本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Security Hub CSPM 标准参考
<a name="standards-reference"></a>

在 Sec AWS urity Hub CSPM 中，*安全标准*是一组基于监管框架、行业最佳实践或公司政策的要求。Security Hub CSPM 将这些要求映射到控件，并对控件运行安全检查，以评测是否符合标准的要求。每个标准都包含多个控件。

Security Hub CSPM 当前支持以下标准：
+ **AWS 基础安全最佳实践** — 该标准由 AWS 行业专业人士制定，汇编了适用于任何行业或规模的组织的安全最佳实践。它提供了一组控件，用于检测您的 AWS 账户 和资源何时偏离了安全最佳实践。它提供了有关如何改进和维护安全状况的规范性指导。
+ **AWS 资源标记** — 该标准由 Security Hub CSPM 开发，可以帮助您确定您的 AWS 资源是否有标签。*标签*是用作资源元数据的键值对。 AWS 标签可以帮助您识别、分类、管理和搜索 AWS 资源。例如，您可以使用标签按用途、所有者或环境对资源进行分类。
+ **CIS AWS 基金会基准** — 该标准由互联网安全中心 (CIS) 开发，提供了以下方面的安全配置指南 AWS。它为一部分和资源指定了一套安全配置指南 AWS 服务 和最佳实践，重点是基础设置、可测试设置和架构不可知设置。指导方针包括明确、 step-by-step执行和评估程序。
+ **NIST SP 800-53 修订版 5** – 此标准符合美国国家标准与技术研究院（NIST）关于保护信息系统和关键资源的机密性、完整性和可用性的要求。相关框架通常适用于美国联邦机构或者与美国联邦机构或信息系统合作的组织。但是，私人组织也可以将这些要求用作指导框架。
+ **NIST SP 800-171 修订版 2**：此标准符合 NIST 安全建议和要求，旨在保护不属于美国联邦政府的系统和组织中受控非机密信息（CUI）的机密性。*CUI* 是指不符合政府分类标准但被认为是敏感信息，并且是由美国联邦政府或代表美国联邦政府的其他实体创建或拥有的信息。
+ **PCI DSS**：此标准符合支付卡行业数据安全标准（PCI DSS）合规框架，该框架由 PCI 安全标准委员会（SSC）定义。该框架提供了一套安全处理信用卡和借记卡信息的规则和指南。该框架通常适用于存储、处理或传输持卡人数据的组织。
+ **服务管理标准， AWS Control Tower— 此标准**可帮助您配置 Security Hub CSPM 提供的侦探控件。 AWS Control Tower AWS Control Tower 遵循规范性最佳实践，提供了一种设置和管理 AWS 多账户环境的简单方法。

Security Hub CSPM 的标准和控件并不能保证遵守任何监管框架或审计。相反，它们提供了一种评估和监控您的 AWS 账户 账户和资源状态的方法。建议您启用与您的业务需求、行业或使用案例相关的各项标准。

单个控件可以适用于多个标准。如果启用多个标准，则建议您同时启用整合的控件调查发现。如果这样做，Security Hub CSPM 会为每个控件生成一个调查发现，即使该控件适用于多个标准也是如此。如果不启用整合的控件调查发现，Security Hub CSPM 会为控件适用于的每个已启用标准生成单独的调查发现。例如，如果启用了两个标准，并且一个控件适用于这两个标准，则您会收到两个针对该控件的单独调查发现，每个标准一个。如果启用整合的控件调查发现，则只会收到控件的一个调查发现。有关更多信息，请参阅 [整合的控件调查发现](controls-findings-create-update.md#consolidated-control-findings)。

**Topics**
+ [AWS 基础安全最佳实践](fsbp-standard.md)
+ [AWS 资源标记](standards-tagging.md)
+ [独联体 AWS 基金会基准](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 修订版 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 修订版 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [服务托管标准](service-managed-standards.md)

# AWS Security Hub CSPM 中的基础安全最佳实践标准
<a name="fsbp-standard"></a>

 AWS 基础安全最佳实践 (FSBP) 标准由 AWS 行业专业人士制定，汇编了各种组织的最佳安全实践，无论组织部门或规模如何。它提供了一组控制措施，用于检测何时 AWS 账户 出现资源偏离安全最佳实践。它还提供了有关如何改进和维护组织的安全状况的规范性指导。

在 S AWS ecurity Hub CSPM 中， AWS 基础安全最佳实践标准包括持续评估您的 AWS 账户 和工作负载的控件，并帮助您识别偏离安全最佳实践的领域。这些控件包括多个 AWS 服务资源的安全最佳实践。为每个控件分配一个类别以反映控件应用于的安全功能。有关类别列表和其他详细信息，请参阅[控件类别](control-categories.md)。

## 适用于标准的控件
<a name="fsbp-controls"></a>

以下列表指定了哪些 Sec AWS urity Hub CSPM 控件适用于 AWS 基础安全最佳实践标准 (v1.0.0)。要查看控件的详细信息，请选择该控件。

 [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1) 

 [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1) 

 [[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度](acm-controls.md#acm-2) 

 [[APIGateway.1] 应启用 API Gateway REST 和 WebSocket API 执行日志记录](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] API Gateway REST API 阶段应启用 AWS X-Ray 跟踪](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] API Gateway 应与 WAF Web ACL 关联](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] API Gateway REST API 缓存数据应进行静态加密](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] API Gateway V2 集成应使用 HTTPS 进行私有连接](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] 应 AWS AppSync 对 API 缓存进行静态加密](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2) 

 [[AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5) 

 [[AppSync.6] AWS AppSync API 缓存应在传输过程中进行加密](appsync-controls.md#appsync-6) 

 [[Athena.4] Athena 工作组应启用日志记录](athena-controls.md#athena-4) 

 [[AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)](autoscaling-controls.md#autoscaling-3) 

 [[Autoscaling.5] 使用 Auto Scaling 组启动配置启动的 EC2 亚马逊实例不应具有公有 IP 地址](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1) 

 [[CloudFormation.3] CloudFormation 堆栈应启用终止保护](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] CloudFormation 堆栈应具有相关的服务角色](cloudformation-controls.md#cloudformation-4) 

 [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3) 

 [[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] 应对 CodeBuild 报告组导出进行静态加密](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] Cognito 身份池不应允许未经身份验证的身份](cognito-controls.md#cognito-2) 

 [[Cognito.3] Cognito 用户池的密码策略应具有可靠的配置](cognito-controls.md#cognito-3) 

 [[Cognito.4] Cognito 用户池应激活威胁防护，并使用全功能强制模式进行自定义身份验证](cognito-controls.md#cognito-4) 

 [[Cognito.5] 应为 Cognito 用户池启用 MFA](cognito-controls.md#cognito-5) 

 [[Cognito.6] Cognito 用户池应启用删除保护](cognito-controls.md#cognito-6) 

 [AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1) 

 [[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch](connect-controls.md#connect-2) 

 [[DataFirehose.1] Firehose 传输流应在静态状态下进行加密](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] DataSync 任务应启用日志记录](datasync-controls.md#datasync-1) 

 [[DMS.1] Database Migration Service 复制实例不应公开](dms-controls.md#dms-1) 

 [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6) 

 [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7) 

 [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8) 

 [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9) 

 [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10) 

 [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11) 

 [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12) 

 [[DMS.13] DMS 复制实例应配置为使用多个可用区](dms-controls.md#dms-13) 

 [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1) 

 [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2) 

 [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3) 

 [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] DynamoDB 表应该启用恢复功能 point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] DynamoDB Accelerator（DAX）集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3) 

 [[DynamodB.6] DynamoDB 表应启用删除保护](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Amazon EBS 快照不应公开恢复](ec2-controls.md#ec2-1) 

 [[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2) 

 [[EC2.3] 挂载的 Amazon EBS 卷应进行静态加密](ec2-controls.md#ec2-3) 

 [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4) 

 [[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] 应启用 EBS 默认加密](ec2-controls.md#ec2-7) 

 [[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] 亚马逊 EC2 实例不应有公有地址 IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点](ec2-controls.md#ec2-10) 

 [[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址](ec2-controls.md#ec2-15) 

 [[EC2.16] 应删除未使用的网络访问控制列表](ec2-controls.md#ec2-16) 

 [[EC2.17] 亚马逊 EC2 实例不应使用多个 ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] 安全组应只允许授权端口不受限制的传入流量](ec2-controls.md#ec2-18) 

 [[EC2.19] 安全组不应允许不受限制地访问高风险端口](ec2-controls.md#ec2-19) 

 [[EC2.20] VPN 连接的两个 VPN 隧道都应 AWS Site-to-Site 处于开启状态](ec2-controls.md#ec2-20) 

 [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21) 

 [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23) 

 [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24) 

 [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25) 

 [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs 应配置用于 ECR API 的接口端点](ec2-controls.md#ec2-55)

[[EC2.56] VPCs 应配置 Docker Registry 的接口端点](ec2-controls.md#ec2-56)

[[EC2.57] VPCs 应配置 Systems Manager 的接口端点](ec2-controls.md#ec2-57)

[[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)

[[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)

 [[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] EC2 VPN 连接应启用日志记录](ec2-controls.md#ec2-171) 

 [[EC2.172] EC2 VPC 阻止公开访问设置应阻止互联网网关流量](ec2-controls.md#ec2-172) 

 [[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密](ec2-controls.md#ec2-173) 

 [[EC2.180] EC2 网络接口应启用检查功能 source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密](ec2-controls.md#ec2-181) 

 [[EC2.182] Amazon EBS 快照不应向公众开放](ec2-controls.md#ec2-182) 

 [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1) 

 [[ECR.2] ECR 私有存储库应配置标签不可变性](ecr-controls.md#ecr-2) 

 [[ECR.3] ECR 存储库应至少配置一个生命周期策略](ecr-controls.md#ecr-3) 

 [[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义](ecs-controls.md#ecs-1) 

 [[ECS.2] ECS 服务不应自动分配公有 IP 地址](ecs-controls.md#ecs-2) 

 [[ECS.3] ECS 任务定义不应共享主机的进程命名空间](ecs-controls.md#ecs-3) 

 [[ECS.4] ECS 容器应以非特权身份运行](ecs-controls.md#ecs-4) 

 [[ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限](ecs-controls.md#ecs-5) 

 [[ECS.8] 密钥不应作为容器环境变量传递](ecs-controls.md#ecs-8) 

 [[ECS.9] ECS 任务定义应具有日志配置](ecs-controls.md#ecs-9) 

 [[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10) 

 [[ECS.12] ECS 集群应该使用容器详情](ecs-controls.md#ecs-12) 

 [[ECS.16] ECS 任务集不应自动分配公有 IP 地址](ecs-controls.md#ecs-16) 

 [[ECS.18] ECS 任务定义应对 EFS 卷使用传输中加密](ecs-controls.md#ecs-18) 

 [[ECS.19] ECS 容量提供商应启用托管终止保护](ecs-controls.md#ecs-19) 

 [[ECS.20] ECS 任务定义应在 Linux 容器定义中配置非 root 用户](ecs-controls.md#ecs-20) 

 [[ECS.21] ECS 任务定义应在 Windows 容器定义中配置非管理员用户](ecs-controls.md#ecs-21) 

 [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2) 

 [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3) 

 [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4) 

 [[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联](efs-controls.md#efs-6) 

 [[EFS.7] EFS 文件系统应启用自动备份](efs-controls.md#efs-7) 

 [[EFS.8] 应对 EFS 文件系统进行静态加密](efs-controls.md#efs-8) 

 [[EKS.1] EKS 集群端点不应公开访问](eks-controls.md#eks-1) 

 [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2) 

 [[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥](eks-controls.md#eks-3) 

 [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8) 

