西部(北加利福尼亚)
美国西部(北加利福尼亚)区域不支持以下控件。
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.47] 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-47)
+ [[RDS.48] 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-48)
+ [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 美国西部(俄勒冈州)
美国西部(俄勒冈州)区域不支持以下控件。
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## 非洲(开普敦)
非洲(开普敦)区域不支持以下控件。
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ES.3] Elasticsearch 域应加密节点之间发送的数据](es-controls.md#es-3)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[RDS.1] RDS 快照应为私有](rds-controls.md#rds-1)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## 亚太地区(香港)
亚太地区(香港)区域不支持以下控件。
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SES.1] 应标记 SES 联系人列表](ses-controls.md#ses-1)
+ [[SES.2] 应标记 SES 配置集](ses-controls.md#ses-2)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 亚太地区(海得拉巴)
亚太地区(海得拉巴)区域不支持以下控件。
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.34] 应标记 EC2 中转网关路由表](ec2-controls.md#ec2-34)
+ [[EC2.40] 应标记 EC2 NAT 网关](ec2-controls.md#ec2-40)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)
+ [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] 应标记 Amazon MQ 代理](mq-controls.md#mq-4)
+ [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.4] MSK 集群应禁用公开访问](msk-controls.md#msk-4)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[MSK.6] MSK 集群应禁用未经身份验证的访问](msk-controls.md#msk-6)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.9] 应该给 OpenSearch 域名加标签](opensearch-controls.md#opensearch-9)
+ [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37)
+ [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10)
+ [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 亚太地区(雅加达)
亚太地区(雅加达)区域不支持以下控件。
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1)
+ [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 亚太地区(马来西亚)
亚太地区(马来西亚)区域不支持以下控件。
+ [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1)
+ [[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度](acm-controls.md#acm-2)
+ [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] 应 AWS AppConfig 标记扩展关联](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2)
+ [[AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Athena.4] Athena 工作组应启用日志记录](athena-controls.md#athena-4)
+ [[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[Backup.2] 应标记 AWS Backup 恢复点](backup-controls.md#backup-2)
+ [[Backup.4] 应 AWS Backup 标记报告计划](backup-controls.md#backup-4)
+ [[Batch.1] 应标记批处理作业队列](batch-controls.md#batch-1)
+ [[Batch.2] 应标记批处理计划策略](batch-controls.md#batch-2)
+ [[Batch.3] 应标记批处理计算环境](batch-controls.md#batch-3)
+ [[Batch.4] 应标记托管批处理计算环境中的计算资源属性](batch-controls.md#batch-4)
+ [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] CloudTrail 湖泊事件数据存储应使用客户托管进行加密 AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] 应激 CloudWatch 活警报动作](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] 应对 CodeBuild 报告组导出进行静态加密](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Cognito.3] Cognito 用户池的密码策略应具有可靠的配置](cognito-controls.md#cognito-3)
+ [[Cognito.4] Cognito 用户池应激活威胁防护,并使用全功能强制模式进行自定义身份验证](cognito-controls.md#cognito-4)
+ [[Cognito.5] 应为 Cognito 用户池启用 MFA](cognito-controls.md#cognito-5)
+ [[Cognito.6] Cognito 用户池应启用删除保护](cognito-controls.md#cognito-6)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DataFirehose.1] Firehose 传输流应在静态状态下进行加密](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] DataSync 任务应启用日志记录](datasync-controls.md#datasync-1)
+ [[DataSync.2] 应标记 DataSync 任务](datasync-controls.md#datasync-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] 备份计划中应有 DynamoDB 表](dynamodb-controls.md#dynamodb-4)
+ [[DynamodB.6] DynamoDB 表应启用删除保护](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.28] 备份计划应涵盖 EBS 卷](ec2-controls.md#ec2-28)
+ [[EC2.34] 应标记 EC2 中转网关路由表](ec2-controls.md#ec2-34)
+ [[EC2.40] 应标记 EC2 NAT 网关](ec2-controls.md#ec2-40)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53)
+ [[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs 应配置用于 ECR API 的接口端点](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs 应配置 Docker Registry 的接口端点](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs 应配置 Systems Manager 的接口端点](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] EC2 VPN 连接应启用日志记录](ec2-controls.md#ec2-171)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.174] 应标记 EC2 DHCP 选项集](ec2-controls.md#ec2-174)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.176] 应标记 EC2 前缀列表](ec2-controls.md#ec2-176)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.178] 应标记 EC2 流量镜像筛选条件](ec2-controls.md#ec2-178)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181)
+ [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1)
+ [[ECR.2] ECR 私有存储库应配置标签不可变性](ecr-controls.md#ecr-2)
+ [[ECR.3] ECR 存储库应至少配置一个生命周期策略](ecr-controls.md#ecr-3)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ECR.5] ECR 存储库应使用客户托管进行加密 AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] ECS 任务定义不应共享主机的进程命名空间](ecs-controls.md#ecs-3)
+ [[ECS.4] ECS 容器应以非特权身份运行](ecs-controls.md#ecs-4)
+ [[ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限](ecs-controls.md#ecs-5)
+ [[ECS.8] 密钥不应作为容器环境变量传递](ecs-controls.md#ecs-8)
+ [[ECS.9] ECS 任务定义应具有日志配置](ecs-controls.md#ecs-9)
+ [[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10)
+ [[ECS.12] ECS 集群应该使用容器详情](ecs-controls.md#ecs-12)
+ [[ECS.17] ECS 任务定义不应使用主机网络模式](ecs-controls.md#ecs-17)
+ [[ECS.19] ECS 容量提供商应启用托管终止保护](ecs-controls.md#ecs-19)
+ [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2)
+ [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3)
+ [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4)
+ [[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联](efs-controls.md#efs-6)
+ [[EFS.7] EFS 文件系统应启用自动备份](efs-controls.md#efs-7)
+ [[EFS.8] 应对 EFS 文件系统进行静态加密](efs-controls.md#efs-8)
+ [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)
+ [[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥](eks-controls.md#eks-3)
+ [[EKS.7] 应标记 EKS 身份提供商配置](eks-controls.md#eks-7)
+ [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8)
+ [[ELB.10] 经典负载均衡器应跨越多个可用区](elb-controls.md#elb-10)
+ [[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-12)
+ [[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区](elb-controls.md#elb-13)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)
+ [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2)
+ [[EMR.3] Amazon EMR 安全配置应静态加密](emr-controls.md#emr-3)
+ [[EMR.4] Amazon EMR 安全配置应在传输过程中加密](emr-controls.md#emr-4)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[ES.9] 应标记 Elasticsearch 域](es-controls.md#es-9)
+ [[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx 对于 Lustre 文件系统,应配置为将标签复制到备份](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx 对于 OpenZFS 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx 对于 NetApp ONTAP 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx 对于 Windows 文件服务器,应为多可用区部署配置文件系统](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] 应该给 AWS Glue 工作加标签](glue-controls.md#glue-1)
+ [[Glue.3] AWS Glue 机器学习转换应在静态时加密](glue-controls.md#glue-3)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.5] 应启 GuardDuty 用 EKS 审核日志监控](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] 应启用 Lamb GuardDuty da 保护](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] 应启用 GuardDuty RDS 保护](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] 应启用 GuardDuty S3 保护](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控](guardduty-controls.md#guardduty-13)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10)
+ [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)
+ [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)
+ [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)
+ [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)
+ [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
+ [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
+ [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)
+ [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)
+ [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Kinesis 流应有足够的数据留存期](kinesis-controls.md#kinesis-3)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [[KMS.5] KMS 密钥不应可公开访问](kms-controls.md#kms-5)
+ [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5)
+ [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] 应标记 Amazon MQ 代理](mq-controls.md#mq-4)
+ [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6)
+ [[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1)
+ [[MSK.2] MSK 集群应配置增强型监控](msk-controls.md#msk-2)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.4] MSK 集群应禁用公开访问](msk-controls.md#msk-4)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[MSK.6] MSK 集群应禁用未经身份验证的访问](msk-controls.md#msk-6)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.9] 应该给 OpenSearch 域名加标签](opensearch-controls.md#opensearch-9)
+ [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构](pca-controls.md#pca-1)
+ [[PCA.2] 应标记 AWS 私有 CA 证书颁发机构](pca-controls.md#pca-2)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.18] RDS 实例应部署在 VPC 中](rds-controls.md#rds-18)
+ [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24)
+ [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25)
+ [[RDS.26] RDS 数据库实例应受备份计划保护](rds-controls.md#rds-26)
+ [[RDS.27] 应对 RDS 数据库集群进行静态加密](rds-controls.md#rds-27)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.36] 适用于 PostgreSQL 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] RDS for PostgreSQL 数据库实例应在传输过程中加密](rds-controls.md#rds-38)
+ [[RDS.39] RDS for MySQL 数据库实例应在传输过程中加密](rds-controls.md#rds-39)
+ [[RDS.40] 适用于 SQL Server 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] RDS for SQL Server 数据库实例应在传输过程中加密](rds-controls.md#rds-41)
+ [[RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密](rds-controls.md#rds-43)
+ [[RDS.44] RDS for MariaDB 数据库实例应在传输过程中加密](rds-controls.md#rds-44)
+ [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45)
+ [[RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中](rds-controls.md#rds-46)
+ [[RDS.47] 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-47)
+ [[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名](redshift-controls.md#redshift-8)
+ [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10)
+ [[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口](redshift-controls.md#redshift-15)
+ [[Redshift.16] Redshift 集群子网组应具有来自多个可用区的子网](redshift-controls.md#redshift-16)
+ [[Redshift.17] 应标记 Redshift 集群参数组](redshift-controls.md#redshift-17)
+ [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.7] S3 通用存储桶应使用跨区域复制](s3-controls.md#s3-7)
+ [[S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-10)
+ [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11)
+ [ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限](s3-controls.md#s3-12)
+ [[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13)
+ [[S3.19] S3 接入点已启用屏蔽公共访问权限设置](s3-controls.md#s3-19)
+ [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)
+ [[S3.22] S3 通用存储桶应记录对象级写入事件](s3-controls.md#s3-22)
+ [[S3.23] S3 通用存储桶应记录对象级读取事件](s3-controls.md#s3-23)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] SNS 主题访问策略不应允许公共访问](sns-controls.md#sns-4)
+ [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4)
+ [[SSM.5] 应标记 SSM 文档](ssm-controls.md#ssm-5)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Step Functions 状态机应该开启日志功能](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接](transfer-controls.md#transfer-2)
+ [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[Transfer.5] 应标记 Transfer Family 证书](transfer-controls.md#transfer-5)
+ [[Transfer.6] 应标记 Transfer Family 连接器](transfer-controls.md#transfer-6)
+ [[Transfer.7] 应标记 Transfer Family 配置文件](transfer-controls.md#transfer-7)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.2] AWS WAF 经典区域规则应至少有一个条件](waf-controls.md#waf-2)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-4)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WAF.12] AWS WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 亚太地区(墨尔本)
亚太地区(墨尔本)区域不支持以下控件。
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2)
+ [[AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[Batch.1] 应标记批处理作业队列](batch-controls.md#batch-1)
+ [[Batch.3] 应标记批处理计算环境](batch-controls.md#batch-3)
+ [[Batch.4] 应标记托管批处理计算环境中的计算资源属性](batch-controls.md#batch-4)
+ [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.34] 应标记 EC2 中转网关路由表](ec2-controls.md#ec2-34)
+ [[EC2.40] 应标记 EC2 NAT 网关](ec2-controls.md#ec2-40)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1)
+ [[FSx.3] FSx 对于 OpenZFS 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-3)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10)
+ [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)
+ [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)
+ [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)
+ [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)
+ [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
+ [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
+ [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)
+ [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.9] 应该给 OpenSearch 域名加标签](opensearch-controls.md#opensearch-9)
+ [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[RDS.1] RDS 快照应为私有](rds-controls.md#rds-1)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] 应标记 SES 联系人列表](ses-controls.md#ses-1)
+ [[SES.2] 应标记 SES 配置集](ses-controls.md#ses-2)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Step Functions 状态机应该开启日志功能](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 亚太地区(孟买)
亚太地区(孟买)区域不支持以下控件。
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## 亚太地区(新西兰)
亚太地区(新西兰)区域不支持以下控件。
+ [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1)
+ [[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度](acm-controls.md#acm-2)
+ [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[APIGateway.1] 应启用 API Gateway REST 和 WebSocket API 执行日志记录](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] API Gateway REST API 阶段应启用 AWS X-Ray 跟踪](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] API Gateway 应与 WAF Web ACL 关联](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] API Gateway REST API 缓存数据应进行静态加密](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] API Gateway V2 集成应使用 HTTPS 进行私有连接](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] 应 AWS AppConfig 标记扩展关联](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2)
+ [[AppSync.4] 应标记 AWS AppSync Gr APIs aphQL](appsync-controls.md#appsync-4)
+ [[AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Athena.2] 应标记 Athena 数据目录](athena-controls.md#athena-2)
+ [[Athena.3] 应标记 Athena 工作组](athena-controls.md#athena-3)
+ [[Athena.4] Athena 工作组应启用日志记录](athena-controls.md#athena-4)
+ [[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[Backup.2] 应标记 AWS Backup 恢复点](backup-controls.md#backup-2)
+ [[Backup.4] 应 AWS Backup 标记报告计划](backup-controls.md#backup-4)
+ [[Batch.1] 应标记批处理作业队列](batch-controls.md#batch-1)
+ [[Batch.2] 应标记批处理计划策略](batch-controls.md#batch-2)
+ [[Batch.3] 应标记批处理计算环境](batch-controls.md#batch-3)
+ [[Batch.4] 应标记托管批处理计算环境中的计算资源属性](batch-controls.md#batch-4)
+ [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] CloudTrail 湖泊事件数据存储应使用客户托管进行加密 AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] 应激 CloudWatch 活警报动作](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] 应对 CodeBuild 报告组导出进行静态加密](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Cognito.3] Cognito 用户池的密码策略应具有可靠的配置](cognito-controls.md#cognito-3)
+ [[Cognito.4] Cognito 用户池应激活威胁防护,并使用全功能强制模式进行自定义身份验证](cognito-controls.md#cognito-4)
+ [[Cognito.5] 应为 Cognito 用户池启用 MFA](cognito-controls.md#cognito-5)
+ [[Cognito.6] Cognito 用户池应启用删除保护](cognito-controls.md#cognito-6)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DataFirehose.1] Firehose 传输流应在静态状态下进行加密](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] DataSync 任务应启用日志记录](datasync-controls.md#datasync-1)
+ [[DataSync.2] 应标记 DataSync 任务](datasync-controls.md#datasync-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] 备份计划中应有 DynamoDB 表](dynamodb-controls.md#dynamodb-4)
+ [[DynamodB.6] DynamoDB 表应启用删除保护](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.28] 备份计划应涵盖 EBS 卷](ec2-controls.md#ec2-28)
+ [[EC2.34] 应标记 EC2 中转网关路由表](ec2-controls.md#ec2-34)
+ [[EC2.40] 应标记 EC2 NAT 网关](ec2-controls.md#ec2-40)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53)
+ [[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs 应配置用于 ECR API 的接口端点](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs 应配置 Docker Registry 的接口端点](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs 应配置 Systems Manager 的接口端点](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] EC2 VPN 连接应启用日志记录](ec2-controls.md#ec2-171)
+ [[EC2.172] EC2 VPC 阻止公开访问设置应阻止互联网网关流量](ec2-controls.md#ec2-172)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.174] 应标记 EC2 DHCP 选项集](ec2-controls.md#ec2-174)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.176] 应标记 EC2 前缀列表](ec2-controls.md#ec2-176)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.178] 应标记 EC2 流量镜像筛选条件](ec2-controls.md#ec2-178)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181)
+ [[EC2.182] Amazon EBS 快照不应向公众开放](ec2-controls.md#ec2-182)
+ [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1)
+ [[ECR.2] ECR 私有存储库应配置标签不可变性](ecr-controls.md#ecr-2)
+ [[ECR.3] ECR 存储库应至少配置一个生命周期策略](ecr-controls.md#ecr-3)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ECR.5] ECR 存储库应使用客户托管进行加密 AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] ECS 任务定义不应共享主机的进程命名空间](ecs-controls.md#ecs-3)
+ [[ECS.4] ECS 容器应以非特权身份运行](ecs-controls.md#ecs-4)
+ [[ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限](ecs-controls.md#ecs-5)
+ [[ECS.8] 密钥不应作为容器环境变量传递](ecs-controls.md#ecs-8)
+ [[ECS.9] ECS 任务定义应具有日志配置](ecs-controls.md#ecs-9)
+ [[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10)
+ [[ECS.12] ECS 集群应该使用容器详情](ecs-controls.md#ecs-12)
+ [[ECS.16] ECS 任务集不应自动分配公有 IP 地址](ecs-controls.md#ecs-16)
+ [[ECS.17] ECS 任务定义不应使用主机网络模式](ecs-controls.md#ecs-17)
+ [[ECS.18] ECS 任务定义应对 EFS 卷使用传输中加密](ecs-controls.md#ecs-18)
+ [[ECS.19] ECS 容量提供商应启用托管终止保护](ecs-controls.md#ecs-19)
+ [[ECS.20] ECS 任务定义应在 Linux 容器定义中配置非 root 用户](ecs-controls.md#ecs-20)
+ [[ECS.21] ECS 任务定义应在 Windows 容器定义中配置非管理员用户](ecs-controls.md#ecs-21)
+ [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2)
+ [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3)
+ [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4)
+ [[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联](efs-controls.md#efs-6)
+ [[EFS.7] EFS 文件系统应启用自动备份](efs-controls.md#efs-7)
+ [[EFS.8] 应对 EFS 文件系统进行静态加密](efs-controls.md#efs-8)
+ [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)
+ [[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥](eks-controls.md#eks-3)
+ [[EKS.7] 应标记 EKS 身份提供商配置](eks-controls.md#eks-7)
+ [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8)
+ [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.10] 经典负载均衡器应跨越多个可用区](elb-controls.md#elb-10)
+ [[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-12)
+ [[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区](elb-controls.md#elb-13)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.16] 应用程序负载均衡器应与 Web ACL 关联 AWS WAF](elb-controls.md#elb-16)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[ELB.21] 应用程序和 Network Load Balancer 目标组应使用加密的运行状况检查协议](elb-controls.md#elb-21)
+ [[ELB.22] ELB 目标组应使用加密的传输协议](elb-controls.md#elb-22)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)
+ [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2)
+ [[EMR.3] Amazon EMR 安全配置应静态加密](emr-controls.md#emr-3)
+ [[EMR.4] Amazon EMR 安全配置应在传输过程中加密](emr-controls.md#emr-4)
+ [[ES.3] Elasticsearch 域应加密节点之间发送的数据](es-controls.md#es-3)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[ES.9] 应标记 Elasticsearch 域](es-controls.md#es-9)
+ [[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx 对于 Lustre 文件系统,应配置为将标签复制到备份](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx 对于 OpenZFS 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx 对于 NetApp ONTAP 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx 对于 Windows 文件服务器,应为多可用区部署配置文件系统](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] 应该给 AWS Glue 工作加标签](glue-controls.md#glue-1)
+ [[Glue.3] AWS Glue 机器学习转换应在静态时加密](glue-controls.md#glue-3)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty 应该启用](guardduty-controls.md#guardduty-1)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets 应该被标记](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] 应 GuardDuty 标记探测器](guardduty-controls.md#guardduty-4)
+ [[GuardDuty.5] 应启 GuardDuty 用 EKS 审核日志监控](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] 应启用 Lamb GuardDuty da 保护](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] 应启用 GuardDuty RDS 保护](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] 应启用 GuardDuty S3 保护](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控](guardduty-controls.md#guardduty-13)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10)
+ [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)
+ [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)
+ [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)
+ [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)
+ [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
+ [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
+ [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)
+ [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)
+ [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Kinesis 流应有足够的数据留存期](kinesis-controls.md#kinesis-3)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [[KMS.5] KMS 密钥不应可公开访问](kms-controls.md#kms-5)
+ [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5)
+ [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] 应标记 Amazon MQ 代理](mq-controls.md#mq-4)
+ [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6)
+ [[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1)
+ [[MSK.2] MSK 集群应配置增强型监控](msk-controls.md#msk-2)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.4] MSK 集群应禁用公开访问](msk-controls.md#msk-4)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[MSK.6] MSK 集群应禁用未经身份验证的访问](msk-controls.md#msk-6)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.9] 应该给 OpenSearch 域名加标签](opensearch-controls.md#opensearch-9)
+ [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构](pca-controls.md#pca-1)
+ [[PCA.2] 应标记 AWS 私有 CA 证书颁发机构](pca-controls.md#pca-2)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.18] RDS 实例应部署在 VPC 中](rds-controls.md#rds-18)
+ [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24)
+ [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25)
+ [[RDS.26] RDS 数据库实例应受备份计划保护](rds-controls.md#rds-26)
+ [[RDS.27] 应对 RDS 数据库集群进行静态加密](rds-controls.md#rds-27)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.36] 适用于 PostgreSQL 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] RDS for PostgreSQL 数据库实例应在传输过程中加密](rds-controls.md#rds-38)
+ [[RDS.39] RDS for MySQL 数据库实例应在传输过程中加密](rds-controls.md#rds-39)
+ [[RDS.40] 适用于 SQL Server 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] RDS for SQL Server 数据库实例应在传输过程中加密](rds-controls.md#rds-41)
+ [[RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密](rds-controls.md#rds-43)
+ [[RDS.44] RDS for MariaDB 数据库实例应在传输过程中加密](rds-controls.md#rds-44)
+ [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45)
+ [[RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中](rds-controls.md#rds-46)
+ [[RDS.47] 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-47)
+ [[RDS.48] 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-48)
+ [[RDS.50] RDS 数据库集群应设置足够的备份保留期](rds-controls.md#rds-50)
+ [[Redshift.1] Amazon Redshift 集群应禁止公共访问](redshift-controls.md#redshift-1)
+ [[Redshift.3] Amazon Redshift 集群应启用自动快照](redshift-controls.md#redshift-3)
+ [[Redshift.4] Amazon Redshift 集群应启用审核日志记录](redshift-controls.md#redshift-4)
+ [[Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能](redshift-controls.md#redshift-6)
+ [[Redshift.7] Redshift 集群应使用增强型 VPC 路由](redshift-controls.md#redshift-7)
+ [[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名](redshift-controls.md#redshift-8)
+ [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10)
+ [[Redshift.11] 应标记 Redshift 集群](redshift-controls.md#redshift-11)
+ [[Redshift.13] 应标记 Redshift 集群快照](redshift-controls.md#redshift-13)
+ [[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口](redshift-controls.md#redshift-15)
+ [[Redshift.16] Redshift 集群子网组应具有来自多个可用区的子网](redshift-controls.md#redshift-16)
+ [[Redshift.17] 应标记 Redshift 集群参数组](redshift-controls.md#redshift-17)
+ [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.7] S3 通用存储桶应使用跨区域复制](s3-controls.md#s3-7)
+ [[S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-10)
+ [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11)
+ [ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限](s3-controls.md#s3-12)
+ [[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13)
+ [[S3.19] S3 接入点已启用屏蔽公共访问权限设置](s3-controls.md#s3-19)
+ [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)
+ [[S3.22] S3 通用存储桶应记录对象级写入事件](s3-controls.md#s3-22)
+ [[S3.23] S3 通用存储桶应记录对象级读取事件](s3-controls.md#s3-23)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] 应标记 SES 联系人列表](ses-controls.md#ses-1)
+ [[SES.2] 应标记 SES 配置集](ses-controls.md#ses-2)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] SNS 主题访问策略不应允许公共访问](sns-controls.md#sns-4)
+ [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.1] Amazon EC2 实例应由以下人员管理 AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态](ssm-controls.md#ssm-2)
+ [[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4)
+ [[SSM.5] 应标记 SSM 文档](ssm-controls.md#ssm-5)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Step Functions 状态机应该开启日志功能](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.1] 应标记 AWS Transfer Family 工作流程](transfer-controls.md#transfer-1)
+ [[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接](transfer-controls.md#transfer-2)
+ [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[Transfer.5] 应标记 Transfer Family 证书](transfer-controls.md#transfer-5)
+ [[Transfer.6] 应标记 Transfer Family 连接器](transfer-controls.md#transfer-6)
+ [[Transfer.7] 应标记 Transfer Family 配置文件](transfer-controls.md#transfer-7)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.2] AWS WAF 经典区域规则应至少有一个条件](waf-controls.md#waf-2)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-4)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WAF.11] 应启 AWS WAF 用 Web ACL 日志记录](waf-controls.md#waf-11)
+ [[WAF.12] AWS WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 亚太地区(大阪)
亚太地区(大阪)区域不支持以下控件。
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.55] VPCs 应配置用于 ECR API 的接口端点](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs 应配置 Docker Registry 的接口端点](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs 应配置 Systems Manager 的接口端点](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态](ssm-controls.md#ssm-2)
+ [[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT](ssm-controls.md#ssm-3)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 亚太地区(首尔)
亚太地区(首尔)区域不支持以下控件。
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## 亚太地区(新加坡)
亚太地区(新加坡)区域不支持以下控件。
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## 亚太地区(悉尼)
亚太地区(悉尼)区域不支持以下控件。
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## 亚太地区(台北)
亚太地区(台北)区域不支持以下控件。
+ [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1)
+ [[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度](acm-controls.md#acm-2)
+ [[ACM.3] 应标记 ACM 证书](acm-controls.md#acm-3)
+ [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[APIGateway.1] 应启用 API Gateway REST 和 WebSocket API 执行日志记录](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] API Gateway REST API 阶段应启用 AWS X-Ray 跟踪](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] API Gateway 应与 WAF Web ACL 关联](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] API Gateway REST API 缓存数据应进行静态加密](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] API Gateway V2 集成应使用 HTTPS 进行私有连接](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] 应 AWS AppConfig 标记扩展关联](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2)