 [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] ElastiCache （Redis OSS）早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELB.1] 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS](elb-controls.md#elb-1) 

 [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2) 

 [[ELB.3] 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止](elb-controls.md#elb-3) 

 [[ELB.4] 应将应用程序负载均衡器配置为丢弃无效的 http 标头](elb-controls.md#elb-4) 

 [[ELB.5] 应启用应用程序和经典负载均衡器日志记录](elb-controls.md#elb-5) 

 [[ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护](elb-controls.md#elb-6) 

 [[ELB.7] 经典负载均衡器应启用连接耗尽功能](elb-controls.md#elb-7) 

 [[ELB.8] 带有 SSL 侦听器的经典负载均衡器应使用持续时间较长的预定义安全策略 AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] 经典负载均衡器应启用跨区域负载均衡器](elb-controls.md#elb-9) 

 [[ELB.10] 经典负载均衡器应跨越多个可用区](elb-controls.md#elb-10) 

 [[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-12) 

 [[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区](elb-controls.md#elb-13) 

 [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14) 

 [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17) 

 [[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密](elb-controls.md#elb-18) 

 [[ELB.21] 应用程序和 Network Load Balancer 目标组应使用加密的运行状况检查协议](elb-controls.md#elb-21) 

 [[ELB.22] ELB 目标组应使用加密的传输协议](elb-controls.md#elb-22) 

 [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1) 

 [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2) 

 [[EMR.3] Amazon EMR 安全配置应静态加密](emr-controls.md#emr-3) 

 [[EMR.4] Amazon EMR 安全配置应在传输过程中加密](emr-controls.md#emr-4) 

 [[ES.1] Elasticsearch 域应启用静态加密](es-controls.md#es-1) 

 [[ES.2] Elasticsearch 域名不可供公共访问](es-controls.md#es-2) 

 [[ES.3] Elasticsearch 域应加密节点之间发送的数据](es-controls.md#es-3) 

 [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4) 

 [[ES.5] Elasticsearch 域名应该启用审核日志](es-controls.md#es-5) 

 [[ES.6] Elasticsearch 域应拥有至少三个数据节点](es-controls.md#es-6) 

 [[ES.7] 应将 Elasticsearch 域配置为至少三个专用的主节点](es-controls.md#es-7) 

 [[ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密](es-controls.md#es-8) 

 [[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] FSx 对于 OpenZFS 文件系统，应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx 对于 Lustre 文件系统，应配置为将标签复制到备份](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx 对于 OpenZFS 文件系统，应配置为多可用区部署](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx 对于 NetApp ONTAP 文件系统，应配置为多可用区部署](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx 对于 Windows 文件服务器，应为多可用区部署配置文件系统](fsx-controls.md#fsx-5) 

 [[Glue.3] AWS Glue 机器学习转换应在静态时加密](glue-controls.md#glue-3) 

 [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty 应该启用](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] 应启 GuardDuty 用 EKS 审核日志监控](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] 应启用 Lamb GuardDuty da 保护](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] 应启用 GuardDuty RDS 保护](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] 应启用 GuardDuty S3 保护](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控](guardduty-controls.md#guardduty-13) 

 [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1) 

 [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2) 

 [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3) 

 [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4) 

 [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5) 

 [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6) 

 [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7) 

 [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8) 

 [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21) 

 [[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1) 

 [[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2) 

 [[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3) 

 [[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] Kinesis 流应有足够的数据留存期](kinesis-controls.md#kinesis-3) 

 [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1) 

 [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2) 

 [AWS KMS keys 不应无意中删除 [KMS.3]](kms-controls.md#kms-3) 

 [[KMS.5] KMS 密钥不应可公开访问](kms-controls.md#kms-5) 

 [[Lambda.1] Lambda 函数策略应禁止公共访问](lambda-controls.md#lambda-1) 

 [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2) 

 [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5) 

 [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1) 

 [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2) 

 [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] Amazon MQ 代理应启用次要版本自动升级](mq-controls.md#mq-3) 

 [[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1) 

 [[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3) 

 [[MSK.4] MSK 集群应禁用公开访问](msk-controls.md#msk-4) 

 [[MSK.5] MSK 连接器应启用日志记录](msk-controls.md#msk-5) 

 [[MSK.6] MSK 集群应禁用未经身份验证的访问](msk-controls.md#msk-6) 

 [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1) 

 [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3) 

 [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4) 

 [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5) 

 [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6) 

 [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7) 

 [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] 对于分段的数据包，Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10) 

 [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2) 

 [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3) 

 [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4) 

 [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5) 

 [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6) 

 [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8) 

 [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10) 

 [[PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构](pca-controls.md#pca-1) 

 [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2) 

 [[RDS.1] RDS 快照应为私有](rds-controls.md#rds-1) 

 [[RDS.2] RDS 数据库实例应禁止公共访问，具体取决于配置 PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] RDS 数据库实例应启用静态加密](rds-controls.md#rds-3) 

 [[RDS.4] RDS 集群快照和数据库快照应进行静态加密](rds-controls.md#rds-4) 

 [[RDS.5] RDS 数据库实例应配置多个可用区](rds-controls.md#rds-5) 

 [[RDS.6] 应为 RDS 数据库实例配置增强监控](rds-controls.md#rds-6) 

 [[RDS.7] RDS 集群应启用删除保护](rds-controls.md#rds-7) 

 [[RDS.8] RDS 数据库实例应启用删除保护](rds-controls.md#rds-8) 

 [[RDS.9] RDS 数据库实例应将日志发布到日志 CloudWatch](rds-controls.md#rds-9) 

 [[RDS.10] 应为 RDS 实例配置 IAM 身份验证](rds-controls.md#rds-10) 

 [[RDS.11] RDS 实例应启用自动备份](rds-controls.md#rds-11) 

 [[RDS.12] 应为 RDS 集群配置 IAM 身份验证](rds-controls.md#rds-12) 

 [[RDS.13] 应启用 RDS 自动次要版本升级](rds-controls.md#rds-13) 

 [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14) 

 [[RDS.15] 应为多个可用区配置 RDS 数据库集群](rds-controls.md#rds-15) 

 [[RDS.16] 应将 Aurora 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-16) 

 [[RDS.17] 应将 RDS 数据库实例配置为将标签复制到快照](rds-controls.md#rds-17) 

 [[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅](rds-controls.md#rds-19) 

 [[RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅](rds-controls.md#rds-20) 

 [[RDS.21] 应为关键数据库参数组事件配置 RDS 事件通知订阅](rds-controls.md#rds-21) 

 [[RDS.22] 应为关键数据库安全组事件配置 RDS 事件通知订阅](rds-controls.md#rds-22) 

 [[RDS.23] RDS 实例不应使用数据库引擎的默认端口](rds-controls.md#rds-23) 

 [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24) 

 [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25) 

 [[RDS.27] 应对 RDS 数据库集群进行静态加密](rds-controls.md#rds-27) 

 [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34) 

 [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35) 

 [[RDS.36] 适用于 PostgreSQL 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] 适用于 SQL Server 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] RDS for SQL Server 数据库实例应在传输过程中加密](rds-controls.md#rds-41) 

 [[RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密](rds-controls.md#rds-43) 

 [[RDS.44] RDS for MariaDB 数据库实例应在传输过程中加密](rds-controls.md#rds-44) 

 [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45) 

 [[RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中](rds-controls.md#rds-46) 

 [[RDS.47] 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-47) 

 [[RDS.48] 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-48) 

 [[RDS.50] RDS 数据库集群应设置足够的备份保留期](rds-controls.md#rds-50) 

 [[Redshift.1] Amazon Redshift 集群应禁止公共访问](redshift-controls.md#redshift-1) 

 [[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密](redshift-controls.md#redshift-2) 

 [[Redshift.3] Amazon Redshift 集群应启用自动快照](redshift-controls.md#redshift-3) 

 [[Redshift.4] Amazon Redshift 集群应启用审核日志记录](redshift-controls.md#redshift-4) 

 [[Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能](redshift-controls.md#redshift-6) 

 [[Redshift.7] Redshift 集群应使用增强型 VPC 路由](redshift-controls.md#redshift-7) 

 [[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名](redshift-controls.md#redshift-8) 

 [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10) 

 [[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口](redshift-controls.md#redshift-15) 

 [[Redshift.18] Redshift 集群应启用多可用区部署](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1) 

 [[S3.2] S3 通用存储桶应阻止公共读取访问权限](s3-controls.md#s3-2) 

 [[S3.3] S3 通用存储桶应阻止公共写入访问权限](s3-controls.md#s3-3) 

 [[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5) 

 [[S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户](s3-controls.md#s3-6) 

 [[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8) 

 [[S3.9] S3 通用存储桶应启用服务器访问日志记录](s3-controls.md#s3-9) 

 [ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限](s3-controls.md#s3-12) 

 [[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13) 

 [[S3.19] S3 接入点已启用屏蔽公共访问权限设置](s3-controls.md#s3-19) 

 [[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24) 

 [[S3.25] S3 目录存储桶应具有生命周期配置](s3-controls.md#s3-25) 

 [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] SageMaker 模型应启用网络隔离](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] SageMaker 监控计划应启用网络隔离](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] Secrets Manager 密钥应启用自动轮换](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] 配置了自动轮换功能的 Secrets Manager 密钥应成功轮换](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] 移除未使用的 Secrets Manager 密钥](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] SES 配置集应启用 TLS 以发送电子邮件](ses-controls.md#ses-3) 

 [[SNS.4] SNS 主题访问策略不应允许公共访问](sns-controls.md#sns-4) 

 [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1) 

 [[SQS.3] SQS 队列访问策略不应允许公开访问](sqs-controls.md#sqs-3) 

 [[SSM.1] Amazon EC2 实例应由以下人员管理 AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态](ssm-controls.md#ssm-2) 

 [[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT](ssm-controls.md#ssm-3) 

 [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4) 

 [[SSM.6] SSM 自动化应启用日志记录 CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] SSM 文档应启用“阻止公开共享”设置](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] Step Functions 状态机应该开启日志功能](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接](transfer-controls.md#transfer-2) 

 [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3) 

 [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1) 

 [[WAF.2] AWS WAF 经典区域规则应至少有一个条件](waf-controls.md#waf-2) 

 [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3) 

 [[WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-4) 

 [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6) 

 [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7) 

 [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10) 

 [[WAF.12] AWS WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] WorkSpaces 根卷应在静态时加密](workspaces-controls.md#workspaces-2) 

# AWS Security Hub CSPM 中的资源标记标准
<a name="standards-tagging"></a>

由 Sec AWS urity Hub CSPM 开发的 AWS 资源标记标准可帮助您确定您的 AWS 资源是否缺少标签。*标签*是键值对，用作组织 AWS 资源的元数据。大多数 AWS 资源都允许您在创建资源时或创建资源后向资源添加标签。资源示例包括亚马逊 CloudFront 分配、亚马逊弹性计算云 (Amazon EC2) 实例和中的密钥。 AWS Secrets Manager标签可以帮助您管理、识别、组织、搜索和筛选 AWS 资源。

每个 标签具有两个部分：
+ 标签键，例如 `CostCenter`、`Environment` 或 `Project`。标签密钥区分大小写。
+ 标签值，例如 `111122223333` 或 `Production`。与标签键一样，标签值区分大小写。

您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。有关为 AWS 资源添加标签的信息，请参阅《[标记 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

对于适用于 Security Hub CSPM 中 AWS 资源标记标准的每个控件，您可以选择使用支持的参数来指定要控件检查的标签密钥。如果未指定任何标签键，则该控件仅检查是否存在至少一个标签键，如果资源没有任何标签键，则该控件将失败。