+ [[AppSync.4] 应标记 AWS AppSync Gr APIs aphQL](appsync-controls.md#appsync-4)
+ [[AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Athena.2] 应标记 Athena 数据目录](athena-controls.md#athena-2)
+ [[Athena.3] 应标记 Athena 工作组](athena-controls.md#athena-3)
+ [[Athena.4] Athena 工作组应启用日志记录](athena-controls.md#athena-4)
+ [[AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查](autoscaling-controls.md#autoscaling-1)
+ [[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板](autoscaling-controls.md#autoscaling-9)
+ [[AutoScaling.10] 应标记 EC2 Auto Scaling 群组](autoscaling-controls.md#autoscaling-10)
+ [[Autoscaling.5] 使用 Auto Scaling 组启动配置启动的 EC2 亚马逊实例不应具有公有 IP 地址](autoscaling-controls.md#autoscaling-5)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[Backup.2] 应标记 AWS Backup 恢复点](backup-controls.md#backup-2)
+ [[Backup.3] 应 AWS Backup 标记文件库](backup-controls.md#backup-3)
+ [[Backup.4] 应 AWS Backup 标记报告计划](backup-controls.md#backup-4)
+ [[Backup.5] 应 AWS Backup 标记备份计划](backup-controls.md#backup-5)
+ [[Batch.1] 应标记批处理作业队列](batch-controls.md#batch-1)
+ [[Batch.2] 应标记批处理计划策略](batch-controls.md#batch-2)
+ [[Batch.3] 应标记批处理计算环境](batch-controls.md#batch-3)
+ [[Batch.4] 应标记托管批处理计算环境中的计算资源属性](batch-controls.md#batch-4)
+ [[CloudFormation.2] 应 CloudFormation 标记堆栈](cloudformation-controls.md#cloudformation-2)
+ [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.9] CloudTrail 路径应加标签](cloudtrail-controls.md#cloudtrail-9)
+ [[CloudTrail.10] CloudTrail 湖泊事件数据存储应使用客户托管进行加密 AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] 应激 CloudWatch 活警报动作](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] 应对 CodeBuild 报告组导出进行静态加密](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Cognito.3] Cognito 用户池的密码策略应具有可靠的配置](cognito-controls.md#cognito-3)
+ [[Cognito.4] Cognito 用户池应激活威胁防护,并使用全功能强制模式进行自定义身份验证](cognito-controls.md#cognito-4)
+ [[Cognito.5] 应为 Cognito 用户池启用 MFA](cognito-controls.md#cognito-5)
+ [[Cognito.6] Cognito 用户池应启用删除保护](cognito-controls.md#cognito-6)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DataFirehose.1] Firehose 传输流应在静态状态下进行加密](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] DataSync 任务应启用日志记录](datasync-controls.md#datasync-1)
+ [[DataSync.2] 应标记 DataSync 任务](datasync-controls.md#datasync-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.1] Database Migration Service 复制实例不应公开](dms-controls.md#dms-1)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] 备份计划中应有 DynamoDB 表](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.5] 应标记 DynamoDB 表](dynamodb-controls.md#dynamodb-5)
+ [[DynamodB.6] DynamoDB 表应启用删除保护](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.10] 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点](ec2-controls.md#ec2-10)
+ [[EC2.19] 安全组不应允许不受限制地访问高风险端口](ec2-controls.md#ec2-19)
+ [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.28] 备份计划应涵盖 EBS 卷](ec2-controls.md#ec2-28)
+ [[EC2.33] 应标记 EC2 中转网关连接](ec2-controls.md#ec2-33)
+ [[EC2.34] 应标记 EC2 中转网关路由表](ec2-controls.md#ec2-34)
+ [[EC2.35] 应标记 EC2 网络接口](ec2-controls.md#ec2-35)
+ [[EC2.36] 应标记 EC2 客户网关](ec2-controls.md#ec2-36)
+ [[EC2.37] 应标记 EC2 弹性 IP 地址](ec2-controls.md#ec2-37)
+ [[EC2.38] 应标记 EC2 实例](ec2-controls.md#ec2-38)
+ [[EC2.39] 应标记 EC2 互联网网关](ec2-controls.md#ec2-39)
+ [[EC2.40] 应标记 EC2 NAT 网关](ec2-controls.md#ec2-40)
+ [[EC2.41] ACLs 应标记 EC2 网络](ec2-controls.md#ec2-41)
+ [[EC2.42] 应标记 EC2 路由表](ec2-controls.md#ec2-42)
+ [[EC2.43] 应标记 EC2 安全组](ec2-controls.md#ec2-43)
+ [[EC2.44] 应标记 EC2 子网](ec2-controls.md#ec2-44)
+ [[EC2.45] 应标记 EC2 卷](ec2-controls.md#ec2-45)
+ [[EC2.46] VPCs 应该给亚马逊贴上标签](ec2-controls.md#ec2-46)
+ [[EC2.47] 应标记 Amazon VPC 端点服务](ec2-controls.md#ec2-47)
+ [[EC2.48] 应标记 Amazon VPC 流日志](ec2-controls.md#ec2-48)
+ [[EC2.49] 应标记 Amazon VPC 对等连接](ec2-controls.md#ec2-49)
+ [[EC2.50] 应标记 EC2 VPN 网关](ec2-controls.md#ec2-50)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[EC2.52] 应标记 EC2 中转网关](ec2-controls.md#ec2-52)
+ [[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53)
+ [[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs 应配置用于 ECR API 的接口端点](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs 应配置 Docker Registry 的接口端点](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs 应配置 Systems Manager 的接口端点](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] EC2 VPN 连接应启用日志记录](ec2-controls.md#ec2-171)
+ [[EC2.172] EC2 VPC 阻止公开访问设置应阻止互联网网关流量](ec2-controls.md#ec2-172)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.174] 应标记 EC2 DHCP 选项集](ec2-controls.md#ec2-174)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.176] 应标记 EC2 前缀列表](ec2-controls.md#ec2-176)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.178] 应标记 EC2 流量镜像筛选条件](ec2-controls.md#ec2-178)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181)
+ [[EC2.182] Amazon EBS 快照不应向公众开放](ec2-controls.md#ec2-182)
+ [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1)
+ [[ECR.2] ECR 私有存储库应配置标签不可变性](ecr-controls.md#ecr-2)
+ [[ECR.3] ECR 存储库应至少配置一个生命周期策略](ecr-controls.md#ecr-3)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ECR.5] ECR 存储库应使用客户托管进行加密 AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义](ecs-controls.md#ecs-1)
+ [[ECS.2] ECS 服务不应自动分配公有 IP 地址](ecs-controls.md#ecs-2)
+ [[ECS.3] ECS 任务定义不应共享主机的进程命名空间](ecs-controls.md#ecs-3)
+ [[ECS.4] ECS 容器应以非特权身份运行](ecs-controls.md#ecs-4)
+ [[ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限](ecs-controls.md#ecs-5)
+ [[ECS.8] 密钥不应作为容器环境变量传递](ecs-controls.md#ecs-8)
+ [[ECS.9] ECS 任务定义应具有日志配置](ecs-controls.md#ecs-9)
+ [[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10)
+ [[ECS.12] ECS 集群应该使用容器详情](ecs-controls.md#ecs-12)
+ [[ECS.13] 应标记 ECS 服务](ecs-controls.md#ecs-13)
+ [[ECS.14] 应标记 ECS 集群](ecs-controls.md#ecs-14)
+ [[ECS.15] 应标记 ECS 任务定义](ecs-controls.md#ecs-15)
+ [[ECS.16] ECS 任务集不应自动分配公有 IP 地址](ecs-controls.md#ecs-16)
+ [[ECS.17] ECS 任务定义不应使用主机网络模式](ecs-controls.md#ecs-17)
+ [[ECS.18] ECS 任务定义应对 EFS 卷使用传输中加密](ecs-controls.md#ecs-18)
+ [[ECS.19] ECS 容量提供商应启用托管终止保护](ecs-controls.md#ecs-19)
+ [[ECS.20] ECS 任务定义应在 Linux 容器定义中配置非 root 用户](ecs-controls.md#ecs-20)
+ [[ECS.21] ECS 任务定义应在 Windows 容器定义中配置非管理员用户](ecs-controls.md#ecs-21)
+ [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2)
+ [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3)
+ [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4)
+ [[EFS.5] 应标记 EFS 接入点](efs-controls.md#efs-5)
+ [[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联](efs-controls.md#efs-6)
+ [[EFS.7] EFS 文件系统应启用自动备份](efs-controls.md#efs-7)
+ [[EFS.8] 应对 EFS 文件系统进行静态加密](efs-controls.md#efs-8)
+ [[EKS.1] EKS 集群端点不应公开访问](eks-controls.md#eks-1)
+ [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)
+ [[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥](eks-controls.md#eks-3)
+ [[EKS.6] 应标记 EKS 集群](eks-controls.md#eks-6)
+ [[EKS.7] 应标记 EKS 身份提供商配置](eks-controls.md#eks-7)
+ [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8)
+ [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止](elb-controls.md#elb-3)
+ [[ELB.7] 经典负载均衡器应启用连接耗尽功能](elb-controls.md#elb-7)
+ [[ELB.8] 带有 SSL 侦听器的经典负载均衡器应使用持续时间较长的预定义安全策略 AWS Config](elb-controls.md#elb-8)
+ [[ELB.10] 经典负载均衡器应跨越多个可用区](elb-controls.md#elb-10)
+ [[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-12)
+ [[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区](elb-controls.md#elb-13)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.16] 应用程序负载均衡器应与 Web ACL 关联 AWS WAF](elb-controls.md#elb-16)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[ELB.21] 应用程序和 Network Load Balancer 目标组应使用加密的运行状况检查协议](elb-controls.md#elb-21)
+ [[ELB.22] ELB 目标组应使用加密的传输协议](elb-controls.md#elb-22)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)
+ [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2)
+ [[EMR.3] Amazon EMR 安全配置应静态加密](emr-controls.md#emr-3)
+ [[EMR.4] Amazon EMR 安全配置应在传输过程中加密](emr-controls.md#emr-4)
+ [[ES.1] Elasticsearch 域应启用静态加密](es-controls.md#es-1)
+ [[ES.2] Elasticsearch 域名不可供公共访问](es-controls.md#es-2)
+ [[ES.3] Elasticsearch 域应加密节点之间发送的数据](es-controls.md#es-3)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[ES.5] Elasticsearch 域名应该启用审核日志](es-controls.md#es-5)
+ [[ES.6] Elasticsearch 域应拥有至少三个数据节点](es-controls.md#es-6)
+ [[ES.7] 应将 Elasticsearch 域配置为至少三个专用的主节点](es-controls.md#es-7)
+ [[ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密](es-controls.md#es-8)
+ [[ES.9] 应标记 Elasticsearch 域](es-controls.md#es-9)
+ [[EventBridge.2] 应标记 EventBridge 活动总线](eventbridge-controls.md#eventbridge-2)
+ [[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx 对于 Lustre 文件系统,应配置为将标签复制到备份](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx 对于 OpenZFS 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx 对于 NetApp ONTAP 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx 对于 Windows 文件服务器,应为多可用区部署配置文件系统](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] 应该给 AWS Glue 工作加标签](glue-controls.md#glue-1)
+ [[Glue.3] AWS Glue 机器学习转换应在静态时加密](glue-controls.md#glue-3)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty 应该启用](guardduty-controls.md#guardduty-1)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets 应该被标记](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] 应 GuardDuty 标记探测器](guardduty-controls.md#guardduty-4)
+ [[GuardDuty.5] 应启 GuardDuty 用 EKS 审核日志监控](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] 应启用 Lamb GuardDuty da 保护](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] 应启用 GuardDuty RDS 保护](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] 应启用 GuardDuty S3 保护](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控](guardduty-controls.md#guardduty-13)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10)
+ [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)
+ [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)
+ [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)
+ [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)
+ [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
+ [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
+ [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.23] 应标记 IAM Access Analyzer 分析器](iam-controls.md#iam-23)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)
+ [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)
+ [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1)
+ [[Kinesis.2] 应标记 Kinesis 流](kinesis-controls.md#kinesis-2)
+ [[Kinesis.3] Kinesis 流应有足够的数据留存期](kinesis-controls.md#kinesis-3)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [AWS KMS keys 不应无意中删除 [KMS.3]](kms-controls.md#kms-3)
+ [[KMS.5] KMS 密钥不应可公开访问](kms-controls.md#kms-5)
+ [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5)
+ [[Lambda.6] 应标记 Lambda 函数](lambda-controls.md#lambda-6)
+ [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] 应标记 Amazon MQ 代理](mq-controls.md#mq-4)
+ [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6)
+ [[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1)
+ [[MSK.2] MSK 集群应配置增强型监控](msk-controls.md#msk-2)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.4] MSK 集群应禁用公开访问](msk-controls.md#msk-4)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[MSK.6] MSK 集群应禁用未经身份验证的访问](msk-controls.md#msk-6)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.7] 应标记 Network Firewall 防火墙](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] 应标记 Network Firewall 防火墙策略](networkfirewall-controls.md#networkfirewall-8)
+ [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.9] 应该给 OpenSearch 域名加标签](opensearch-controls.md#opensearch-9)
+ [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构](pca-controls.md#pca-1)
+ [[PCA.2] 应标记 AWS 私有 CA 证书颁发机构](pca-controls.md#pca-2)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.16] 应将 Aurora 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-16)
+ [[RDS.17] 应将 RDS 数据库实例配置为将标签复制到快照](rds-controls.md#rds-17)
+ [[RDS.18] RDS 实例应部署在 VPC 中](rds-controls.md#rds-18)
+ [[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅](rds-controls.md#rds-19)
+ [[RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅](rds-controls.md#rds-20)
+ [[RDS.21] 应为关键数据库参数组事件配置 RDS 事件通知订阅](rds-controls.md#rds-21)
+ [[RDS.22] 应为关键数据库安全组事件配置 RDS 事件通知订阅](rds-controls.md#rds-22)
+ [[RDS.23] RDS 实例不应使用数据库引擎的默认端口](rds-controls.md#rds-23)
+ [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24)
+ [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25)
+ [[RDS.26] RDS 数据库实例应受备份计划保护](rds-controls.md#rds-26)
+ [[RDS.27] 应对 RDS 数据库集群进行静态加密](rds-controls.md#rds-27)
+ [[RDS.28] 应标记 RDS 数据库集群](rds-controls.md#rds-28)
+ [[RDS.29] 应标记 RDS 数据库集群快照](rds-controls.md#rds-29)
+ [[RDS.30] 应标记 RDS 数据库实例](rds-controls.md#rds-30)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.32] 应标记 RDS 数据库快照](rds-controls.md#rds-32)
+ [[RDS.33] 应标记 RDS 数据库子网组](rds-controls.md#rds-33)
+ [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.36] 适用于 PostgreSQL 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] RDS for PostgreSQL 数据库实例应在传输过程中加密](rds-controls.md#rds-38)
+ [[RDS.39] RDS for MySQL 数据库实例应在传输过程中加密](rds-controls.md#rds-39)
+ [[RDS.40] 适用于 SQL Server 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] RDS for SQL Server 数据库实例应在传输过程中加密](rds-controls.md#rds-41)
+ [[RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密](rds-controls.md#rds-43)
+ [[RDS.44] RDS for MariaDB 数据库实例应在传输过程中加密](rds-controls.md#rds-44)
+ [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45)
+ [[RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中](rds-controls.md#rds-46)
+ [[RDS.47] 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-47)
+ [[RDS.48] 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-48)
+ [[RDS.50] RDS 数据库集群应设置足够的备份保留期](rds-controls.md#rds-50)
+ [[Redshift.1] Amazon Redshift 集群应禁止公共访问](redshift-controls.md#redshift-1)
+ [[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密](redshift-controls.md#redshift-2)
+ [[Redshift.3] Amazon Redshift 集群应启用自动快照](redshift-controls.md#redshift-3)
+ [[Redshift.4] Amazon Redshift 集群应启用审核日志记录](redshift-controls.md#redshift-4)
+ [[Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能](redshift-controls.md#redshift-6)
+ [[Redshift.7] Redshift 集群应使用增强型 VPC 路由](redshift-controls.md#redshift-7)
+ [[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名](redshift-controls.md#redshift-8)
+ [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10)
+ [[Redshift.11] 应标记 Redshift 集群](redshift-controls.md#redshift-11)
+ [[Redshift.12] 应标记 Redshift 事件通知订阅](redshift-controls.md#redshift-12)
+ [[Redshift.13] 应标记 Redshift 集群快照](redshift-controls.md#redshift-13)
+ [[Redshift.14] 应标记 Redshift 集群子网组](redshift-controls.md#redshift-14)
+ [[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口](redshift-controls.md#redshift-15)
+ [[Redshift.16] Redshift 集群子网组应具有来自多个可用区的子网](redshift-controls.md#redshift-16)
+ [[Redshift.17] 应标记 Redshift 集群参数组](redshift-controls.md#redshift-17)
+ [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.7] S3 通用存储桶应使用跨区域复制](s3-controls.md#s3-7)
+ [[S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-10)
+ [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11)
+ [ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限](s3-controls.md#s3-12)
+ [[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13)
+ [[S3.17] S3 通用存储桶应使用静态加密 AWS KMS keys](s3-controls.md#s3-17)
+ [[S3.19] S3 接入点已启用屏蔽公共访问权限设置](s3-controls.md#s3-19)
+ [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)
+ [[S3.22] S3 通用存储桶应记录对象级写入事件](s3-controls.md#s3-22)
+ [[S3.23] S3 通用存储桶应记录对象级读取事件](s3-controls.md#s3-23)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] 应标记 SES 联系人列表](ses-controls.md#ses-1)
+ [[SES.2] 应标记 SES 配置集](ses-controls.md#ses-2)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[SecretsManager.1] Secrets Manager 密钥应启用自动轮换](secretsmanager-controls.md#secretsmanager-1)
+ [[SecretsManager.2] 配置了自动轮换功能的 Secrets Manager 密钥应成功轮换](secretsmanager-controls.md#secretsmanager-2)
+ [[SecretsManager.3] 移除未使用的 Secrets Manager 密钥](secretsmanager-controls.md#secretsmanager-3)
+ [[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换](secretsmanager-controls.md#secretsmanager-4)
+ [[SecretsManager.5] 应标记 Secrets Manager 机密](secretsmanager-controls.md#secretsmanager-5)
+ [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.3] 应标记 SNS 主题](sns-controls.md#sns-3)
+ [[SNS.4] SNS 主题访问策略不应允许公共访问](sns-controls.md#sns-4)
+ [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.1] Amazon EC2 实例应由以下人员管理 AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态](ssm-controls.md#ssm-2)
+ [[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4)
+ [[SSM.5] 应标记 SSM 文档](ssm-controls.md#ssm-5)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Step Functions 状态机应该开启日志功能](stepfunctions-controls.md#stepfunctions-1)
+ [[StepFunctions.2] 应标记 Step Functions 活动](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.1] 应标记 AWS Transfer Family 工作流程](transfer-controls.md#transfer-1)
+ [[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接](transfer-controls.md#transfer-2)
+ [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[Transfer.5] 应标记 Transfer Family 证书](transfer-controls.md#transfer-5)
+ [[Transfer.6] 应标记 Transfer Family 连接器](transfer-controls.md#transfer-6)
+ [[Transfer.7] 应标记 Transfer Family 配置文件](transfer-controls.md#transfer-7)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.2] AWS WAF 经典区域规则应至少有一个条件](waf-controls.md#waf-2)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-4)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WAF.11] 应启 AWS WAF 用 Web ACL 日志记录](waf-controls.md#waf-11)
+ [[WAF.12] AWS WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 亚太地区(泰国)
亚太地区(泰国)区域不支持以下控件。
+ [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1)
+ [[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度](acm-controls.md#acm-2)
+ [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] API Gateway V2 集成应使用 HTTPS 进行私有连接](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] 应 AWS AppConfig 标记扩展关联](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2)
+ [[AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Athena.2] 应标记 Athena 数据目录](athena-controls.md#athena-2)
+ [[Athena.3] 应标记 Athena 工作组](athena-controls.md#athena-3)
+ [[Athena.4] Athena 工作组应启用日志记录](athena-controls.md#athena-4)
+ [[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[Backup.2] 应标记 AWS Backup 恢复点](backup-controls.md#backup-2)
+ [[Backup.4] 应 AWS Backup 标记报告计划](backup-controls.md#backup-4)
+ [[Batch.1] 应标记批处理作业队列](batch-controls.md#batch-1)
+ [[Batch.2] 应标记批处理计划策略](batch-controls.md#batch-2)
+ [[Batch.3] 应标记批处理计算环境](batch-controls.md#batch-3)
+ [[Batch.4] 应标记托管批处理计算环境中的计算资源属性](batch-controls.md#batch-4)
+ [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] CloudTrail 湖泊事件数据存储应使用客户托管进行加密 AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] 应激 CloudWatch 活警报动作](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] 应对 CodeBuild 报告组导出进行静态加密](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Cognito.3] Cognito 用户池的密码策略应具有可靠的配置](cognito-controls.md#cognito-3)
+ [[Cognito.4] Cognito 用户池应激活威胁防护,并使用全功能强制模式进行自定义身份验证](cognito-controls.md#cognito-4)
+ [[Cognito.5] 应为 Cognito 用户池启用 MFA](cognito-controls.md#cognito-5)
+ [[Cognito.6] Cognito 用户池应启用删除保护](cognito-controls.md#cognito-6)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DataFirehose.1] Firehose 传输流应在静态状态下进行加密](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] DataSync 任务应启用日志记录](datasync-controls.md#datasync-1)
+ [[DataSync.2] 应标记 DataSync 任务](datasync-controls.md#datasync-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] 备份计划中应有 DynamoDB 表](dynamodb-controls.md#dynamodb-4)
+ [[DynamodB.6] DynamoDB 表应启用删除保护](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.28] 备份计划应涵盖 EBS 卷](ec2-controls.md#ec2-28)
+ [[EC2.34] 应标记 EC2 中转网关路由表](ec2-controls.md#ec2-34)
+ [[EC2.40] 应标记 EC2 NAT 网关](ec2-controls.md#ec2-40)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53)
+ [[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs 应配置用于 ECR API 的接口端点](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs 应配置 Docker Registry 的接口端点](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs 应配置 Systems Manager 的接口端点](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] EC2 VPN 连接应启用日志记录](ec2-controls.md#ec2-171)
+ [[EC2.172] EC2 VPC 阻止公开访问设置应阻止互联网网关流量](ec2-controls.md#ec2-172)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.174] 应标记 EC2 DHCP 选项集](ec2-controls.md#ec2-174)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.176] 应标记 EC2 前缀列表](ec2-controls.md#ec2-176)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.178] 应标记 EC2 流量镜像筛选条件](ec2-controls.md#ec2-178)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181)
+ [[EC2.182] Amazon EBS 快照不应向公众开放](ec2-controls.md#ec2-182)
+ [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1)
+ [[ECR.2] ECR 私有存储库应配置标签不可变性](ecr-controls.md#ecr-2)
+ [[ECR.3] ECR 存储库应至少配置一个生命周期策略](ecr-controls.md#ecr-3)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ECR.5] ECR 存储库应使用客户托管进行加密 AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] ECS 任务定义不应共享主机的进程命名空间](ecs-controls.md#ecs-3)
+ [[ECS.4] ECS 容器应以非特权身份运行](ecs-controls.md#ecs-4)
+ [[ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限](ecs-controls.md#ecs-5)
+ [[ECS.8] 密钥不应作为容器环境变量传递](ecs-controls.md#ecs-8)
+ [[ECS.9] ECS 任务定义应具有日志配置](ecs-controls.md#ecs-9)
+ [[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10)
+ [[ECS.12] ECS 集群应该使用容器详情](ecs-controls.md#ecs-12)
+ [[ECS.16] ECS 任务集不应自动分配公有 IP 地址](ecs-controls.md#ecs-16)
+ [[ECS.17] ECS 任务定义不应使用主机网络模式](ecs-controls.md#ecs-17)
+ [[ECS.18] ECS 任务定义应对 EFS 卷使用传输中加密](ecs-controls.md#ecs-18)
+ [[ECS.19] ECS 容量提供商应启用托管终止保护](ecs-controls.md#ecs-19)
+ [[ECS.20] ECS 任务定义应在 Linux 容器定义中配置非 root 用户](ecs-controls.md#ecs-20)
+ [[ECS.21] ECS 任务定义应在 Windows 容器定义中配置非管理员用户](ecs-controls.md#ecs-21)
+ [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2)
+ [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3)
+ [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4)
+ [[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联](efs-controls.md#efs-6)
+ [[EFS.7] EFS 文件系统应启用自动备份](efs-controls.md#efs-7)
+ [[EFS.8] 应对 EFS 文件系统进行静态加密](efs-controls.md#efs-8)
+ [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)
+ [[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥](eks-controls.md#eks-3)
+ [[EKS.7] 应标记 EKS 身份提供商配置](eks-controls.md#eks-7)
+ [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8)
+ [[ELB.10] 经典负载均衡器应跨越多个可用区](elb-controls.md#elb-10)
+ [[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-12)
+ [[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区](elb-controls.md#elb-13)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)
+ [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2)
+ [[EMR.3] Amazon EMR 安全配置应静态加密](emr-controls.md#emr-3)
+ [[EMR.4] Amazon EMR 安全配置应在传输过程中加密](emr-controls.md#emr-4)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[ES.9] 应标记 Elasticsearch 域](es-controls.md#es-9)
+ [[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx 对于 Lustre 文件系统,应配置为将标签复制到备份](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx 对于 OpenZFS 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx 对于 NetApp ONTAP 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx 对于 Windows 文件服务器,应为多可用区部署配置文件系统](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] 应该给 AWS Glue 工作加标签](glue-controls.md#glue-1)
+ [[Glue.3] AWS Glue 机器学习转换应在静态时加密](glue-controls.md#glue-3)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty 应该启用](guardduty-controls.md#guardduty-1)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.5] 应启 GuardDuty 用 EKS 审核日志监控](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] 应启用 Lamb GuardDuty da 保护](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] 应启用 GuardDuty RDS 保护](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] 应启用 GuardDuty S3 保护](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控](guardduty-controls.md#guardduty-13)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10)
+ [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)
+ [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)
+ [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)
+ [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)
+ [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
+ [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
+ [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)
+ [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)
+ [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Kinesis 流应有足够的数据留存期](kinesis-controls.md#kinesis-3)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [[KMS.5] KMS 密钥不应可公开访问](kms-controls.md#kms-5)
+ [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5)
+ [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] 应标记 Amazon MQ 代理](mq-controls.md#mq-4)
+ [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6)
+ [[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1)
+ [[MSK.2] MSK 集群应配置增强型监控](msk-controls.md#msk-2)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.4] MSK 集群应禁用公开访问](msk-controls.md#msk-4)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[MSK.6] MSK 集群应禁用未经身份验证的访问](msk-controls.md#msk-6)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.9] 应该给 OpenSearch 域名加标签](opensearch-controls.md#opensearch-9)
+ [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构](pca-controls.md#pca-1)
+ [[PCA.2] 应标记 AWS 私有 CA 证书颁发机构](pca-controls.md#pca-2)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.18] RDS 实例应部署在 VPC 中](rds-controls.md#rds-18)
+ [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24)
+ [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25)
+ [[RDS.26] RDS 数据库实例应受备份计划保护](rds-controls.md#rds-26)
+ [[RDS.27] 应对 RDS 数据库集群进行静态加密](rds-controls.md#rds-27)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.36] 适用于 PostgreSQL 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] RDS for PostgreSQL 数据库实例应在传输过程中加密](rds-controls.md#rds-38)
+ [[RDS.39] RDS for MySQL 数据库实例应在传输过程中加密](rds-controls.md#rds-39)
+ [[RDS.40] 适用于 SQL Server 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] RDS for SQL Server 数据库实例应在传输过程中加密](rds-controls.md#rds-41)
+ [[RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密](rds-controls.md#rds-43)
+ [[RDS.44] RDS for MariaDB 数据库实例应在传输过程中加密](rds-controls.md#rds-44)
+ [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45)
+ [[RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中](rds-controls.md#rds-46)
+ [[RDS.47] 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-47)
+ [[RDS.48] 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-48)
+ [[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名](redshift-controls.md#redshift-8)
+ [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10)
+ [[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口](redshift-controls.md#redshift-15)
+ [[Redshift.16] Redshift 集群子网组应具有来自多个可用区的子网](redshift-controls.md#redshift-16)
+ [[Redshift.17] 应标记 Redshift 集群参数组](redshift-controls.md#redshift-17)
+ [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.7] S3 通用存储桶应使用跨区域复制](s3-controls.md#s3-7)
+ [[S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-10)
+ [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11)
+ [ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限](s3-controls.md#s3-12)
+ [[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13)
+ [[S3.19] S3 接入点已启用屏蔽公共访问权限设置](s3-controls.md#s3-19)
+ [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)
+ [[S3.22] S3 通用存储桶应记录对象级写入事件](s3-controls.md#s3-22)
+ [[S3.23] S3 通用存储桶应记录对象级读取事件](s3-controls.md#s3-23)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] 应标记 SES 联系人列表](ses-controls.md#ses-1)
+ [[SES.2] 应标记 SES 配置集](ses-controls.md#ses-2)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] SNS 主题访问策略不应允许公共访问](sns-controls.md#sns-4)
+ [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4)