在启用 AWS 资源标记标准之前，请务必在中 AWS Config启用和配置资源记录。配置资源记录时，还要确保为所有类型的 AWS 资源启用该功能，这些资源由适用于标准的控件进行检查。否则，Security Hub CSPM 可能无法评估适当的资源，也无法针对适用于标准的控件生成准确的调查发现。有关更多信息，包括要记录的资源类型列表，请参阅 [控制结果所需的 AWS Config 资源](controls-config-resources.md)。

启用 AWS 资源标记标准后，您将开始收到适用于该标准的控件的调查结果。请注意，对于使用与适用于其他已启用标准的控件相同的 AWS Config 服务关联规则的控件，Security Hub CSPM 最多可能需要 18 小时才能生成结果。有关更多信息，请参阅 [有关运行安全检查的计划](securityhub-standards-schedule.md)。

 AWS 资源标签标准具有以下 Amazon 资源名称 (ARN)`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`：，*region*其中是适用的区域代码。 AWS 区域您还可以使用 Security Hub CSPM API 的[GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)操作来检索当前启用的标准的 ARN。

**注意**  
[AWS 资源标注标准](#standards-tagging)不适用于亚太地区（新西兰）和亚太地区（台北）区域。

## 适用于标准的控件
<a name="tagging-standard-controls"></a>

以下列表指定了哪些 Sec AWS urity Hub CSPM 控件适用于 AWS 资源标记标准 (v1.0.0)。要查看控件的详细信息，请选择该控件。
+ [[ACM.3] 应标记 ACM 证书](acm-controls.md#acm-3)
+ [[Amplify.1] 应标记 Amplify 应用](amplify-controls.md#amplify-1)
+ [[Amplify.2] 应标记 Amplify 分支](amplify-controls.md#amplify-2)
+ [[AppConfig.1] 应为 AWS AppConfig 应用程序加标签](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] 应标记 AWS AppConfig 配置文件](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] 应该对 AWS AppConfig 环境进行标记](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] 应 AWS AppConfig 标记扩展关联](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] 应为亚马逊 AppFlow 流程加标签](appflow-controls.md#appflow-1)
+ [[AppRunner.1] 应标记 App Runner 服务](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] 应标记 App Runner VPC 连接器](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] 应标记 AWS AppSync Gr APIs aphQL](appsync-controls.md#appsync-4)
+ [[Athena.2] 应标记 Athena 数据目录](athena-controls.md#athena-2)
+ [[Athena.3] 应标记 Athena 工作组](athena-controls.md#athena-3)
+ [[AutoScaling.10] 应标记 EC2 Auto Scaling 群组](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] 应标记 AWS Backup 恢复点](backup-controls.md#backup-2)
+ [[Backup.3] 应 AWS Backup 标记文件库](backup-controls.md#backup-3)
+ [[Backup.4] 应 AWS Backup 标记报告计划](backup-controls.md#backup-4)
+ [[Backup.5] 应 AWS Backup 标记备份计划](backup-controls.md#backup-5)
+ [[Batch.1] 应标记批处理作业队列](batch-controls.md#batch-1)
+ [[Batch.2] 应标记批处理计划策略](batch-controls.md#batch-2)
+ [[Batch.3] 应标记批处理计算环境](batch-controls.md#batch-3)
+ [[Batch.4] 应标记托管批处理计算环境中的计算资源属性](batch-controls.md#batch-4)
+ [[CloudFormation.2] 应 CloudFormation 标记堆栈](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] 应 CloudFront 标记发行版](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] CloudTrail 路径应加标签](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] 应标记CodeArtifact 存储库](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] 应 CodeGuru 标记 Profiler 分析组](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] 应标 CodeGuru 记 Reviewer 存储库关联](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] 应标记 Amazon Connect Customer Profiles 对象类型](connect-controls.md#connect-1)
+ [[DataSync.2] 应标记 DataSync 任务](datasync-controls.md#datasync-2)
+ [[Detective.1] 应标记 Detective 行为图](detective-controls.md#detective-1)
+ [[DMS.2] 应标记 DMS 证书](dms-controls.md#dms-2)
+ [[DMS.3] 应标记 DMS 活动订阅](dms-controls.md#dms-3)
+ [[DMS.4] 应标记 DMS 复制实例](dms-controls.md#dms-4)
+ [[DMS.5] 应标记 DMS 复制子网组](dms-controls.md#dms-5)
+ [[DynamoDB.5] 应标记 DynamoDB 表](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] 应标记 EC2 中转网关连接](ec2-controls.md#ec2-33)
+ [[EC2.34] 应标记 EC2 中转网关路由表](ec2-controls.md#ec2-34)
+ [[EC2.35] 应标记 EC2 网络接口](ec2-controls.md#ec2-35)
+ [[EC2.36] 应标记 EC2 客户网关](ec2-controls.md#ec2-36)
+ [[EC2.37] 应标记 EC2 弹性 IP 地址](ec2-controls.md#ec2-37)
+ [[EC2.38] 应标记 EC2 实例](ec2-controls.md#ec2-38)
+ [[EC2.39] 应标记 EC2 互联网网关](ec2-controls.md#ec2-39)
+ [[EC2.40] 应标记 EC2 NAT 网关](ec2-controls.md#ec2-40)
+ [[EC2.41] ACLs 应标记 EC2 网络](ec2-controls.md#ec2-41)
+ [[EC2.42] 应标记 EC2 路由表](ec2-controls.md#ec2-42)
+ [[EC2.43] 应标记 EC2 安全组](ec2-controls.md#ec2-43)
+ [[EC2.44] 应标记 EC2 子网](ec2-controls.md#ec2-44)
+ [[EC2.45] 应标记 EC2 卷](ec2-controls.md#ec2-45)
+ [[EC2.46] VPCs 应该给亚马逊贴上标签](ec2-controls.md#ec2-46)
+ [[EC2.47] 应标记 Amazon VPC 端点服务](ec2-controls.md#ec2-47)
+ [[EC2.48] 应标记 Amazon VPC 流日志](ec2-controls.md#ec2-48)
+ [[EC2.49] 应标记 Amazon VPC 对等连接](ec2-controls.md#ec2-49)
+ [[EC2.50] 应标记 EC2 VPN 网关](ec2-controls.md#ec2-50)
+ [[EC2.52] 应标记 EC2 中转网关](ec2-controls.md#ec2-52)
+ [[EC2.174] 应标记 EC2 DHCP 选项集](ec2-controls.md#ec2-174)
+ [[EC2.175] 应标记 EC2 启动模板](ec2-controls.md#ec2-175)
+ [[EC2.176] 应标记 EC2 前缀列表](ec2-controls.md#ec2-176)
+ [[EC2.177] 应标记 EC2 流量镜像会话](ec2-controls.md#ec2-177)
+ [[EC2.178] 应标记 EC2 流量镜像筛选条件](ec2-controls.md#ec2-178)
+ [[EC2.179] 应标记 EC2 流量镜像目标](ec2-controls.md#ec2-179)
+ [[ECR.4] 应标记 ECR 公有存储库](ecr-controls.md#ecr-4)
+ [[ECS.13] 应标记 ECS 服务](ecs-controls.md#ecs-13)
+ [[ECS.14] 应标记 ECS 集群](ecs-controls.md#ecs-14)
+ [[ECS.15] 应标记 ECS 任务定义](ecs-controls.md#ecs-15)
+ [[EFS.5] 应标记 EFS 接入点](efs-controls.md#efs-5)
+ [[EKS.6] 应标记 EKS 集群](eks-controls.md#eks-6)
+ [[EKS.7] 应标记 EKS 身份提供商配置](eks-controls.md#eks-7)
+ [[ES.9] 应标记 Elasticsearch 域](es-controls.md#es-9)
+ [[EventBridge.2] 应标记 EventBridge 活动总线](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] 应标记 Amazon Fraud Detector 实体类型](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] 应标记 Amazon Fraud Detector 标签](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] 应标记 Amazon Fraud Detector 的结果](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] 应标记 Amazon Fraud Detector 变量](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] 应该给 AWS Glue 工作加标签](glue-controls.md#glue-1)
+ [[GuardDuty.2] 应给 GuardDuty 过滤器加标签](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets 应该被标记](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] 应 GuardDuty 标记探测器](guardduty-controls.md#guardduty-4)
+ [[IAM.23] 应标记 IAM Access Analyzer 分析器](iam-controls.md#iam-23)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IoT.1] 应 AWS IoT Device Defender 标记安全配置文件](iot-controls.md#iot-1)
+ [[IoT.2] 应 AWS IoT Core 标记缓解措施](iot-controls.md#iot-2)
+ [[IoT.3] 应为 AWS IoT Core 维度加标签](iot-controls.md#iot-3)
+ [[IoT.4] 应给 AWS IoT Core 授权者加标签](iot-controls.md#iot-4)
+ [[Iot.5] 应标记 AWS IoT Core 角色别名](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core 策略应该被标记](iot-controls.md#iot-6)
+ [[Io TEvents .1] 应标记 AWS IoT Events 输入内容](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] 应标记 AWS IoT Events 探测器模型](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] 应标记 AWS IoT Events 警报模型](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] 应 AWS 标记物联网 SiteWise 资产模型](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] 应标记物 AWS 联网 SiteWise 仪表板](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] 应标记 AWS 物联 SiteWise 网网关](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] 应标记 AWS 物联网 SiteWise 门户](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] 应 AWS 标记物联网 SiteWise 项目](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] 应标记 AWS 物联网 TwinMaker 同步作业](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] 应标记 AWS 物联网 TwinMaker 工作空间](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] 应标记 AWS 物联网 TwinMaker 场景](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] 应标记物 AWS 联网 TwinMaker 实体](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] 应标 AWS 记 IoT Wireless 组播组](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] 应标记 AWS IoT Wireless 服务配置文件](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] 应 AWS 标记物联网 FUOTA 任务](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] 应标记 IVS 播放密钥对](ivs-controls.md#ivs-1)
+ [[IVS.2] 应标记 IVS 录制配置](ivs-controls.md#ivs-2)
+ [[IVS.3] 应标记 IVS 频道](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] 应标记 Amazon Keyspaces 密钥空间](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] 应标记 Kinesis 流](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] 应标记 Lambda 函数](lambda-controls.md#lambda-6)
+ [[MQ.4] 应标记 Amazon MQ 代理](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] 应标记 Network Firewall 防火墙](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] 应标记 Network Firewall 防火墙策略](networkfirewall-controls.md#networkfirewall-8)
+ [[Opensearch.9] 应该给 OpenSearch 域名加标签](opensearch-controls.md#opensearch-9)
+ [[PCA.2] 应标记 AWS 私有 CA 证书颁发机构](pca-controls.md#pca-2)
+ [[RDS.28] 应标记 RDS 数据库集群](rds-controls.md#rds-28)
+ [[RDS.29] 应标记 RDS 数据库集群快照](rds-controls.md#rds-29)
+ [[RDS.30] 应标记 RDS 数据库实例](rds-controls.md#rds-30)
+ [[RDS.31] 应标记 RDS 数据库安全组](rds-controls.md#rds-31)
+ [[RDS.32] 应标记 RDS 数据库快照](rds-controls.md#rds-32)
+ [[RDS.33] 应标记 RDS 数据库子网组](rds-controls.md#rds-33)
+ [[Redshift.11] 应标记 Redshift 集群](redshift-controls.md#redshift-11)
+ [[Redshift.12] 应标记 Redshift 事件通知订阅](redshift-controls.md#redshift-12)
+ [[Redshift.13] 应标记 Redshift 集群快照](redshift-controls.md#redshift-13)
+ [[Redshift.14] 应标记 Redshift 集群子网组](redshift-controls.md#redshift-14)
+ [[Redshift.17] 应标记 Redshift 集群参数组](redshift-controls.md#redshift-17)
+ [[Route53.1] 应标记 Route53 运行状况检查](route53-controls.md#route53-1)
+ [[SageMaker.6] 应 SageMaker 标记应用程序映像配置](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] 应为 SageMaker 图像加标签](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] 应标记 Secrets Manager 机密](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] 应标记 SES 联系人列表](ses-controls.md#ses-1)
+ [[SES.2] 应标记 SES 配置集](ses-controls.md#ses-2)
+ [[SNS.3] 应标记 SNS 主题](sns-controls.md#sns-3)
+ [[SQS.2] 应标记 SQS 队列](sqs-controls.md#sqs-2)
+ [[SSM.5] 应标记 SSM 文档](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] 应标记 Step Functions 活动](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.1] 应标记 AWS Transfer Family 工作流程](transfer-controls.md#transfer-1)
+ [[Transfer.4] 应标记 Transfer Family 协议](transfer-controls.md#transfer-4)
+ [[Transfer.5] 应标记 Transfer Family 证书](transfer-controls.md#transfer-5)
+ [[Transfer.6] 应标记 Transfer Family 连接器](transfer-controls.md#transfer-6)
+ [[Transfer.7] 应标记 Transfer Family 配置文件](transfer-controls.md#transfer-7)

# CIS AWS 基金会在 Security Hub CSPM 中的基准
<a name="cis-aws-foundations-benchmark"></a>

互联网安全中心 (CIS) AWS 基金会基准测试是一组安全配置最佳实践 AWS。这些业界认可的最佳实践为您提供了清晰的 step-by-step实施和评估程序。从操作系统到云服务和网络设备，此基准测试中的控件可帮助您保护组织使用的特定系统。

AWS Security Hub CSPM 支持 CIS AWS 基金会基准测试版本 5.0.0、3.0.0、1.4.0 和 1.2.0。本页列出了每个版本支持的安全控件。它还提供了版本的比较。

## 独联体 AWS 基金会基准测试版本 5.0.0
<a name="cis5v0-standard"></a>

Security Hub CSPM 支持 CIS 基金会基准测试的 5.0.0 版 (v5.0.0)。 AWS Security Hub CSPM 已满足 CIS 安全软件认证的要求，并已根据以下 CIS 基准获得 CIS 安全软件认证：
+ CIS AWS 基金会基准测试基准，v5.0.0，第 1 级
+ CIS AWS 基金会基准测试基准，v5.0.0，第 2 级

### 适用于 CIS AWS 基金会基准版本 5.0.0 的控件
<a name="cis5v0-controls"></a>

[[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)

[AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1)

[[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2)

[[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6)

[[EC2.7] 应启用 EBS 默认加密](ec2-controls.md#ec2-7)

[[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)

[[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53)

[[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54)

[[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)

[[EFS.8] 应对 EFS 文件系统进行静态加密](efs-controls.md#efs-8)

[[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)

[[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)

[[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)

[[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)

[[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)

[[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)

[[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)

[[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)

[[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)

[[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)

[[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)

[[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)

[[KMS.4] 应启用 AWS KMS 密钥轮换](kms-controls.md#kms-4)

[[RDS.2] RDS 数据库实例应禁止公共访问，具体取决于配置 PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] RDS 数据库实例应启用静态加密](rds-controls.md#rds-3)

[[RDS.5] RDS 数据库实例应配置多个可用区](rds-controls.md#rds-5)

[[RDS.13] 应启用 RDS 自动次要版本升级](rds-controls.md#rds-13)

[[RDS.15] 应为多个可用区配置 RDS 数据库集群](rds-controls.md#rds-15)

[[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1)

[[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5)

[[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8)

[[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)

[[S3.22] S3 通用存储桶应记录对象级写入事件](s3-controls.md#s3-22)

[[S3.23] S3 通用存储桶应记录对象级读取事件](s3-controls.md#s3-23)

## 独联体 AWS 基金会基准测试版本 3.0.0
<a name="cis3v0-standard"></a>

Security Hub CSPM 支持 CIS 基金会基准测试的 3.0.0 版 (v3.0.0)。 AWS Security Hub CSPM 已满足 CIS 安全软件认证的要求，并已根据以下 CIS 基准获得 CIS 安全软件认证：
+ CIS AWS 基金会基准测试基准，v3.0.0，第 1 级
+ CIS AWS 基金会基准测试基准，v3.0.0，第 2 级

### 适用于 CIS AWS 基金会基准版本 3.0.0 的控件
<a name="cis3v0-controls"></a>

[[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)

[AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1)

[[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2)

[[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6)

[[EC2.7] 应启用 EBS 默认加密](ec2-controls.md#ec2-7)

[[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)

[[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53)

[[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54)

[[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)

[[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)

[[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)

[[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)

[[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)

[[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)

[[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)

[[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)

[[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)

[[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)

[[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)

[[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)

[[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)

[[KMS.4] 应启用 AWS KMS 密钥轮换](kms-controls.md#kms-4)

[[RDS.2] RDS 数据库实例应禁止公共访问，具体取决于配置 PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] RDS 数据库实例应启用静态加密](rds-controls.md#rds-3)

[[RDS.13] 应启用 RDS 自动次要版本升级](rds-controls.md#rds-13)

[[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1)

[[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5)

[[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8)

[[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)

[[S3.22] S3 通用存储桶应记录对象级写入事件](s3-controls.md#s3-22)

[[S3.23] S3 通用存储桶应记录对象级读取事件](s3-controls.md#s3-23)

## 独联体 AWS 基金会基准测试版本 1.4.0
<a name="cis1v4-standard"></a>

Security Hub CSPM 支持 CIS 基金会基准测试的 1.4.0 版 (v1.4.0)。 AWS 

### 适用于 CIS AWS 基金会基准版本 1.4.0 的控件
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] “root” 用户应有日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] 确保存在 CloudTrail 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] 确保存在针对 AWS 管理控制台 身份验证失败的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] 确保存在 AWS Config 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-14) 

 [AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1) 

 [[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2) 

 [[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] 应启用 EBS 默认加密](ec2-controls.md#ec2-7) 

 [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21) 

 [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1) 

 [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3) 

 [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4) 

 [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5) 

 [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6) 

 [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9) 

 [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15) 

 [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16) 

 [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18) 

 [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22) 

 [[KMS.4] 应启用 AWS KMS 密钥轮换](kms-controls.md#kms-4) 

 [[RDS.3] RDS 数据库实例应启用静态加密](rds-controls.md#rds-3) 

 [[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1) 

 [[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5) 

 [[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8) 

 [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20) 

## 独联体 AWS 基金会基准测试版本 1.2.0
<a name="cis1v2-standard"></a>

Security Hub CSPM 支持 CIS 基金会基准测试的 1.2.0 版 (v1.2.0)。 AWS Security Hub CSPM 已满足 CIS 安全软件认证的要求，并已根据以下 CIS 基准获得 CIS 安全软件认证：
+ CIS AWS 基金会基准测试基准，v1.2.0，第 1 级
+ CIS AWS 基金会基准测试基准，v1.2.0，第 2 级

### 适用于 CIS AWS 基金会基准版本 1.2.0 的控件
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] “root” 用户应有日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] 确保存在 CloudTrail 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] 确保存在针对 AWS 管理控制台 身份验证失败的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] 确保存在 AWS Config 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-14) 

 [AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1) 

 [[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2) 

 [[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6) 

 [[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量](ec2-controls.md#ec2-13) 

 [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14) 

 [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1) 

 [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2) 

 [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3) 

 [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4) 

 [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5) 

 [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6) 

 [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8) 

 [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9) 

 [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11) 

 [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12) 

 [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13) 

 [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14) 

 [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15) 

 [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16) 

 [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17) 

 [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18) 

 [[KMS.4] 应启用 AWS KMS 密钥轮换](kms-controls.md#kms-4) 

## CIS AWS 基金会基准测试版本比较
<a name="cis1.4-vs-cis1.2"></a>

本节总结了互联网安全中心 (CIS) AWS 基金会基准测试的特定版本之间的区别 — v5.0.0、v3.0.0、v1.4.0 和 v1.2.0。 AWS Security Hub CSPM 支持 CIS AWS 基金会基准测试的每个版本。但是，建议使用 v5.0.0 以了解最新的安全最佳实践。您可以同时启用多个版本的 CIS AWS 基金会基准标准。有关启用标准的信息，请参阅[启用安全标准](enable-standards.md)。如果要升级到 v5.0.0，请先启用新版本，然后再禁用旧版本。这可以防止您的安全检查出现漏洞。[如果您使用与 Security Hub CSPM 集成， AWS Organizations 并希望在多个账户中批量启用 v5.0.0，我们建议使用集中配置。](central-configuration-intro.md)

### 将控件映射到每个版本中的 CIS 要求
<a name="cis-version-comparison"></a>

了解每个版本的 CIS AWS 基金会基准测试支持的控件。


| 控件 ID 和标题 | CIS v5.0.0 要求 | CIS v3.0.0 要求 | CIS v1.4.0 要求 | CIS v1.2.0 要求 | 
| --- | --- | --- | --- | --- | 
|  [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1.18  | 
|  [[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  3.7  |  2.7  | 
|  [[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成](cloudtrail-controls.md#cloudtrail-5)  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  3.4  |  2.4  | 
|  [[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6)  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  3.3  |  2.3  | 
|  [[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] “root” 用户应有日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-1)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  4.3  |  3.3  | 
|  [[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-2)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  不支持 – 手动检查  |  3.1  | 
|  [[CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-3)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  不支持 – 手动检查  |  3.2  | 
|  [[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-4)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  4.4  |  3.4  | 
|  [[CloudWatch.5] 确保存在 CloudTrail 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-5)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  4.5  |  3.5  | 
|  [[CloudWatch.6] 确保存在针对 AWS 管理控制台 身份验证失败的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-6)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  4.6  |  3.6  | 
|  [[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-7)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  4.7  |  3.7  | 
|  [[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-8)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  4.8  |  3.8  | 
|  [[CloudWatch.9] 确保存在 AWS Config 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-9)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  4.9  |  3.9  | 
|  [[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-10)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  4.10  |  3.10  | 
|  [[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-11)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  4.11  |  3.11  | 
|  [[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-12)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  4.12  |  3.12  | 
|  [[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-13)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  4.13  |  3.13  | 
|  [[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-14)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  4.14  |  3.14  | 
|  [AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2.5  | 
|  [[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2.9  | 
|  [[EC2.7] 应启用 EBS 默认加密](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  不支持  | 
|  [[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-8)  |  5.7  |  5.6  |  不支持  |  不支持  | 
|  [[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量](ec2-controls.md#ec2-13)  |  不支持 – 替换为要求 5.3 和 5.4  |  不支持 – 替换为要求 5.2 和 5.3  |  不支持 – 替换为要求 5.2 和 5.3  |  4.1  | 
|  [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)  |  不支持 – 替换为要求 5.3 和 5.4  |  不支持 – 替换为要求 5.2 和 5.3  |  不支持 – 替换为要求 5.2 和 5.3  |  4.2  | 
|  [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  不支持  | 
|  [[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  不支持  |  不支持  | 
|  [[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  不支持  |  不支持  | 
|  [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  不支持  |  不支持  | 
|  [[EFS.8] 应对 EFS 文件系统进行静态加密](efs-controls.md#efs-8)  |  2.3.1  |  不支持  |  不支持  |  不支持  | 
|  [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)  |  不支持   |  不支持   |  1.16  |  1.22  | 
|  [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)  |  1.14  |  1.15  |  不支持  |  1.16  | 
|  [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)  |  1.5  |  1.6  |  1.6  |  1.14  | 
|  [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)  |  不支持 – 改为参阅 [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)  |  不支持 – 改为参阅 [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)  |  不支持 – 改为参阅 [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)  |  1.3  | 
|  [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  1.5  | 
|  [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  1.6  | 
|  [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  1.7  | 
|  [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  1.8  | 
|  [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)  |  1.7  |  1.8  |  1.8  |  1.9  | 
|  [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17)  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  1.11  | 
|  [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)  |  1.16  |  1.17  |  1.17  |  1.2  | 
|  [[IAM.20] 避免使用根用户](iam-controls.md#iam-20)  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  不支持 – CIS 删除了此要求  |  1.1  | 
|  [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  不支持 – CIS 在更高版本中添加了此要求  | 
|  [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)  |  1.18  |  1.19  |  不支持 – CIS 在更高版本中添加了此要求  |  不支持 – CIS 在更高版本中添加了此要求  | 
|  [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)  |  1.21  |  1.22  |  不支持 – CIS 在更高版本中添加了此要求  |  不支持 – CIS 在更高版本中添加了此要求  | 
|  [[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)  |  1.19  |  1.20  |  不支持 – CIS 在更高版本中添加了此要求  |  不支持 – CIS 在更高版本中添加了此要求  | 
|  [[KMS.4] 应启用 AWS KMS 密钥轮换](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1)  |  不支持 – 手动检查  |  不支持 – 手动检查  |  不支持 – 手动检查  |  不支持 – 手动检查  | 
|  [[RDS.2] RDS 数据库实例应禁止公共访问，具体取决于配置 PubliclyAccessible](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  不支持 – CIS 在更高版本中添加了此要求  |  不支持 – CIS 在更高版本中添加了此要求  | 
|  [[RDS.3] RDS 数据库实例应启用静态加密](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  不支持 – CIS 在更高版本中添加了此要求  | 
|  [[RDS.5] RDS 数据库实例应配置多个可用区](rds-controls.md#rds-5)  |  2.2.4  |  不支持 – CIS 在更高版本中添加了此要求  |  不支持 – CIS 在更高版本中添加了此要求  |  不支持 – CIS 在更高版本中添加了此要求  | 
|  [[RDS.13] 应启用 RDS 自动次要版本升级](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  不支持 – CIS 在更高版本中添加了此要求  |  不支持 – CIS 在更高版本中添加了此要求  | 
|  [[RDS.15] 应为多个可用区配置 RDS 数据库集群](rds-controls.md#rds-15)  |  2.2.4  |  不支持 – CIS 在更高版本中添加了此要求  |  不支持 – CIS 在更高版本中添加了此要求  |  不支持 – CIS 在更高版本中添加了此要求  | 
|  [[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  不支持 – CIS 在更高版本中添加了此要求  | 
|  [[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  不支持 – CIS 在更高版本中添加了此要求  | 
|  [[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  不支持 – CIS 在更高版本中添加了此要求  | 
|  [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  不支持 – CIS 在更高版本中添加了此要求  | 