+ [[SSM.5] 应标记 SSM 文档](ssm-controls.md#ssm-5)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Step Functions 状态机应该开启日志功能](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.1] 应标记 AWS Transfer Family 工作流程](transfer-controls.md#transfer-1)
+ [[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接](transfer-controls.md#transfer-2)
+ [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[Transfer.5] 应标记 Transfer Family 证书](transfer-controls.md#transfer-5)
+ [[Transfer.6] 应标记 Transfer Family 连接器](transfer-controls.md#transfer-6)
+ [[Transfer.7] 应标记 Transfer Family 配置文件](transfer-controls.md#transfer-7)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.2] AWS WAF 经典区域规则应至少有一个条件](waf-controls.md#waf-2)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-4)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WAF.12] AWS WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 亚太地区(东京)
亚太地区(东京)区域不支持以下控件。
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## 加拿大(中部)
加拿大(中部)区域不支持以下控件。
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Kinesis.3] Kinesis 流应有足够的数据留存期](kinesis-controls.md#kinesis-3)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## 加拿大西部(卡尔加里)
加拿大西部(卡尔加里)区域不支持以下控件。
+ [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1)
+ [[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度](acm-controls.md#acm-2)
+ [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] 应 AWS AppConfig 标记扩展关联](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2)
+ [[AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Athena.4] Athena 工作组应启用日志记录](athena-controls.md#athena-4)
+ [[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[Backup.4] 应 AWS Backup 标记报告计划](backup-controls.md#backup-4)
+ [[Batch.1] 应标记批处理作业队列](batch-controls.md#batch-1)
+ [[Batch.3] 应标记批处理计算环境](batch-controls.md#batch-3)
+ [[Batch.4] 应标记托管批处理计算环境中的计算资源属性](batch-controls.md#batch-4)
+ [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] CloudTrail 湖泊事件数据存储应使用客户托管进行加密 AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] 应激 CloudWatch 活警报动作](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] 应对 CodeBuild 报告组导出进行静态加密](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DataFirehose.1] Firehose 传输流应在静态状态下进行加密](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] DataSync 任务应启用日志记录](datasync-controls.md#datasync-1)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] 备份计划中应有 DynamoDB 表](dynamodb-controls.md#dynamodb-4)
+ [[DynamodB.6] DynamoDB 表应启用删除保护](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.28] 备份计划应涵盖 EBS 卷](ec2-controls.md#ec2-28)
+ [[EC2.34] 应标记 EC2 中转网关路由表](ec2-controls.md#ec2-34)
+ [[EC2.40] 应标记 EC2 NAT 网关](ec2-controls.md#ec2-40)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53)
+ [[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs 应配置用于 ECR API 的接口端点](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs 应配置 Docker Registry 的接口端点](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs 应配置 Systems Manager 的接口端点](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] EC2 VPN 连接应启用日志记录](ec2-controls.md#ec2-171)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181)
+ [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1)
+ [[ECR.2] ECR 私有存储库应配置标签不可变性](ecr-controls.md#ecr-2)
+ [[ECR.3] ECR 存储库应至少配置一个生命周期策略](ecr-controls.md#ecr-3)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ECR.5] ECR 存储库应使用客户托管进行加密 AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] ECS 任务定义不应共享主机的进程命名空间](ecs-controls.md#ecs-3)
+ [[ECS.4] ECS 容器应以非特权身份运行](ecs-controls.md#ecs-4)
+ [[ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限](ecs-controls.md#ecs-5)
+ [[ECS.8] 密钥不应作为容器环境变量传递](ecs-controls.md#ecs-8)
+ [[ECS.9] ECS 任务定义应具有日志配置](ecs-controls.md#ecs-9)
+ [[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10)
+ [[ECS.12] ECS 集群应该使用容器详情](ecs-controls.md#ecs-12)
+ [[ECS.16] ECS 任务集不应自动分配公有 IP 地址](ecs-controls.md#ecs-16)
+ [[ECS.17] ECS 任务定义不应使用主机网络模式](ecs-controls.md#ecs-17)
+ [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2)
+ [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3)
+ [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4)
+ [[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联](efs-controls.md#efs-6)
+ [[EFS.7] EFS 文件系统应启用自动备份](efs-controls.md#efs-7)
+ [[EFS.8] 应对 EFS 文件系统进行静态加密](efs-controls.md#efs-8)
+ [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)
+ [[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥](eks-controls.md#eks-3)
+ [[EKS.7] 应标记 EKS 身份提供商配置](eks-controls.md#eks-7)
+ [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8)
+ [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.10] 经典负载均衡器应跨越多个可用区](elb-controls.md#elb-10)
+ [[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-12)
+ [[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区](elb-controls.md#elb-13)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)
+ [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx 对于 Lustre 文件系统,应配置为将标签复制到备份](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx 对于 OpenZFS 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx 对于 NetApp ONTAP 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx 对于 Windows 文件服务器,应为多可用区部署配置文件系统](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.3] AWS Glue 机器学习转换应在静态时加密](glue-controls.md#glue-3)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.5] 应启 GuardDuty 用 EKS 审核日志监控](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] 应启用 Lamb GuardDuty da 保护](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] 应启用 GuardDuty RDS 保护](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] 应启用 GuardDuty S3 保护](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控](guardduty-controls.md#guardduty-13)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10)
+ [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)
+ [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)
+ [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)
+ [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)
+ [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
+ [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
+ [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)
+ [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)
+ [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Kinesis 流应有足够的数据留存期](kinesis-controls.md#kinesis-3)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [[KMS.5] KMS 密钥不应可公开访问](kms-controls.md#kms-5)
+ [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5)
+ [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] 应标记 Amazon MQ 代理](mq-controls.md#mq-4)
+ [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6)
+ [[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1)
+ [[MSK.2] MSK 集群应配置增强型监控](msk-controls.md#msk-2)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.4] MSK 集群应禁用公开访问](msk-controls.md#msk-4)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[MSK.6] MSK 集群应禁用未经身份验证的访问](msk-controls.md#msk-6)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.9] 应该给 OpenSearch 域名加标签](opensearch-controls.md#opensearch-9)
+ [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构](pca-controls.md#pca-1)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.18] RDS 实例应部署在 VPC 中](rds-controls.md#rds-18)
+ [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24)
+ [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25)
+ [[RDS.26] RDS 数据库实例应受备份计划保护](rds-controls.md#rds-26)
+ [[RDS.27] 应对 RDS 数据库集群进行静态加密](rds-controls.md#rds-27)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.36] 适用于 PostgreSQL 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] RDS for PostgreSQL 数据库实例应在传输过程中加密](rds-controls.md#rds-38)
+ [[RDS.39] RDS for MySQL 数据库实例应在传输过程中加密](rds-controls.md#rds-39)
+ [[RDS.40] 适用于 SQL Server 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] RDS for SQL Server 数据库实例应在传输过程中加密](rds-controls.md#rds-41)
+ [[RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密](rds-controls.md#rds-43)
+ [[RDS.44] RDS for MariaDB 数据库实例应在传输过程中加密](rds-controls.md#rds-44)
+ [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45)
+ [[RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中](rds-controls.md#rds-46)
+ [[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名](redshift-controls.md#redshift-8)
+ [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10)
+ [[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口](redshift-controls.md#redshift-15)
+ [[Redshift.16] Redshift 集群子网组应具有来自多个可用区的子网](redshift-controls.md#redshift-16)
+ [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.7] S3 通用存储桶应使用跨区域复制](s3-controls.md#s3-7)
+ [[S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-10)
+ [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11)
+ [ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限](s3-controls.md#s3-12)
+ [[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13)
+ [[S3.19] S3 接入点已启用屏蔽公共访问权限设置](s3-controls.md#s3-19)
+ [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)
+ [[S3.22] S3 通用存储桶应记录对象级写入事件](s3-controls.md#s3-22)
+ [[S3.23] S3 通用存储桶应记录对象级读取事件](s3-controls.md#s3-23)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] SNS 主题访问策略不应允许公共访问](sns-controls.md#sns-4)
+ [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Step Functions 状态机应该开启日志功能](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接](transfer-controls.md#transfer-2)
+ [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.2] AWS WAF 经典区域规则应至少有一个条件](waf-controls.md#waf-2)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-4)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WAF.12] AWS WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 中国(北京)
中国(北京)区域不支持以下控件。
+ [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1)
+ [[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度](acm-controls.md#acm-2)
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证](apigateway-controls.md#apigateway-2)
+ [[APIGateway.10] API Gateway V2 集成应使用 HTTPS 进行私有连接](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] 应 AWS AppConfig 标记扩展关联](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[Backup.4] 应 AWS Backup 标记报告计划](backup-controls.md#backup-4)
+ [[Batch.1] 应标记批处理作业队列](batch-controls.md#batch-1)
+ [[Batch.2] 应标记批处理计划策略](batch-controls.md#batch-2)
+ [[Batch.3] 应标记批处理计算环境](batch-controls.md#batch-3)
+ [[Batch.4] 应标记托管批处理计算环境中的计算资源属性](batch-controls.md#batch-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.10] CloudTrail 湖泊事件数据存储应使用客户托管进行加密 AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Cognito.3] Cognito 用户池的密码策略应具有可靠的配置](cognito-controls.md#cognito-3)
+ [[Cognito.4] Cognito 用户池应激活威胁防护,并使用全功能强制模式进行自定义身份验证](cognito-controls.md#cognito-4)
+ [[Cognito.5] 应为 Cognito 用户池启用 MFA](cognito-controls.md#cognito-5)
+ [[Cognito.6] Cognito 用户池应启用删除保护](cognito-controls.md#cognito-6)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DataFirehose.1] Firehose 传输流应在静态状态下进行加密](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.2] 应标记 DataSync 任务](datasync-controls.md#datasync-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] 备份计划中应有 DynamoDB 表](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.20] VPN 连接的两个 VPN 隧道都应 AWS Site-to-Site 处于开启状态](ec2-controls.md#ec2-20)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23)
+ [[EC2.28] 备份计划应涵盖 EBS 卷](ec2-controls.md#ec2-28)
+ [[EC2.36] 应标记 EC2 客户网关](ec2-controls.md#ec2-36)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53)
+ [[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.171] EC2 VPN 连接应启用日志记录](ec2-controls.md#ec2-171)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.174] 应标记 EC2 DHCP 选项集](ec2-controls.md#ec2-174)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.176] 应标记 EC2 前缀列表](ec2-controls.md#ec2-176)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.178] 应标记 EC2 流量镜像筛选条件](ec2-controls.md#ec2-178)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180)
+ [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联](efs-controls.md#efs-6)
+ [[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥](eks-controls.md#eks-3)
+ [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.21] 应用程序和 Network Load Balancer 目标组应使用加密的运行状况检查协议](elb-controls.md#elb-21)
+ [[ELB.22] ELB 目标组应使用加密的传输协议](elb-controls.md#elb-22)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2)
+ [[EMR.3] Amazon EMR 安全配置应静态加密](emr-controls.md#emr-3)
+ [[EMR.4] Amazon EMR 安全配置应在传输过程中加密](emr-controls.md#emr-4)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx 对于 Lustre 文件系统,应配置为将标签复制到备份](fsx-controls.md#fsx-2)
+ [[FSx.5] FSx 对于 Windows 文件服务器,应为多可用区部署配置文件系统](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[GuardDuty.3] GuardDuty IPSets 应该被标记](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] 应 GuardDuty 标记探测器](guardduty-controls.md#guardduty-4)
+ [[GuardDuty.5] 应启 GuardDuty 用 EKS 审核日志监控](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] 应启用 Lamb GuardDuty da 保护](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] 应启用 GuardDuty RDS 保护](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] 应启用 GuardDuty S3 保护](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控](guardduty-controls.md#guardduty-13)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.23] 应标记 IAM Access Analyzer 分析器](iam-controls.md#iam-23)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)
+ [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)
+ [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构](pca-controls.md#pca-1)
+ [[PCA.2] 应标记 AWS 私有 CA 证书颁发机构](pca-controls.md#pca-2)
+ [[RDS.7] RDS 集群应启用删除保护](rds-controls.md#rds-7)
+ [[RDS.12] 应为 RDS 集群配置 IAM 身份验证](rds-controls.md#rds-12)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.15] 应为多个可用区配置 RDS 数据库集群](rds-controls.md#rds-15)
+ [[RDS.16] 应将 Aurora 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-16)
+ [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24)
+ [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25)
+ [[RDS.26] RDS 数据库实例应受备份计划保护](rds-controls.md#rds-26)