### ARNs 适用于独联体 AWS 基金会基准
<a name="cisv1.4.0-finding-fields"></a>

启用一个或多个版本的 CIS AWS 基金会基准测试后，您将开始收到 AWS 安全调查结果格式 (ASFF) 中的调查结果。在 ASFF 中，每个版本都使用以下 Amazon 资源名称（ARN）：

**独联体 AWS 基金会基准测试 v5.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**独联体 AWS 基金会基准测试 v3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**独联体 AWS 基金会基准测试 v1.4.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**独联体 AWS 基金会基准测试 v1.2.0**  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

您可以使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) 操作找出已启用标准的 ARN。

前面的值与 `StandardsArn` 对应。但是，`StandardsSubscriptionArn` 是指在您通过在某个区域中调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html) 订阅标准时 Security Hub CSPM 创建的标准订阅资源。

**注意**  
启用 CIS AWS 基金会基准测试版本时，Security Hub CSPM 最多可能需要 18 小时才能为使用与其他启用标准中已启用控件相同的 AWS Config 服务关联规则的控件生成调查结果。有关生成控件调查发现的时间表的更多信息，请参阅[有关运行安全检查的计划](securityhub-standards-schedule.md)。

如果您启用了整合的控件调查发现，则调查发现字段会有所不同。有关这些区别的信息，请参阅 [合并对 ASFF 字段和值的影响](asff-changes-consolidation.md)。有关控件调查发现样本，请参阅[控件调查发现示例](sample-control-findings.md)。

### Security Hub CSPM 不支持的 CIS 要求
<a name="securityhub-standards-cis-checks-not-supported"></a>

如上表所述，Security Hub CSPM并不支持每个版本的CIS AWS 基金会基准测试中的所有CIS要求。许多不受支持的要求只能通过查看 AWS 资源的状态手动评估。

# Security Hub CSPM 中的 NIST SP 800-53 修订版 5
<a name="standards-reference-nist-800-53"></a>

NIST 专题出版物 800-53 修订版 5（NIST SP 800-53 Rev. 5）是由美国商务部下属机构美国国家标准与技术研究院（NIST）开发的网络安全和合规框架。此合规框架提供了一系列安全和隐私要求，用于保护信息系统和关键资源的机密性、完整性和可用性。美国联邦政府机构和承包商必须遵守这些要求，以保护其系统和组织。私营机构也可以自愿将这些要求作为降低网络安全风险的指导框架。有关该框架及其要求的更多信息，请参阅 *NIST 计算机安全资源中心*中的 [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)。

AWS Security Hub CSPM 提供的安全控制措施支持 NIST SP 800-53 修订版 5 要求的子集。这些控件会对某些 AWS 服务 资源执行自动安全检查。要启用和管理这些控件，您可以将 NIST SP 800-53 修订版 5 框架作为 Security Hub CSPM 中的标准启用。请注意，控件不支持需要手动检查的 NIST SP 800-53 修订版 5 要求。

与其他框架不同，NIST SP 800-53 修订版 5 框架没有规定如何评估其要求。相反，该框架提供了指南。在 Security Hub CSPM 中，NIST SP 800-53 修订版 5 标准和控件代表了该服务对这些指南的理解。

**Topics**
+ [为标准配置资源记录](#standards-reference-nist-800-53-recording)
+ [确定哪些控件适用于标准](#standards-reference-nist-800-53-controls)

## 为适用于标准的控件配置资源记录
<a name="standards-reference-nist-800-53-recording"></a>

为了优化覆盖范围和结果的准确性，在 Sec AWS urity Hub CSPM 中启用 NIST SP 800-53 修订版 5 标准 AWS Config 之前，在中启用和配置资源记录非常重要。配置资源记录时，还要确保为所有类型的 AWS 资源启用该功能，这些资源由适用于标准的控件进行检查。这主要适用于具有*变更已触发*计划类型的控件。但是，某些具有*定期*计划类型的控件也需要资源记录。如果未正确启用或配置资源记录，Security Hub CSPM 可能无法评估适当的资源，也无法针对适用于标准的控件生成准确的调查发现。

有关 Security Hub CSPM 如何在中使用资源记录的信息 AWS Config，请参阅。[为 Security Hub CSPM 启用和配置 AWS Config](securityhub-setup-prereqs.md)有关在中配置资源记录的信息 AWS Config，请参阅[《*AWS Config 开发人员指南》*中的使用配置记录器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。

下表指定了适用于 Security Hub CSPM 中的 NIST SP 800-53 修订版 5 标准的控件要记录的资源类型。


| AWS 服务 | 资源类型 | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  亚马逊 CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  亚马逊 CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud（Amazon EC2）  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry（Amazon ECR）  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service（Amazon ECS）  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System（Amazon EFS）  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service（Amazon EKS）  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  亚马逊 ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  亚马逊 EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|  亚马逊 OpenSearch 服务  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service（Amazon S3）  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  亚马逊 SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## 确定哪些控件适用于标准
<a name="standards-reference-nist-800-53-controls"></a>

以下列表列出了支持 NIST SP 800-53 修订版 5 要求并适用于 Security Hub CSPM 中的 NIST SP 800-53 修订版 5 标准的控件。 AWS 有关控件支持的特定要求的详细信息，请选择该控件。然后参阅控件详细信息中的**相关要求**字段。此字段指定控件支持的每个 NIST 要求。如果该字段未指定特定 NIST 要求，则控件不支持该要求。
+ [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1)
+ [[APIGateway.1] 应启用 API Gateway REST 和 WebSocket API 执行日志记录](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] API Gateway REST API 阶段应启用 AWS X-Ray 跟踪](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway 应与 WAF Web ACL 关联](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] API Gateway REST API 缓存数据应进行静态加密](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] 不应使用 API AWS AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[Autoscaling.5] 使用 Auto Scaling 组启动配置启动的 EC2 亚马逊实例不应具有公有 IP 地址](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] 应在静态状态下对 AWS Backup 恢复点进行加密](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] CloudTrail 湖泊事件数据存储应使用客户托管进行加密 AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] CloudWatch 警报应配置指定操作](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] CloudWatch 日志组应在指定的时间段内保留](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] 应激 CloudWatch 活警报动作](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config](codebuild-controls.md#codebuild-4) 
+  [AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1) 
+  [[DataFirehose.1] Firehose 传输流应在静态状态下进行加密](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] Database Migration Service 复制实例不应公开](dms-controls.md#dms-1) 
+  [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6) 
+  [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7) 
+  [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8) 
+  [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3) 
+  [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] DynamoDB 表应该启用恢复功能 point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] DynamoDB Accelerator（DAX）集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] 备份计划中应有 DynamoDB 表](dynamodb-controls.md#dynamodb-4) 
+  [[DynamodB.6] DynamoDB 表应启用删除保护](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Amazon EBS 快照不应公开恢复](ec2-controls.md#ec2-1) 
+  [[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2) 
+  [[EC2.3] 挂载的 Amazon EBS 卷应进行静态加密](ec2-controls.md#ec2-3) 
+  [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4) 
+  [[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] 应启用 EBS 默认加密](ec2-controls.md#ec2-7) 
+  [[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] 亚马逊 EC2 实例不应有公有地址 IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点](ec2-controls.md#ec2-10) 
+  [[EC2.12] EIPs 应移除未使用的亚马逊 EC2](ec2-controls.md#ec2-12) 
+  [[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量](ec2-controls.md#ec2-13) 
+  [[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址](ec2-controls.md#ec2-15) 
+  [[EC2.16] 应删除未使用的网络访问控制列表](ec2-controls.md#ec2-16) 
+  [[EC2.17] 亚马逊 EC2 实例不应使用多个 ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] 安全组应只允许授权端口不受限制的传入流量](ec2-controls.md#ec2-18) 
+  [[EC2.19] 安全组不应允许不受限制地访问高风险端口](ec2-controls.md#ec2-19) 
+  [[EC2.20] VPN 连接的两个 VPN 隧道都应 AWS Site-to-Site 处于开启状态](ec2-controls.md#ec2-20) 
+  [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21) 
+  [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23) 
+  [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25) 
+  [[EC2.28] 备份计划应涵盖 EBS 卷](ec2-controls.md#ec2-28) 
+  [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs 应配置用于 ECR API 的接口端点](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs 应配置 Docker Registry 的接口端点](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs 应配置 Systems Manager 的接口端点](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+  [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1) 
+  [[ECR.2] ECR 私有存储库应配置标签不可变性](ecr-controls.md#ecr-2) 
+  [[ECR.3] ECR 存储库应至少配置一个生命周期策略](ecr-controls.md#ecr-3) 
+  [[ECR.5] ECR 存储库应使用客户托管进行加密 AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义](ecs-controls.md#ecs-1) 
+  [[ECS.2] ECS 服务不应自动分配公有 IP 地址](ecs-controls.md#ecs-2) 
+  [[ECS.3] ECS 任务定义不应共享主机的进程命名空间](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS 容器应以非特权身份运行](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限](ecs-controls.md#ecs-5) 
+  [[ECS.8] 密钥不应作为容器环境变量传递](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS 任务定义应具有日志配置](ecs-controls.md#ecs-9) 
+  [[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS 集群应该使用容器详情](ecs-controls.md#ecs-12) 
+  [[ECS.17] ECS 任务定义不应使用主机网络模式](ecs-controls.md#ecs-17) 
+  [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2) 
+  [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3) 
+  [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4) 
+  [[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联](efs-controls.md#efs-6) 
+  [[EKS.1] EKS 集群端点不应公开访问](eks-controls.md#eks-1) 
+  [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2) 
+  [[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥](eks-controls.md#eks-3) 
+  [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache （Redis OSS）早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELB.1] 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS](elb-controls.md#elb-1) 
+  [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止](elb-controls.md#elb-3) 
+  [[ELB.4] 应将应用程序负载均衡器配置为丢弃无效的 http 标头](elb-controls.md#elb-4) 
+  [[ELB.5] 应启用应用程序和经典负载均衡器日志记录](elb-controls.md#elb-5) 
+  [[ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护](elb-controls.md#elb-6) 
+  [[ELB.7] 经典负载均衡器应启用连接耗尽功能](elb-controls.md#elb-7) 
+  [[ELB.8] 带有 SSL 侦听器的经典负载均衡器应使用持续时间较长的预定义安全策略 AWS Config](elb-controls.md#elb-8) 
+  [[ELB.9] 经典负载均衡器应启用跨区域负载均衡器](elb-controls.md#elb-9) 
+  [[ELB.10] 经典负载均衡器应跨越多个可用区](elb-controls.md#elb-10) 
+  [[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-12) 
+  [[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区](elb-controls.md#elb-13) 
+  [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14) 
+  [[ELB.16] 应用程序负载均衡器应与 Web ACL 关联 AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17) 
+  [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1) 
+  [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR 安全配置应静态加密](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR 安全配置应在传输过程中加密](emr-controls.md#emr-4) 
+  [[ES.1] Elasticsearch 域应启用静态加密](es-controls.md#es-1) 
+  [[ES.2] Elasticsearch 域名不可供公共访问](es-controls.md#es-2) 
+  [[ES.3] Elasticsearch 域应加密节点之间发送的数据](es-controls.md#es-3) 
+  [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4) 
+  [[ES.5] Elasticsearch 域名应该启用审核日志](es-controls.md#es-5) 
+  [[ES.6] Elasticsearch 域应拥有至少三个数据节点](es-controls.md#es-6) 
+  [[ES.7] 应将 Elasticsearch 域配置为至少三个专用的主节点](es-controls.md#es-7) 
+  [[ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密](es-controls.md#es-8) 
+  [[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] FSx 对于 OpenZFS 文件系统，应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx 对于 Lustre 文件系统，应配置为将标签复制到备份](fsx-controls.md#fsx-2) 
+  [[Glue.4] AWS Glue Spark 作业应在支持的版本上运行 AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty 应该启用](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1) 
+  [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2) 
+  [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3) 
+  [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4) 
+  [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5) 
+  [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6) 
+  [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7) 
+  [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8) 
+  [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9) 
+  [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19) 
+  [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21) 
+  [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1) 
+  [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2) 
+  [AWS KMS keys 不应无意中删除 [KMS.3]](kms-controls.md#kms-3) 
+  [[KMS.4] 应启用 AWS KMS 密钥轮换](kms-controls.md#kms-4) 
+  [[Lambda.1] Lambda 函数策略应禁止公共访问](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Lambda 函数应位于 VPC 中](lambda-controls.md#lambda-3) 
+  [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Lambda 函数应启用主动跟踪 AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1) 
+  [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2) 
+  [[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1) 
+  [[MSK.2] MSK 集群应配置增强型监控](msk-controls.md#msk-2) 
+  [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] Amazon MQ 代理应启用次要版本自动升级](mq-controls.md#mq-3) 
+  [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6) 
+  [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5) 
+  [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7) 
+  [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] 对于分段的数据包，Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] 应禁用 AWS 私有 CA 根证书颁发机构](pca-controls.md#pca-1) 
+  [[RDS.1] RDS 快照应为私有](rds-controls.md#rds-1) 
+  [[RDS.2] RDS 数据库实例应禁止公共访问，具体取决于配置 PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] RDS 数据库实例应启用静态加密](rds-controls.md#rds-3) 
+  [[RDS.4] RDS 集群快照和数据库快照应进行静态加密](rds-controls.md#rds-4) 
+  [[RDS.5] RDS 数据库实例应配置多个可用区](rds-controls.md#rds-5) 
+  [[RDS.6] 应为 RDS 数据库实例配置增强监控](rds-controls.md#rds-6) 
+  [[RDS.7] RDS 集群应启用删除保护](rds-controls.md#rds-7) 
+  [[RDS.8] RDS 数据库实例应启用删除保护](rds-controls.md#rds-8) 
+  [[RDS.9] RDS 数据库实例应将日志发布到日志 CloudWatch](rds-controls.md#rds-9)
+  [[RDS.10] 应为 RDS 实例配置 IAM 身份验证](rds-controls.md#rds-10) 
+  [[RDS.11] RDS 实例应启用自动备份](rds-controls.md#rds-11) 
+  [[RDS.12] 应为 RDS 集群配置 IAM 身份验证](rds-controls.md#rds-12) 
+  [[RDS.13] 应启用 RDS 自动次要版本升级](rds-controls.md#rds-13) 
+  [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14) 
+  [[RDS.15] 应为多个可用区配置 RDS 数据库集群](rds-controls.md#rds-15) 
+  [[RDS.16] 应将 Aurora 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-16) 
+  [[RDS.17] 应将 RDS 数据库实例配置为将标签复制到快照](rds-controls.md#rds-17) 
+  [[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅](rds-controls.md#rds-19) 
+  [[RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅](rds-controls.md#rds-20) 
+  [[RDS.21] 应为关键数据库参数组事件配置 RDS 事件通知订阅](rds-controls.md#rds-21) 
+  [[RDS.22] 应为关键数据库安全组事件配置 RDS 事件通知订阅](rds-controls.md#rds-22) 
+  [[RDS.23] RDS 实例不应使用数据库引擎的默认端口](rds-controls.md#rds-23) 
+  [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24) 
+  [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25) 
+  [[RDS.26] RDS 数据库实例应受备份计划保护](rds-controls.md#rds-26) 
+  [[RDS.27] 应对 RDS 数据库集群进行静态加密](rds-controls.md#rds-27) 
+  [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35) 
+  [[RDS.40] 适用于 SQL Server 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45) 
+  [[Redshift.1] Amazon Redshift 集群应禁止公共访问](redshift-controls.md#redshift-1) 
+  [[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Amazon Redshift 集群应启用自动快照](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Amazon Redshift 集群应启用审核日志记录](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Redshift 集群应使用增强型 VPC 路由](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2) 
+  [[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1) 
+  [[S3.2] S3 通用存储桶应阻止公共读取访问权限](s3-controls.md#s3-2) 
+  [[S3.3] S3 通用存储桶应阻止公共写入访问权限](s3-controls.md#s3-3) 
+  [[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5) 
+  [[S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户](s3-controls.md#s3-6) 
+  [[S3.7] S3 通用存储桶应使用跨区域复制](s3-controls.md#s3-7) 
+  [[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8) 
+  [[S3.9] S3 通用存储桶应启用服务器访问日志记录](s3-controls.md#s3-9) 
+  [[S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-10) 
+  [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11) 
+  [ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限](s3-controls.md#s3-12) 
+  [[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13) 
+  [[S3.14] S3 通用存储桶应启用版本控制](s3-controls.md#s3-14) 
+  [[S3.15] S3 通用存储桶应启用对象锁定](s3-controls.md#s3-15) 
+  [[S3.17] S3 通用存储桶应使用静态加密 AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] S3 接入点已启用屏蔽公共访问权限设置](s3-controls.md#s3-19) 
+  [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20) 
+  [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] Secrets Manager 密钥应启用自动轮换](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] 配置了自动轮换功能的 Secrets Manager 密钥应成功轮换](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] 移除未使用的 Secrets Manager 密钥](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] Service Catalog 产品组合只能在 AWS 组织内部共享](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] SNS 主题应使用以下方法进行静态加密 AWS KMS](sns-controls.md#sns-1) 
+  [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1) 
+  [[SSM.1] Amazon EC2 实例应由以下人员管理 AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态](ssm-controls.md#ssm-2) 
+  [[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4) 
+  [[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3) 
+  [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF 经典区域规则应至少有一个条件](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7) 
+  [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10) 
+  [[WAF.11] 应启 AWS WAF 用 Web ACL 日志记录](waf-controls.md#waf-11) 
+  [[WAF.12] AWS WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12) 

# Security Hub CSPM 中的 NIST SP 800-171 修订版 2
<a name="standards-reference-nist-800-171"></a>

NIST 专题出版物 800-171 修订版 2（NIST SP 800-171 Rev. 2）是由美国商务部下属机构美国国家标准与技术研究院（NIST）开发的网络安全和合规框架。此合规框架提供了保护不属于美国联邦政府的系统和组织中受控非机密信息的机密性的建议安全要求。*受控非机密信息*（也称为 *CUI*）是不符合政府保密标准但必须受到保护的敏感信息。它是被认为是敏感信息，并且是由美国联邦政府或代表美国联邦政府的其他实体创建或拥有的信息。

NIST SP 800-171 Rev. 2 提供了针对以下情况下保护 CUI 机密性的建议安全要求：
+ 该信息存在于非联邦系统和组织中，
+ 非联邦组织未代表联邦机构收集或维护信息，也未代表联邦机构使用或运营系统，并且 
+ 对于 CUI Registry 中列出的 CUI 类别，授权法律、法规或政府范围内的政策没有规定保护 CUI 机密性的具体保障要求。

这些要求适用于处理、存储或传输 CUI 或者为组件提供安全保护的非联邦系统和组织的所有组件。有关更多信息，请参阅 *NIST 计算机安全资源中心*中的 [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final)。

AWS Security Hub CSPM 提供的安全控制措施支持 NIST SP 800-171 修订版 2 要求的子集。这些控件会对某些 AWS 服务 资源执行自动安全检查。要启用和管理这些控件，您可以将 NIST SP 800-171 修订版 2 框架作为 Security Hub CSPM 中的标准启用。请注意，控件不支持需要手动检查的 NIST SP 800-171 修订版 2 要求。

**Topics**
+ [为标准配置资源记录](#standards-reference-nist-800-171-recording)
+ [确定哪些控件适用于标准](#standards-reference-nist-800-171-controls)

## 为适用于标准的控件配置资源记录
<a name="standards-reference-nist-800-171-recording"></a>

为了优化覆盖范围和结果的准确性，在 Sec AWS urity Hub CSPM 中启用 NIST SP 800-171 修订版 2 标准 AWS Config 之前，在中启用和配置资源记录非常重要。配置资源记录时，还要确保为所有类型的 AWS 资源启用该功能，这些资源由适用于标准的控件进行检查。否则，Security Hub CSPM 可能无法评估适当的资源，也无法针对适用于标准的控件生成准确的调查发现。

有关 Security Hub CSPM 如何在中使用资源记录的信息 AWS Config，请参阅。[为 Security Hub CSPM 启用和配置 AWS Config](securityhub-setup-prereqs.md)有关在中配置资源记录的信息 AWS Config，请参阅[《*AWS Config 开发人员指南》*中的使用配置记录器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。