+ [[RDS.27] 应对 RDS 数据库集群进行静态加密](rds-controls.md#rds-27)
+ [[RDS.28] 应标记 RDS 数据库集群](rds-controls.md#rds-28)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37)
+ [[RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密](rds-controls.md#rds-43)
+ [[RDS.44] RDS for MariaDB 数据库实例应在传输过程中加密](rds-controls.md#rds-44)
+ [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45)
+ [[RDS.47] 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-47)
+ [[RDS.48] 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-48)
+ [[RDS.50] RDS 数据库集群应设置足够的备份保留期](rds-controls.md#rds-50)
+ [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10)
+ [[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口](redshift-controls.md#redshift-15)
+ [[Redshift.17] 应标记 Redshift 集群参数组](redshift-controls.md#redshift-17)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.22] S3 通用存储桶应记录对象级写入事件](s3-controls.md#s3-22)
+ [[S3.23] S3 通用存储桶应记录对象级读取事件](s3-controls.md#s3-23)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] 应标记 SES 联系人列表](ses-controls.md#ses-1)
+ [[SES.2] 应标记 SES 配置集](ses-controls.md#ses-2)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1)
+ [[SSM.5] 应标记 SSM 文档](ssm-controls.md#ssm-5)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接](transfer-controls.md#transfer-2)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[Transfer.5] 应标记 Transfer Family 证书](transfer-controls.md#transfer-5)
+ [[Transfer.6] 应标记 Transfer Family 连接器](transfer-controls.md#transfer-6)
+ [[Transfer.7] 应标记 Transfer Family 配置文件](transfer-controls.md#transfer-7)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 中国(宁夏)
中国(宁夏)区域不支持以下控件。
+ [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1)
+ [[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度](acm-controls.md#acm-2)
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证](apigateway-controls.md#apigateway-2)
+ [[APIGateway.10] API Gateway V2 集成应使用 HTTPS 进行私有连接](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] 应 AWS AppConfig 标记扩展关联](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[Backup.4] 应 AWS Backup 标记报告计划](backup-controls.md#backup-4)
+ [[Batch.1] 应标记批处理作业队列](batch-controls.md#batch-1)
+ [[Batch.2] 应标记批处理计划策略](batch-controls.md#batch-2)
+ [[Batch.3] 应标记批处理计算环境](batch-controls.md#batch-3)
+ [[Batch.4] 应标记托管批处理计算环境中的计算资源属性](batch-controls.md#batch-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.10] CloudTrail 湖泊事件数据存储应使用客户托管进行加密 AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Cognito.3] Cognito 用户池的密码策略应具有可靠的配置](cognito-controls.md#cognito-3)
+ [[Cognito.4] Cognito 用户池应激活威胁防护,并使用全功能强制模式进行自定义身份验证](cognito-controls.md#cognito-4)
+ [[Cognito.5] 应为 Cognito 用户池启用 MFA](cognito-controls.md#cognito-5)
+ [[Cognito.6] Cognito 用户池应启用删除保护](cognito-controls.md#cognito-6)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DataFirehose.1] Firehose 传输流应在静态状态下进行加密](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.2] 应标记 DataSync 任务](datasync-controls.md#datasync-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] 备份计划中应有 DynamoDB 表](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.20] VPN 连接的两个 VPN 隧道都应 AWS Site-to-Site 处于开启状态](ec2-controls.md#ec2-20)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.28] 备份计划应涵盖 EBS 卷](ec2-controls.md#ec2-28)
+ [[EC2.36] 应标记 EC2 客户网关](ec2-controls.md#ec2-36)
+ [[EC2.50] 应标记 EC2 VPN 网关](ec2-controls.md#ec2-50)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.171] EC2 VPN 连接应启用日志记录](ec2-controls.md#ec2-171)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.174] 应标记 EC2 DHCP 选项集](ec2-controls.md#ec2-174)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.176] 应标记 EC2 前缀列表](ec2-controls.md#ec2-176)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.178] 应标记 EC2 流量镜像筛选条件](ec2-controls.md#ec2-178)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3)
+ [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4)
+ [[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联](efs-controls.md#efs-6)
+ [[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥](eks-controls.md#eks-3)
+ [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.21] 应用程序和 Network Load Balancer 目标组应使用加密的运行状况检查协议](elb-controls.md#elb-21)
+ [[ELB.22] ELB 目标组应使用加密的传输协议](elb-controls.md#elb-22)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2)
+ [[EMR.3] Amazon EMR 安全配置应静态加密](emr-controls.md#emr-3)
+ [[EMR.4] Amazon EMR 安全配置应在传输过程中加密](emr-controls.md#emr-4)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx 对于 Lustre 文件系统,应配置为将标签复制到备份](fsx-controls.md#fsx-2)
+ [[FSx.5] FSx 对于 Windows 文件服务器,应为多可用区部署配置文件系统](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.3] AWS Glue 机器学习转换应在静态时加密](glue-controls.md#glue-3)
+ [[GuardDuty.3] GuardDuty IPSets 应该被标记](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] 应 GuardDuty 标记探测器](guardduty-controls.md#guardduty-4)
+ [[GuardDuty.5] 应启 GuardDuty 用 EKS 审核日志监控](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] 应启用 Lamb GuardDuty da 保护](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] 应启用 GuardDuty RDS 保护](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] 应启用 GuardDuty S3 保护](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控](guardduty-controls.md#guardduty-13)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.23] 应标记 IAM Access Analyzer 分析器](iam-controls.md#iam-23)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)
+ [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)
+ [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Lambda.1] Lambda 函数策略应禁止公共访问](lambda-controls.md#lambda-1)
+ [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)
+ [[Lambda.3] Lambda 函数应位于 VPC 中](lambda-controls.md#lambda-3)
+ [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5)
+ [[Lambda.6] 应标记 Lambda 函数](lambda-controls.md#lambda-6)
+ [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构](pca-controls.md#pca-1)
+ [[PCA.2] 应标记 AWS 私有 CA 证书颁发机构](pca-controls.md#pca-2)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24)
+ [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25)
+ [[RDS.26] RDS 数据库实例应受备份计划保护](rds-controls.md#rds-26)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密](rds-controls.md#rds-43)
+ [[RDS.44] RDS for MariaDB 数据库实例应在传输过程中加密](rds-controls.md#rds-44)
+ [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45)
+ [[RDS.50] RDS 数据库集群应设置足够的备份保留期](rds-controls.md#rds-50)
+ [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10)
+ [[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口](redshift-controls.md#redshift-15)
+ [[Redshift.17] 应标记 Redshift 集群参数组](redshift-controls.md#redshift-17)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1)
+ [[SSM.5] 应标记 SSM 文档](ssm-controls.md#ssm-5)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[StepFunctions.2] 应标记 Step Functions 活动](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接](transfer-controls.md#transfer-2)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[Transfer.5] 应标记 Transfer Family 证书](transfer-controls.md#transfer-5)
+ [[Transfer.6] 应标记 Transfer Family 连接器](transfer-controls.md#transfer-6)
+ [[Transfer.7] 应标记 Transfer Family 配置文件](transfer-controls.md#transfer-7)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## 欧洲地区(法兰克福)
欧洲地区(法兰克福)区域不支持以下控件。
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## 欧洲地区(爱尔兰)
欧洲地区(爱尔兰)区域不支持以下控件。
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## 欧洲地区(伦敦)
欧洲地区(伦敦)区域不支持以下控件。
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## 欧洲地区(米兰)
欧洲地区(米兰)区域不支持以下控件。
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[RDS.1] RDS 快照应为私有](rds-controls.md#rds-1)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态](ssm-controls.md#ssm-2)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 欧洲地区(巴黎)
欧洲地区(巴黎)区域不支持以下控件。
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[FSx.5] FSx 对于 Windows 文件服务器,应为多可用区部署配置文件系统](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 欧洲(西班牙)
欧洲(西班牙)区域不支持以下控件。
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.1] Amazon EBS 快照不应公开恢复](ec2-controls.md#ec2-1)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.34] 应标记 EC2 中转网关路由表](ec2-controls.md#ec2-34)
+ [[EC2.40] 应标记 EC2 NAT 网关](ec2-controls.md#ec2-40)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2)
+ [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)
+ [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [[Lambda.1] Lambda 函数策略应禁止公共访问](lambda-controls.md#lambda-1)
+ [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] 应标记 Amazon MQ 代理](mq-controls.md#mq-4)
+ [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.4] MSK 集群应禁用公开访问](msk-controls.md#msk-4)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[MSK.6] MSK 集群应禁用未经身份验证的访问](msk-controls.md#msk-6)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.9] 应该给 OpenSearch 域名加标签](opensearch-controls.md#opensearch-9)
+ [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[RDS.1] RDS 快照应为私有](rds-controls.md#rds-1)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37)
+ [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10)
+ [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] 应标记 SES 联系人列表](ses-controls.md#ses-1)
+ [[SES.2] 应标记 SES 配置集](ses-controls.md#ses-2)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 欧洲地区(斯德哥尔摩)
欧洲地区(斯德哥尔摩)区域不支持以下控件。
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 欧洲(苏黎世)
欧洲(苏黎世)区域不支持以下控件。
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2)
+ [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] 应标记 Amazon MQ 代理](mq-controls.md#mq-4)
+ [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.4] MSK 集群应禁用公开访问](msk-controls.md#msk-4)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[MSK.6] MSK 集群应禁用未经身份验证的访问](msk-controls.md#msk-6)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.9] 应该给 OpenSearch 域名加标签](opensearch-controls.md#opensearch-9)
+ [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[RDS.1] RDS 快照应为私有](rds-controls.md#rds-1)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 以色列(特拉维夫)
以色列(特拉维夫)区域不支持以下控件。
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2)
+ [[AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[Backup.4] 应 AWS Backup 标记报告计划](backup-controls.md#backup-4)
+ [[Batch.1] 应标记批处理作业队列](batch-controls.md#batch-1)
+ [[Batch.3] 应标记批处理计算环境](batch-controls.md#batch-3)
+ [[Batch.4] 应标记托管批处理计算环境中的计算资源属性](batch-controls.md#batch-4)
+ [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] 备份计划中应有 DynamoDB 表](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.28] 备份计划应涵盖 EBS 卷](ec2-controls.md#ec2-28)
+ [[EC2.34] 应标记 EC2 中转网关路由表](ec2-controls.md#ec2-34)
+ [[EC2.40] 应标记 EC2 NAT 网关](ec2-controls.md#ec2-40)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[EC2.55] VPCs 应配置用于 ECR API 的接口端点](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs 应配置 Docker Registry 的接口端点](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs 应配置 Systems Manager 的接口端点](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181)
+ [[ECR.2] ECR 私有存储库应配置标签不可变性](ecr-controls.md#ecr-2)
+ [[ECR.3] ECR 存储库应至少配置一个生命周期策略](ecr-controls.md#ecr-3)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ECR.5] ECR 存储库应使用客户托管进行加密 AWS KMS keys](ecr-controls.md#ecr-5)
+ [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2)
+ [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3)
+ [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4)
+ [[EFS.8] 应对 EFS 文件系统进行静态加密](efs-controls.md#efs-8)
+ [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)
+ [[EKS.7] 应标记 EKS 身份提供商配置](eks-controls.md#eks-7)
+ [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8)
+ [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10)
+ [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)
+ [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)
+ [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)
+ [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)
+ [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
+ [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
+ [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)
+ [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)
+ [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Kinesis 流应有足够的数据留存期](kinesis-controls.md#kinesis-3)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5)
+ [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] 应标记 Amazon MQ 代理](mq-controls.md#mq-4)
+ [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6)
+ [[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1)
+ [[MSK.2] MSK 集群应配置增强型监控](msk-controls.md#msk-2)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.4] MSK 集群应禁用公开访问](msk-controls.md#msk-4)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[MSK.6] MSK 集群应禁用未经身份验证的访问](msk-controls.md#msk-6)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.9] 应该给 OpenSearch 域名加标签](opensearch-controls.md#opensearch-9)
+ [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[RDS.1] RDS 快照应为私有](rds-controls.md#rds-1)
+ [[RDS.4] RDS 集群快照和数据库快照应进行静态加密](rds-controls.md#rds-4)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.26] RDS 数据库实例应受备份计划保护](rds-controls.md#rds-26)
+ [[RDS.29] 应标记 RDS 数据库集群快照](rds-controls.md#rds-29)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37)
+ [[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名](redshift-controls.md#redshift-8)
+ [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1)
+ [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Step Functions 状态机应该开启日志功能](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 墨西哥(中部)
墨西哥(中部)区域不支持以下控件。
+ [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1)
+ [[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度](acm-controls.md#acm-2)
+ [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] API Gateway V2 集成应使用 HTTPS 进行私有连接](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] 应 AWS AppConfig 标记扩展关联](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2)
+ [[AppSync.4] 应标记 AWS AppSync Gr APIs aphQL](appsync-controls.md#appsync-4)
+ [[AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Athena.4] Athena 工作组应启用日志记录](athena-controls.md#athena-4)