下表指定了适用于 Security Hub CSPM 中的 NIST SP 800-171 修订版 2 标准的控件要记录的资源类型。


| AWS 服务 | 资源类型 | 
| --- | --- | 
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| 亚马逊 CloudFront | `AWS::CloudFront::Distribution` | 
| 亚马逊 CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager (SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## 确定哪些控件适用于标准
<a name="standards-reference-nist-800-171-controls"></a>

以下列表列出了支持 NIST SP 800-171 修订版 2 要求并适用于 Security Hub CSPM 中的 NIST SP 800-171 修订版 2 标准的控件。 AWS 有关控件支持的特定要求的详细信息，请选择该控件。然后参阅控件详细信息中的**相关要求**字段。此字段指定控件支持的每个 NIST 要求。如果该字段未指定特定 NIST 要求，则控件不支持该要求。
+ [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1)
+ [[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] 应至少启用一条 CloudTrail 跟踪](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] “root” 用户应有日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] 确保存在 CloudTrail 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] 确保存在针对 AWS 管理控制台 身份验证失败的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] 确保存在 AWS Config 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch 警报应配置指定操作](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点](ec2-controls.md#ec2-10)
+ [[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量](ec2-controls.md#ec2-13)
+ [[EC2.16] 应删除未使用的网络访问控制列表](ec2-controls.md#ec2-16)
+ [[EC2.18] 安全组应只允许授权端口不受限制的传入流量](ec2-controls.md#ec2-18)
+ [[EC2.19] 安全组不应允许不受限制地访问高风险端口](ec2-controls.md#ec2-19)
+ [[EC2.20] VPN 连接的两个 VPN 隧道都应 AWS Site-to-Site 处于开启状态](ec2-controls.md#ec2-20)
+ [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止](elb-controls.md#elb-3)
+ [[ELB.8] 带有 SSL 侦听器的经典负载均衡器应使用持续时间较长的预定义安全策略 AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty 应该启用](guardduty-controls.md#guardduty-1)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10)
+ [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)
+ [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)
+ [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)
+ [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)
+ [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
+ [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] 对于分段的数据包，Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5)
+ [[S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户](s3-controls.md#s3-6)
+ [[S3.9] S3 通用存储桶应启用服务器访问日志记录](s3-controls.md#s3-9)
+ [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11)
+ [[S3.14] S3 通用存储桶应启用版本控制](s3-controls.md#s3-14)
+ [[S3.17] S3 通用存储桶应使用静态加密 AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] SNS 主题应使用以下方法进行静态加密 AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态](ssm-controls.md#ssm-2)
+ [[WAF.12] AWS WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12)

# Security Hub CSPM 中的 PCI DSS
<a name="pci-standard"></a>

支付卡行业数据安全标准（PCI DSS）是一个第三方合规框架，它提供了一套安全处理信用卡和借记卡信息的规则和指南。PCI 安全标准委员会（SSC）负责创建并更新此框架。

AWS Security Hub CSPM 提供了 PCI DSS 标准，可以帮助您保持对该第三方框架的合规性。您可以使用此标准来发现处理持卡人数据的 AWS 资源中的安全漏洞。建议在有资源存储、处理或传输持卡人数据或敏感的身份验证数据的 AWS 账户 中启用此标准。PCI SSC 的评测验证此标准。

Security Hub CSPM 同时支持 PCI DSS v3.2.1 和 PCI DSS v4.0.1。建议使用 v4.0.1 以了解最新的安全最佳实践。您可以同时启用两个版本的标准。有关启用标准的信息，请参阅[启用安全标准](enable-standards.md)。如果您当前使用的是 v3.2.1 版本，但只想使用 v4.0.1 版本，请先启用较新的版本，然后再禁用较旧的版本。这可以防止您的安全检查出现漏洞。如果您使用与 Security Hub CSPM 集成， AWS Organizations 并希望在多个账户中批量启用 v4.0.1，我们建议您使用[集中配置](central-configuration-intro.md)来实现此目的。

以下部分指定了哪些控件适用于 PCI DSS v3.2.1 和 PCI DSS v4.0.1。

## 适用于 PCI DSS v3.2.1 的控件
<a name="pci-controls"></a>

以下列表指定了哪些 Security Hub CSPM 控件适用于 PCI DSS v3.2.1。要查看控件的详细信息，请选择该控件。

 [[AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] 应至少启用一条 CloudTrail 跟踪](cloudtrail-controls.md#cloudtrail-3) 

 [[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] “root” 用户应有日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证](codebuild-controls.md#codebuild-2) 

 [AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1) 

 [[DMS.1] Database Migration Service 复制实例不应公开](dms-controls.md#dms-1) 

 [[EC2.1] Amazon EBS 快照不应公开恢复](ec2-controls.md#ec2-1) 

 [[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2) 

 [[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6) 

 [[EC2.12] EIPs 应移除未使用的亚马逊 EC2](ec2-controls.md#ec2-12) 

 [[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量](ec2-controls.md#ec2-13) 

 [[ELB.1] 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS](elb-controls.md#elb-1) 

 [[ES.1] Elasticsearch 域应启用静态加密](es-controls.md#es-1) 

 [[ES.2] Elasticsearch 域名不可供公共访问](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty 应该启用](guardduty-controls.md#guardduty-1) 

 [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1) 

 [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2) 

 [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4) 

 [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6) 

 [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8) 

 [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9) 

 [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10) 

 [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19) 

 [[KMS.4] 应启用 AWS KMS 密钥轮换](kms-controls.md#kms-4) 

 [[Lambda.1] Lambda 函数策略应禁止公共访问](lambda-controls.md#lambda-1) 

 [[Lambda.3] Lambda 函数应位于 VPC 中](lambda-controls.md#lambda-3) 

 [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2) 

 [[RDS.1] RDS 快照应为私有](rds-controls.md#rds-1) 

 [[RDS.2] RDS 数据库实例应禁止公共访问，具体取决于配置 PubliclyAccessible](rds-controls.md#rds-2) 

 [[Redshift.1] Amazon Redshift 集群应禁止公共访问](redshift-controls.md#redshift-1) 

 [[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1) 

 [[S3.2] S3 通用存储桶应阻止公共读取访问权限](s3-controls.md#s3-2) 

 [[S3.3] S3 通用存储桶应阻止公共写入访问权限](s3-controls.md#s3-3) 

 [[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5) 

 [[S3.7] S3 通用存储桶应使用跨区域复制](s3-controls.md#s3-7) 

 [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] Amazon EC2 实例应由以下人员管理 AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态](ssm-controls.md#ssm-2) 

 [[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT](ssm-controls.md#ssm-3) 

## 适用于 PCI DSS v4.0.1 的控件
<a name="pci4-controls"></a>

以下列表指定了哪些 Security Hub CSPM 控件适用于 PCI DSS v4.0.1。要查看控件的详细信息，请选择该控件。

[[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1)

[[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度](acm-controls.md#acm-2)

[[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync 应该启用字段级日志记录](appsync-controls.md#appsync-2)

[[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)](autoscaling-controls.md#autoscaling-3)

[[Autoscaling.5] 使用 Auto Scaling 组启动配置启动的 EC2 亚马逊实例不应具有公有 IP 地址](autoscaling-controls.md#autoscaling-5)

[[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] 应至少启用一条 CloudTrail 跟踪](cloudtrail-controls.md#cloudtrail-3)

[[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3)

[[DMS.1] Database Migration Service 复制实例不应公开](dms-controls.md#dms-1)

[[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10)

[[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11)

[[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12)

[[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6)

[[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7)

[[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8)

[[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9)

[[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2)

[[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3)

[[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7)

[[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量](ec2-controls.md#ec2-13)

[[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)

[[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址](ec2-controls.md#ec2-15)

[[EC2.16] 应删除未使用的网络访问控制列表](ec2-controls.md#ec2-16)

[[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-170)

[[EC2.171] EC2 VPN 连接应启用日志记录](ec2-controls.md#ec2-171)

[[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)

[[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25)

[[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)

[[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53)

[[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54)

[[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-8)

[[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1)

[[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10)

[[ECS.16] ECS 任务集不应自动分配公有 IP 地址](ecs-controls.md#ecs-16)

[[ECS.2] ECS 服务不应自动分配公有 IP 地址](ecs-controls.md#ecs-2)

[[ECS.8] 密钥不应作为容器环境变量传递](ecs-controls.md#ecs-8)

[[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4)

[[EKS.1] EKS 集群端点不应公开访问](eks-controls.md#eks-1)

[[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2)

[[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥](eks-controls.md#eks-3)

[[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8)

[[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] ElastiCache （Redis OSS）早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-12)

[[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14)

[[ELB.3] 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止](elb-controls.md#elb-3)

[[ELB.4] 应将应用程序负载均衡器配置为丢弃无效的 http 标头](elb-controls.md#elb-4)

[[ELB.8] 带有 SSL 侦听器的经典负载均衡器应使用持续时间较长的预定义安全策略 AWS Config](elb-controls.md#elb-8)

[[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1)

[[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2)

[[ES.2] Elasticsearch 域名不可供公共访问](es-controls.md#es-2)

[[ES.3] Elasticsearch 域应加密节点之间发送的数据](es-controls.md#es-3)

[[ES.5] Elasticsearch 域名应该启用审核日志](es-controls.md#es-5)

[[ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密](es-controls.md#es-8)

[[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty 应该启用](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] 应启用 GuardDuty S3 保护](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] 应启用 Lamb GuardDuty da 保护](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] 应启用 GuardDuty RDS 保护](guardduty-controls.md#guardduty-9)

[[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)

[[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)

[[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)

[[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7)

[[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)

[[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)

[[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)

[[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)

[[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)

[[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)

[[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17)

[[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)

[[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)

[[Inspector.1] 应启用 Amazon Inspector EC2 扫描](inspector-controls.md#inspector-1)

[[Inspector.2] 应启用 Amazon Inspector ECR 扫描](inspector-controls.md#inspector-2)

[[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描](inspector-controls.md#inspector-3)

[[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描](inspector-controls.md#inspector-4)

[[KMS.4] 应启用 AWS KMS 密钥轮换](kms-controls.md#kms-4)

[[Lambda.1] Lambda 函数策略应禁止公共访问](lambda-controls.md#lambda-1)

[[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2)

[[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2)

[[MQ.3] Amazon MQ 代理应启用次要版本自动升级](mq-controls.md#mq-3)

[[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1)

[[MSK.3] MSK Connect 连接器应在传输过程中进行加密](msk-controls.md#msk-3)

[[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2)

[[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3)

[[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10)

[[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5)

[[RDS.13] 应启用 RDS 自动次要版本升级](rds-controls.md#rds-13)

[[RDS.2] RDS 数据库实例应禁止公共访问，具体取决于配置 PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅](rds-controls.md#rds-20)

[[RDS.21] 应为关键数据库参数组事件配置 RDS 事件通知订阅](rds-controls.md#rds-21)

[[RDS.22] 应为关键数据库安全组事件配置 RDS 事件通知订阅](rds-controls.md#rds-22)

[[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24)

[[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25)

[[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34)

[[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35)

[[RDS.36] 适用于 PostgreSQL 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-36)

[[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch](rds-controls.md#rds-37)

[[RDS.9] RDS 数据库实例应将日志发布到日志 CloudWatch](rds-controls.md#rds-9)

[[Redshift.1] Amazon Redshift 集群应禁止公共访问](redshift-controls.md#redshift-1)

[[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口](redshift-controls.md#redshift-15)

[[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密](redshift-controls.md#redshift-2)

[[Redshift.4] Amazon Redshift 集群应启用审核日志记录](redshift-controls.md#redshift-4)

[[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)

[[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1)

[[S3.15] S3 通用存储桶应启用对象锁定](s3-controls.md#s3-15)

[[S3.17] S3 通用存储桶应使用静态加密 AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] S3 接入点已启用屏蔽公共访问权限设置](s3-controls.md#s3-19)

[[S3.22] S3 通用存储桶应记录对象级写入事件](s3-controls.md#s3-22)

[[S3.23] S3 通用存储桶应记录对象级读取事件](s3-controls.md#s3-23)

[[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置](s3-controls.md#s3-24)

[[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5)

[[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8)

[[S3.9] S3 通用存储桶应启用服务器访问日志记录](s3-controls.md#s3-9)

[[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] Secrets Manager 密钥应启用自动轮换](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] 配置了自动轮换功能的 Secrets Manager 密钥应成功轮换](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换](secretsmanager-controls.md#secretsmanager-4)

[[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态](ssm-controls.md#ssm-2)

[[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT](ssm-controls.md#ssm-3)

[[StepFunctions.1] Step Functions 状态机应该开启日志功能](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接](transfer-controls.md#transfer-2)

[[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)

[[WAF.11] 应启 AWS WAF 用 Web ACL 日志记录](waf-controls.md#waf-11)

# Security Hub CSPM 中的服务托管标准
<a name="service-managed-standards"></a>

服务管理标准是其他人管理的安全标准，但您可以在 AWS 服务 Security Hub CSPM 中查看该标准。例如，[服务管理标准： AWS Control Tower](service-managed-standard-aws-control-tower.md)是一种管理的服务管理标准。 AWS Control Tower 服务托管标准与 AWS Security Hub CSPM 托管的安全标准在以下方面有所不同：
+ **标准创建和删除**——您可以使用托管服务的控制台或 API 或使用 AWS CLI创建和删除服务托管标准。在您通过其中一种方式在管理服务中创建标准之前，该标准不会出现在 Security Hub CSPM 控制台中，也无法通过 Security Hub CSPM API 或 AWS CLI进行访问。
+ **不自动启用控件** – 创建服务托管标准时，Security Hub CSPM 和管理服务不会自动启用适用于该标准的控件。此外，当 Security Hub CSPM 发布标准的新控件时，新控件不会自动启用。这与 Security Hub CSPM 管理的标准有所不同。有关在 Security Hub CSPM 中配置控件的常用方法的更多信息，请参阅[了解 Security Hub CSPM 中的安全控件](controls-view-manage.md)。
+ **启用和禁用控件**——我们建议在托管服务中启用和禁用控件，以避免出现偏差。
+ **控件的可用性**——托管服务选择哪些控件可作为服务托管标准的一部分。可用控件可能包括所有或部分现有的 Security Hub CSPM 控件。

管理服务创建服务托管标准并为其提供控件后，您可以在 Security Hub CSPM 控制台、Security Hub CSPM API 或 AWS CLI中访问控件调查发现、控件状态和标准安全分数。在托管服务中也可能提供部分或全部信息。

从以下列表中选择服务托管标准可查看有关它的更多详细信息。

**Topics**
+ [

# 服务管理标准： AWS Control Tower
](service-managed-standard-aws-control-tower.md)

# 服务管理标准： AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

本节提供有关服务管理标准的信息: AWS Control Tower.

## 什么是服务管理标准： AWS Control Tower？
<a name="aws-control-tower-standard-summary"></a>

服务管理标准： AWS Control Tower 是一种服务管理标准，其 AWS Control Tower 管理支持一部分 Security Hub 控件。该标准专为 Sec AWS urity Hub CSPM 和. AWS Control Tower它允许你通过服务配置 Security Hub CSPM 的侦探控件。 AWS Control Tower 

侦探控件可检测您 AWS 账户内部的资源不合规（例如，错误配置）。

**提示**  
服务管理标准与 Sec AWS urity Hub CSPM 管理的标准不同。例如，您必须在托管服务中创建和删除服务托管标准。有关更多信息，请参阅 [Security Hub CSPM 中的服务托管标准](service-managed-standards.md)。

当你通过启用 Security Hub CSPM 控件时 AWS Control Tower，Control Tower 还会在这些特定账户和区域中为你启用 Security Hub CSPM（如果尚未启用）。在 Security Hub CSPM 控制台和 API 中，您可以查看服务管理标准： AWS Control Tower 以及其他 Security Hub CSPM 标准，前提是该标准已从中启用。 AWS Control Tower

有关此标准的更多信息，请参阅《AWS Control Tower 用户指南》**中的 [Security Hub CSPM 控件](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html)。

## 创建标准
<a name="aws-control-tower-standard-creation"></a>

只有当你从中启用 Security Hub CSPM 控件时，该标准才在 Security Hub CSPM 中可用。 AWS Control Tower AWS Control Tower 使用以下方法之一首次启用适用的控件时创建标准：
+ AWS Control Tower 控制台
+ AWS Control Tower API（调用 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API）
+ AWS CLI （运行[https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)命令）

当你通过启用 Security Hub CSPM 控件时 AWS Control Tower，如果你尚未启用 Security Hub CSPM，还可以在这些特定的账户和区域中为你启用 S AWS Control Tower ecurity Hub CSPM。

要通过控制目录中的控件 ID 识别 Security Hub CSPM 控件，可以使用中的字段`Implementation.Identifier`。 AWS Control Tower此字段映射到 Security Hub CSPM 控件 ID，可用于筛选特定的控件 ID。要检索中特定 Security Hub CSPM 控件（比如 “CodeBuild.1”）的控件元数据 AWS Control Tower，可以使用 API：[https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

您无法在 Security Hub CSPM 控制台、Security Hub CSPM API 中查看或访问此标准，也 AWS CLI 无法 AWS Control Tower 使用上述方法之一先设置和启用 S AWS Control Tower ecurity Hub CSPM 控件。

该标准仅在可用[AWS 区域 的地方可 AWS Control Tower 用](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)。

## 在标准中启用和禁用控件
<a name="aws-control-tower-standard-managing-controls"></a>

通过启用 Security Hub CSPM 控件 AWS Control Tower 并创建服务管理标准： AWS Control Tower 标准后，您可以在 Security Hub CSPM 中查看该标准及其可用控件。

当 Security Hub CSPM 向 “服务管理标准：标准” 中添加新控件时，启用 AWS Control Tower 标准的客户不会自动启用这些控件。您应使用以下方法之一启用和禁用标准控件： AWS Control Tower 
+ AWS Control Tower 控制台
+ AWS Control Tower API（调用[https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)和 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs）
+ AWS CLI （运行[https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)和[https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)命令）

当您在中更改控件的启用状态时 AWS Control Tower，更改也会反映在 Security Hub CSPM 中。

但是，在 Security Hub CSPM 中禁用已启用的控件会 AWS Control Tower 导致控制偏差。中的控件状态 AWS Control Tower 显示为`Drifted`。您可以通过使用 [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API 重置处于偏移状态的控件，或者在控制 AWS Control Tower 台中选择 “[重新注册 OU](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift)”，或者 AWS Control Tower 使用上述方法之一禁用并重新启用控件来解决这种偏差。

在中完成启用和禁用操作 AWS Control Tower 可帮助您避免控制偏差。

当您在中启用或禁用控件时 AWS Control Tower，该操作将应用于受控制的账户和区域 AWS Control Tower。如果您在 Security Hub CSPM 中启用和禁用控件（不建议在本标准中使用），则该操作仅适用于当前账户和区域。

**注意**  
[中央配置](central-configuration-intro.md)不能用于管理服务管理标准: AWS Control Tower. 在本标准中，您*只能*使用该 AWS Control Tower 服务来启用和禁用控件。

## 查看启用状态和控件状态
<a name="aws-control-tower-standard-control-status"></a>

您可以使用以下方法之一查看控件的启用状态：
+ Security Hub CSPM 控制台、Security Hub CSPM API 或 AWS CLI
+ AWS Control Tower 控制台
+ AWS Control Tower 用于查看已启用控件列表的 API（调用 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API）
+ AWS CLI 查看已启用的控件列表（运行[https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)命令）

除非您在 Security Hub CSPM 中 AWS Control Tower 明确启用该控件，否则您在`Disabled`中禁用的控件在 Security Hub CSPM 中的启用状态为。

Security Hub CSPM 根据控件调查发现的工作流状态和合规性状态来计算控件状态。有关启用状态和控件状态的更多信息，请参阅 [查看 Security Hub CSPM 中的控件的详细信息](securityhub-standards-control-details.md)。

根据控制状态，Security Hub CSPM 计算服务管理标准[的安全分数](standards-security-score.md)：。 AWS Control Tower此分数仅在 Security Hub CSPM 中可用。此外，您只能在 Security Hub CSPM 中查看[控件调查发现](controls-findings-create-update.md)。中没有标准安全评分和控制结果 AWS Control Tower。

**注意**  
启用服务管理标准:的控件时 AWS Control Tower，Security Hub CSPM 最多可能需要 18 小时才能为使用现有 AWS Config 服务关联规则的控件生成调查结果。如果您在 Security Hub CSPM 中启用了其他标准和控件，则可能已有服务相关规则。有关更多信息，请参阅 [有关运行安全检查的计划](securityhub-standards-schedule.md)。

## 删除标准
<a name="aws-control-tower-standard-deletion"></a>

您可以使用以下方法之一禁用所有适用的控件， AWS Control Tower 从而在中删除此服务托管标准：
+ AWS Control Tower 控制台
+ AWS Control Tower API（调用 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API）
+ AWS CLI （运行[https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)命令）

禁用所有控件会删除 AWS Control Tower中所有托管账户和受管辖区域中的标准。 AWS Control Tower 删除中的标准会将其从 Security Hub CSPM 控制台的 “**标准**” 页面中删除，并且您将无法再使用 Security Hub CSPM API 或访问该标准。 AWS CLI

**注意**  
 在 Security Hub CSPM 中禁用标准中的所有控件并不能禁用或删除该标准。

禁用 Security Hub CSPM 服务会移除服务管理标准： AWS Control Tower 以及您已启用的任何其他标准。

## 服务管理标准的查找字段格式： AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

创建服务管理标准： AWS Control Tower 并对其启用控制后，您将开始在 Security Hub CSPM 中收到控制结果。Security Hub CSPM 以 [AWS 安全调查结果格式 (ASFF)](securityhub-findings-format.md) 报告控件调查发现。以下是本标准的 Amazon 资源名称（ARN）的 ASFF 值，以及 `GeneratorId`：
+ **标准 ARN**——`arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

有关服务托管标准:的调查结果示例 AWS Control Tower，请参阅[控件调查发现示例](sample-control-findings.md)。

## 适用于服务管理标准的控制措施： AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

服务管理标准： AWS Control Tower 支持 AWS 基础安全最佳实践 (FSBP) 标准中的一部分控件。选择一个控件以查看有关该控件的信息，包括失败的调查发现的补救步骤。

要查看支持哪些 Security Hub CSPM 控件 AWS Control Tower，您可以使用以下方法之一：
+ AWS 控制目录控制台，您可以在其中进行筛选 `“Control owner = AWS Security Hub”`
+ AWS 控制目录 API（调用 [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API），其中包含`Implementations`要检查的过滤器`Types`是 `AWS::SecurityHub::SecurityControl`
+ AWS CLI （运行[https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)命令），并使用过滤器`Implementations`。示例 CLI 命令：

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

通过 Control Tower 标准启用时，对 Security Hub CSPM 控件的区域限制可能与底层控件的区域限制不一致。

在 Security Hub CSPM 中，如果在您的账户中关闭了[合并控制结果](controls-findings-create-update.md#consolidated-control-findings)，则生成的结果中的`ProductFields.ControlId`字段将使用基于标准的控制 ID。基于标准的对照 ID 的格式为 **CT。 *ControlId***（例如，**CT。 CodeBuild.1**)。

有关此标准的更多信息，请参阅《AWS Control Tower 用户指南》**中的 [Security Hub CSPM 控件](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html)。