+ [[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[Backup.2] 应标记 AWS Backup 恢复点](backup-controls.md#backup-2)
+ [[Backup.4] 应 AWS Backup 标记报告计划](backup-controls.md#backup-4)
+ [[Batch.1] 应标记批处理作业队列](batch-controls.md#batch-1)
+ [[Batch.2] 应标记批处理计划策略](batch-controls.md#batch-2)
+ [[Batch.3] 应标记批处理计算环境](batch-controls.md#batch-3)
+ [[Batch.4] 应标记托管批处理计算环境中的计算资源属性](batch-controls.md#batch-4)
+ [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] CloudTrail 湖泊事件数据存储应使用客户托管进行加密 AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] 应激 CloudWatch 活警报动作](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] 应对 CodeBuild 报告组导出进行静态加密](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Cognito.3] Cognito 用户池的密码策略应具有可靠的配置](cognito-controls.md#cognito-3)
+ [[Cognito.4] Cognito 用户池应激活威胁防护,并使用全功能强制模式进行自定义身份验证](cognito-controls.md#cognito-4)
+ [[Cognito.5] 应为 Cognito 用户池启用 MFA](cognito-controls.md#cognito-5)
+ [[Cognito.6] Cognito 用户池应启用删除保护](cognito-controls.md#cognito-6)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DataFirehose.1] Firehose 传输流应在静态状态下进行加密](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] DataSync 任务应启用日志记录](datasync-controls.md#datasync-1)
+ [[DataSync.2] 应标记 DataSync 任务](datasync-controls.md#datasync-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] 备份计划中应有 DynamoDB 表](dynamodb-controls.md#dynamodb-4)
+ [[DynamodB.6] DynamoDB 表应启用删除保护](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.28] 备份计划应涵盖 EBS 卷](ec2-controls.md#ec2-28)
+ [[EC2.34] 应标记 EC2 中转网关路由表](ec2-controls.md#ec2-34)
+ [[EC2.40] 应标记 EC2 NAT 网关](ec2-controls.md#ec2-40)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53)
+ [[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs 应配置用于 ECR API 的接口端点](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs 应配置 Docker Registry 的接口端点](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs 应配置 Systems Manager 的接口端点](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] EC2 VPN 连接应启用日志记录](ec2-controls.md#ec2-171)
+ [[EC2.172] EC2 VPC 阻止公开访问设置应阻止互联网网关流量](ec2-controls.md#ec2-172)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.174] 应标记 EC2 DHCP 选项集](ec2-controls.md#ec2-174)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.176] 应标记 EC2 前缀列表](ec2-controls.md#ec2-176)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.178] 应标记 EC2 流量镜像筛选条件](ec2-controls.md#ec2-178)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181)
+ [[EC2.182] Amazon EBS 快照不应向公众开放](ec2-controls.md#ec2-182)
+ [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1)
+ [[ECR.2] ECR 私有存储库应配置标签不可变性](ecr-controls.md#ecr-2)
+ [[ECR.3] ECR 存储库应至少配置一个生命周期策略](ecr-controls.md#ecr-3)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ECR.5] ECR 存储库应使用客户托管进行加密 AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] ECS 任务定义不应共享主机的进程命名空间](ecs-controls.md#ecs-3)
+ [[ECS.4] ECS 容器应以非特权身份运行](ecs-controls.md#ecs-4)
+ [[ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限](ecs-controls.md#ecs-5)
+ [[ECS.8] 密钥不应作为容器环境变量传递](ecs-controls.md#ecs-8)
+ [[ECS.9] ECS 任务定义应具有日志配置](ecs-controls.md#ecs-9)
+ [[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10)
+ [[ECS.12] ECS 集群应该使用容器详情](ecs-controls.md#ecs-12)
+ [[ECS.16] ECS 任务集不应自动分配公有 IP 地址](ecs-controls.md#ecs-16)
+ [[ECS.17] ECS 任务定义不应使用主机网络模式](ecs-controls.md#ecs-17)
+ [[ECS.18] ECS 任务定义应对 EFS 卷使用传输中加密](ecs-controls.md#ecs-18)
+ [[ECS.19] ECS 容量提供商应启用托管终止保护](ecs-controls.md#ecs-19)
+ [[ECS.20] ECS 任务定义应在 Linux 容器定义中配置非 root 用户](ecs-controls.md#ecs-20)
+ [[ECS.21] ECS 任务定义应在 Windows 容器定义中配置非管理员用户](ecs-controls.md#ecs-21)
+ [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2)
+ [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3)
+ [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4)
+ [[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联](efs-controls.md#efs-6)
+ [[EFS.7] EFS 文件系统应启用自动备份](efs-controls.md#efs-7)
+ [[EFS.8] 应对 EFS 文件系统进行静态加密](efs-controls.md#efs-8)
+ [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)
+ [[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥](eks-controls.md#eks-3)
+ [[EKS.7] 应标记 EKS 身份提供商配置](eks-controls.md#eks-7)
+ [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8)
+ [[ELB.10] 经典负载均衡器应跨越多个可用区](elb-controls.md#elb-10)
+ [[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-12)
+ [[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区](elb-controls.md#elb-13)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)
+ [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2)
+ [[EMR.3] Amazon EMR 安全配置应静态加密](emr-controls.md#emr-3)
+ [[EMR.4] Amazon EMR 安全配置应在传输过程中加密](emr-controls.md#emr-4)
+ [[ES.3] Elasticsearch 域应加密节点之间发送的数据](es-controls.md#es-3)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[ES.9] 应标记 Elasticsearch 域](es-controls.md#es-9)
+ [[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx 对于 Lustre 文件系统,应配置为将标签复制到备份](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx 对于 OpenZFS 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx 对于 NetApp ONTAP 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx 对于 Windows 文件服务器,应为多可用区部署配置文件系统](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] 应该给 AWS Glue 工作加标签](glue-controls.md#glue-1)
+ [[Glue.3] AWS Glue 机器学习转换应在静态时加密](glue-controls.md#glue-3)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty 应该启用](guardduty-controls.md#guardduty-1)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.5] 应启 GuardDuty 用 EKS 审核日志监控](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] 应启用 Lamb GuardDuty da 保护](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] 应启用 GuardDuty RDS 保护](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] 应启用 GuardDuty S3 保护](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控](guardduty-controls.md#guardduty-13)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10)
+ [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)
+ [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)
+ [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)
+ [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)
+ [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
+ [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
+ [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)
+ [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)
+ [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Kinesis 流应有足够的数据留存期](kinesis-controls.md#kinesis-3)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [[KMS.5] KMS 密钥不应可公开访问](kms-controls.md#kms-5)
+ [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5)
+ [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] 应标记 Amazon MQ 代理](mq-controls.md#mq-4)
+ [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6)
+ [[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1)
+ [[MSK.2] MSK 集群应配置增强型监控](msk-controls.md#msk-2)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.4] MSK 集群应禁用公开访问](msk-controls.md#msk-4)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[MSK.6] MSK 集群应禁用未经身份验证的访问](msk-controls.md#msk-6)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.9] 应该给 OpenSearch 域名加标签](opensearch-controls.md#opensearch-9)
+ [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构](pca-controls.md#pca-1)
+ [[PCA.2] 应标记 AWS 私有 CA 证书颁发机构](pca-controls.md#pca-2)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.18] RDS 实例应部署在 VPC 中](rds-controls.md#rds-18)
+ [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24)
+ [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25)
+ [[RDS.26] RDS 数据库实例应受备份计划保护](rds-controls.md#rds-26)
+ [[RDS.27] 应对 RDS 数据库集群进行静态加密](rds-controls.md#rds-27)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.36] 适用于 PostgreSQL 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] RDS for PostgreSQL 数据库实例应在传输过程中加密](rds-controls.md#rds-38)
+ [[RDS.39] RDS for MySQL 数据库实例应在传输过程中加密](rds-controls.md#rds-39)
+ [[RDS.40] 适用于 SQL Server 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] RDS for SQL Server 数据库实例应在传输过程中加密](rds-controls.md#rds-41)
+ [[RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密](rds-controls.md#rds-43)
+ [[RDS.44] RDS for MariaDB 数据库实例应在传输过程中加密](rds-controls.md#rds-44)
+ [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45)
+ [[RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中](rds-controls.md#rds-46)
+ [[RDS.47] 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-47)
+ [[RDS.48] 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-48)
+ [[Redshift.1] Amazon Redshift 集群应禁止公共访问](redshift-controls.md#redshift-1)
+ [[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密](redshift-controls.md#redshift-2)
+ [[Redshift.3] Amazon Redshift 集群应启用自动快照](redshift-controls.md#redshift-3)
+ [[Redshift.4] Amazon Redshift 集群应启用审核日志记录](redshift-controls.md#redshift-4)
+ [[Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能](redshift-controls.md#redshift-6)
+ [[Redshift.7] Redshift 集群应使用增强型 VPC 路由](redshift-controls.md#redshift-7)
+ [[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名](redshift-controls.md#redshift-8)
+ [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10)
+ [[Redshift.11] 应标记 Redshift 集群](redshift-controls.md#redshift-11)
+ [[Redshift.13] 应标记 Redshift 集群快照](redshift-controls.md#redshift-13)
+ [[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口](redshift-controls.md#redshift-15)
+ [[Redshift.16] Redshift 集群子网组应具有来自多个可用区的子网](redshift-controls.md#redshift-16)
+ [[Redshift.17] 应标记 Redshift 集群参数组](redshift-controls.md#redshift-17)
+ [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.7] S3 通用存储桶应使用跨区域复制](s3-controls.md#s3-7)
+ [[S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-10)
+ [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11)
+ [ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限](s3-controls.md#s3-12)
+ [[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13)
+ [[S3.19] S3 接入点已启用屏蔽公共访问权限设置](s3-controls.md#s3-19)
+ [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)
+ [[S3.22] S3 通用存储桶应记录对象级写入事件](s3-controls.md#s3-22)
+ [[S3.23] S3 通用存储桶应记录对象级读取事件](s3-controls.md#s3-23)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] 应标记 SES 联系人列表](ses-controls.md#ses-1)
+ [[SES.2] 应标记 SES 配置集](ses-controls.md#ses-2)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] SNS 主题访问策略不应允许公共访问](sns-controls.md#sns-4)
+ [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4)
+ [[SSM.5] 应标记 SSM 文档](ssm-controls.md#ssm-5)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Step Functions 状态机应该开启日志功能](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接](transfer-controls.md#transfer-2)
+ [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[Transfer.5] 应标记 Transfer Family 证书](transfer-controls.md#transfer-5)
+ [[Transfer.6] 应标记 Transfer Family 连接器](transfer-controls.md#transfer-6)
+ [[Transfer.7] 应标记 Transfer Family 配置文件](transfer-controls.md#transfer-7)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.2] AWS WAF 经典区域规则应至少有一个条件](waf-controls.md#waf-2)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-4)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WAF.12] AWS WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 中东(巴林)
中东(巴林)区域不支持以下控件。
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.10] CloudTrail 湖泊事件数据存储应使用客户托管进行加密 AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.20] VPN 连接的两个 VPN 隧道都应 AWS Site-to-Site 处于开启状态](ec2-controls.md#ec2-20)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ECR.5] ECR 存储库应使用客户托管进行加密 AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.17] ECS 任务定义不应使用主机网络模式](ecs-controls.md#ecs-17)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[FSx.3] FSx 对于 OpenZFS 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx 对于 NetApp ONTAP 文件系统,应配置为多可用区部署](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx 对于 Windows 文件服务器,应为多可用区部署配置文件系统](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控](guardduty-controls.md#guardduty-13)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.41] RDS for SQL Server 数据库实例应在传输过程中加密](rds-controls.md#rds-41)
+ [[RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密](rds-controls.md#rds-43)
+ [[RDS.44] RDS for MariaDB 数据库实例应在传输过程中加密](rds-controls.md#rds-44)
+ [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45)
+ [[RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中](rds-controls.md#rds-46)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行](sagemaker-controls.md#sagemaker-8)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 中东(阿联酋):
中东(阿联酋)区域不支持以下控件。
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1)
+ [[Backup.4] 应 AWS Backup 标记报告计划](backup-controls.md#backup-4)
+ [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)
+ [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4)
+ [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17)
+ [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)
+ [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.4] MSK 集群应禁用公开访问](msk-controls.md#msk-4)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[MSK.6] MSK 集群应禁用未经身份验证的访问](msk-controls.md#msk-6)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[Opensearch.9] 应该给 OpenSearch 域名加标签](opensearch-controls.md#opensearch-9)
+ [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] 应标记 SES 联系人列表](ses-controls.md#ses-1)
+ [[SES.2] 应标记 SES 配置集](ses-controls.md#ses-2)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## 南美洲(圣保罗)
南美洲(圣保罗)区域不支持以下控件。
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.5] 应为 Cognito 用户池启用 MFA](cognito-controls.md#cognito-5)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## AWS GovCloud (美国东部)
AWS GovCloud (美国东部)地区不支持以下控件。
+ [[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度](acm-controls.md#acm-2)
+ [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证](apigateway-controls.md#apigateway-2)
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] API Gateway V2 集成应使用 HTTPS 进行私有连接](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] 应 AWS AppConfig 标记扩展关联](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2)
+ [[AppSync.4] 应标记 AWS AppSync Gr APIs aphQL](appsync-controls.md#appsync-4)
+ [[AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板](autoscaling-controls.md#autoscaling-9)
+ [[Backup.4] 应 AWS Backup 标记报告计划](backup-controls.md#backup-4)
+ [[Batch.1] 应标记批处理作业队列](batch-controls.md#batch-1)
+ [[Batch.2] 应标记批处理计划策略](batch-controls.md#batch-2)
+ [[Batch.3] 应标记批处理计算环境](batch-controls.md#batch-3)
+ [[Batch.4] 应标记托管批处理计算环境中的计算资源属性](batch-controls.md#batch-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudWatch.17] 应激 CloudWatch 活警报动作](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2)
+ [[Cognito.3] Cognito 用户池的密码策略应具有可靠的配置](cognito-controls.md#cognito-3)
+ [[Cognito.4] Cognito 用户池应激活威胁防护,并使用全功能强制模式进行自定义身份验证](cognito-controls.md#cognito-4)
+ [[Cognito.5] 应为 Cognito 用户池启用 MFA](cognito-controls.md#cognito-5)
+ [[Cognito.6] Cognito 用户池应启用删除保护](cognito-controls.md#cognito-6)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2)
+ [[DataSync.2] 应标记 DataSync 任务](datasync-controls.md#datasync-2)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.47] 应标记 Amazon VPC 端点服务](ec2-controls.md#ec2-47)
+ [[EC2.52] 应标记 EC2 中转网关](ec2-controls.md#ec2-52)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.174] 应标记 EC2 DHCP 选项集](ec2-controls.md#ec2-174)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.176] 应标记 EC2 前缀列表](ec2-controls.md#ec2-176)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.178] 应标记 EC2 流量镜像筛选条件](ec2-controls.md#ec2-178)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1)
+ [[ECR.2] ECR 私有存储库应配置标签不可变性](ecr-controls.md#ecr-2)
+ [[ECR.3] ECR 存储库应至少配置一个生命周期策略](ecr-controls.md#ecr-3)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ECS.3] ECS 任务定义不应共享主机的进程命名空间](ecs-controls.md#ecs-3)
+ [[ECS.4] ECS 容器应以非特权身份运行](ecs-controls.md#ecs-4)
+ [[ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限](ecs-controls.md#ecs-5)
+ [[ECS.8] 密钥不应作为容器环境变量传递](ecs-controls.md#ecs-8)
+ [[ECS.9] ECS 任务定义应具有日志配置](ecs-controls.md#ecs-9)
+ [[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10)
+ [[ECS.12] ECS 集群应该使用容器详情](ecs-controls.md#ecs-12)
+ [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3)
+ [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4)
+ [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)
+ [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8)
+ [[ELB.10] 经典负载均衡器应跨越多个可用区](elb-controls.md#elb-10)
+ [[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-12)
+ [[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区](elb-controls.md#elb-13)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.21] 应用程序和 Network Load Balancer 目标组应使用加密的运行状况检查协议](elb-controls.md#elb-21)
+ [[ELB.22] ELB 目标组应使用加密的传输协议](elb-controls.md#elb-22)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2)
+ [[EMR.3] Amazon EMR 安全配置应静态加密](emr-controls.md#emr-3)
+ [[EMR.4] Amazon EMR 安全配置应在传输过程中加密](emr-controls.md#emr-4)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx 对于 Lustre 文件系统,应配置为将标签复制到备份](fsx-controls.md#fsx-2)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.3] AWS Glue 机器学习转换应在静态时加密](glue-controls.md#glue-3)
+ [[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] 应启用 GuardDuty RDS 保护](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控](guardduty-controls.md#guardduty-13)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1)
+ [[KMS.5] KMS 密钥不应可公开访问](kms-controls.md#kms-5)
+ [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6)
+ [[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1)
+ [[MSK.2] MSK 集群应配置增强型监控](msk-controls.md#msk-2)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构](pca-controls.md#pca-1)
+ [[PCA.2] 应标记 AWS 私有 CA 证书颁发机构](pca-controls.md#pca-2)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.15] 应为多个可用区配置 RDS 数据库集群](rds-controls.md#rds-15)
+ [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24)
+ [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25)
+ [[RDS.27] 应对 RDS 数据库集群进行静态加密](rds-controls.md#rds-27)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密](rds-controls.md#rds-43)
+ [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45)
+ [[RDS.47] 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-47)
+ [[RDS.48] 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-48)
+ [[RDS.50] RDS 数据库集群应设置足够的备份保留期](rds-controls.md#rds-50)
+ [[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名](redshift-controls.md#redshift-8)
+ [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10)
+ [[Redshift.17] 应标记 Redshift 集群参数组](redshift-controls.md#redshift-17)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-10)
+ [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11)
+ [ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限](s3-controls.md#s3-12)
+ [[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13)
+ [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] 应标记 SES 联系人列表](ses-controls.md#ses-1)
+ [[SES.2] 应标记 SES 配置集](ses-controls.md#ses-2)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[SNS.4] SNS 主题访问策略不应允许公共访问](sns-controls.md#sns-4)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4)
+ [[SSM.5] 应标记 SSM 文档](ssm-controls.md#ssm-5)
+ [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6)
+ [[StepFunctions.1] Step Functions 状态机应该开启日志功能](stepfunctions-controls.md#stepfunctions-1)
+ [[StepFunctions.2] 应标记 Step Functions 活动](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[Transfer.5] 应标记 Transfer Family 证书](transfer-controls.md#transfer-5)
+ [[Transfer.6] 应标记 Transfer Family 连接器](transfer-controls.md#transfer-6)
+ [[Transfer.7] 应标记 Transfer Family 配置文件](transfer-controls.md#transfer-7)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.2] AWS WAF 经典区域规则应至少有一个条件](waf-controls.md#waf-2)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-4)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WAF.12] AWS WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2)
## AWS GovCloud (美国西部)
AWS GovCloud (美国西部)地区不支持以下控件。
+ [[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度](acm-controls.md#acm-2)
+ [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证](apigateway-controls.md#apigateway-2)
+ [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] API Gateway V2 集成应使用 HTTPS 进行私有连接](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] 应 AWS AppConfig 标记扩展关联](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2)
+ [[AppSync.4] 应标记 AWS AppSync Gr APIs aphQL](appsync-controls.md#appsync-4)
+ [[AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5)
+ [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6)
+ [[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板](autoscaling-controls.md#autoscaling-9)
+ [[Backup.4] 应 AWS Backup 标记报告计划](backup-controls.md#backup-4)
+ [[Batch.1] 应标记批处理作业队列](batch-controls.md#batch-1)
+ [[Batch.2] 应标记批处理计划策略](batch-controls.md#batch-2)
+ [[Batch.3] 应标记批处理计算环境](batch-controls.md#batch-3)
+ [[Batch.4] 应标记托管批处理计算环境中的计算资源属性](batch-controls.md#batch-4)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17)
+ [[CloudWatch.17] 应激 CloudWatch 活警报动作](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证](cognito-controls.md#cognito-1)
+ [[Cognito.3] Cognito 用户池的密码策略应具有可靠的配置](cognito-controls.md#cognito-3)
+ [[Cognito.4] Cognito 用户池应激活威胁防护,并使用全功能强制模式进行自定义身份验证](cognito-controls.md#cognito-4)
+ [[Cognito.5] 应为 Cognito 用户池启用 MFA](cognito-controls.md#cognito-5)
+ [[Cognito.6] Cognito 用户池应启用删除保护](cognito-controls.md#cognito-6)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[DataSync.2] 应标记 DataSync 任务](datasync-controls.md#datasync-2)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)
+ [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)
+ [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)
+ [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)
+ [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)
+ [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.3] DynamoDB Accelerator(DAX)集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)
+ [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] 应删除未使用的 Amazon EC2 安全组](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23)
+ [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)
+ [[EC2.28] 备份计划应涵盖 EBS 卷](ec2-controls.md#ec2-28)
+ [[EC2.38] 应标记 EC2 实例](ec2-controls.md#ec2-38)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+ [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173)
+ [[EC2.174] 应标记 EC2 DHCP 选项集](ec2-controls.md#ec2-174)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.176] 应标记 EC2 前缀列表](ec2-controls.md#ec2-176)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.178] 应标记 EC2 流量镜像筛选条件](ec2-controls.md#ec2-178)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1)
+ [[ECR.2] ECR 私有存储库应配置标签不可变性](ecr-controls.md#ecr-2)
+ [[ECR.3] ECR 存储库应至少配置一个生命周期策略](ecr-controls.md#ecr-3)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ECS.3] ECS 任务定义不应共享主机的进程命名空间](ecs-controls.md#ecs-3)
+ [[ECS.4] ECS 容器应以非特权身份运行](ecs-controls.md#ecs-4)
+ [[ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限](ecs-controls.md#ecs-5)
+ [[ECS.8] 密钥不应作为容器环境变量传递](ecs-controls.md#ecs-8)
+ [[ECS.9] ECS 任务定义应具有日志配置](ecs-controls.md#ecs-9)
+ [[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10)
+ [[ECS.12] ECS 集群应该使用容器详情](ecs-controls.md#ecs-12)
+ [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3)
+ [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4)
+ [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)
+ [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8)
+ [[ELB.10] 经典负载均衡器应跨越多个可用区](elb-controls.md#elb-10)
+ [[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-12)
+ [[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区](elb-controls.md#elb-13)
+ [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)
+ [[ELB.21] 应用程序和 Network Load Balancer 目标组应使用加密的运行状况检查协议](elb-controls.md#elb-21)
+ [[ELB.22] ELB 目标组应使用加密的传输协议](elb-controls.md#elb-22)
+ [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2)
+ [[EMR.3] Amazon EMR 安全配置应静态加密](emr-controls.md#emr-3)
+ [[EMR.4] Amazon EMR 安全配置应在传输过程中加密](emr-controls.md#emr-4)
+ [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4)
+ [[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx 对于 Lustre 文件系统,应配置为将标签复制到备份](fsx-controls.md#fsx-2)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] 应启用 GuardDuty RDS 保护](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控](guardduty-controls.md#guardduty-13)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)
+ [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1)
+ [[KMS.5] KMS 密钥不应可公开访问](kms-controls.md#kms-5)
+ [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5)
+ [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)
+ [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2)
+ [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6)
+ [[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1)
+ [[MSK.2] MSK 集群应配置增强型监控](msk-controls.md#msk-2)
+ [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)
+ [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5)
+ [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5)
+ [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7)
+ [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9)
+ [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8)
+ [[PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构](pca-controls.md#pca-1)
+ [[PCA.2] 应标记 AWS 私有 CA 证书颁发机构](pca-controls.md#pca-2)
+ [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14)
+ [[RDS.15] 应为多个可用区配置 RDS 数据库集群](rds-controls.md#rds-15)
+ [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24)
+ [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25)
+ [[RDS.27] 应对 RDS 数据库集群进行静态加密](rds-controls.md#rds-27)
+ [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)
+ [[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密](rds-controls.md#rds-43)
+ [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45)
+ [[RDS.47] 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-47)
+ [[RDS.48] 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-48)
+ [[RDS.50] RDS 数据库集群应设置足够的备份保留期](rds-controls.md#rds-50)
+ [[Redshift.7] Redshift 集群应使用增强型 VPC 路由](redshift-controls.md#redshift-7)
+ [[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名](redshift-controls.md#redshift-8)
+ [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10)
+ [[Redshift.11] 应标记 Redshift 集群](redshift-controls.md#redshift-11)
+ [[Redshift.13] 应标记 Redshift 集群快照](redshift-controls.md#redshift-13)
+ [[Redshift.17] 应标记 Redshift 集群参数组](redshift-controls.md#redshift-17)
+ [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-10)
+ [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11)
+ [ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限](s3-controls.md#s3-12)
+ [[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13)
+ [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)
+ [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)
+ [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25)
+ [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3)
+ [[SNS.4] SNS 主题访问策略不应允许公共访问](sns-controls.md#sns-4)
+ [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3)
+ [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4)
+ [[SSM.5] 应标记 SSM 文档](ssm-controls.md#ssm-5)
+ [[StepFunctions.1] Step Functions 状态机应该开启日志功能](stepfunctions-controls.md#stepfunctions-1)
+ [[StepFunctions.2] 应标记 Step Functions 活动](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[Transfer.5] 应标记 Transfer Family 证书](transfer-controls.md#transfer-5)
+ [[Transfer.6] 应标记 Transfer Family 连接器](transfer-controls.md#transfer-6)
+ [[Transfer.7] 应标记 Transfer Family 配置文件](transfer-controls.md#transfer-7)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.2] AWS WAF 经典区域规则应至少有一个条件](waf-controls.md#waf-2)
+ [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3)
+ [[WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-4)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10)
+ [[WAF.12] AWS WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12)