CMMC 2.0 第 2 級的操作最佳實務

一致性套件提供一般用途的合規性架構，可讓您使用受管或自 AWS Config 訂規則和補救動作來建立安全性、作業或成本最佳化治理檢查。 AWS Config 一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。

以下提供網路安全成熟度模型認證 (CMMC) 2.0 級別 2 和 AWS 受管 Config 規則之間的範例對應。每個 Config 規則都會套用至特定 AWS 資源，並與一或多個 CMMC 2.0 層級 2 控制項相關。一個 CMMC 2.0 第 2 級控制可以與多個 Config 規則相關。如需與這些映射相關的詳細資訊和指引，請參閱下方資料表。

控制 ID	控制描述	AWS Config 規則	指引
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	access-keys-rotated	透過確保按照組織政策的指定輪替 IAM 存取金鑰，以針對授權的裝置、使用者和程序稽核登入資料。定期變更存取金鑰是安全最佳實務。這可縮短存取金鑰的作用中時間，並在金鑰洩漏時降低業務影響。此規則需要存取金鑰輪換值 (Config 預設值：90)。實際值應反映貴組織的政策。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	dms-replication-not-public	確保 DMS 複寫執行個體無法公開存取，以管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊，此類帳戶需要存取控制。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	ebs-snapshot-public-restorable-檢查	確保 EBS 快照不可公開還原，以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊，此類帳戶需要存取控制。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	ec2-imdsv2-check	確保啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法可協助保護 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體中繼資料的存取和控制。IMDSv2 方法使用工作階段型控制項。透過 IMDSv2，您可以實作這些控制，限制執行個體中繼資料的變更。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	ec2-instance-no-public-ip	確保亞馬遜彈性運算 AWS 雲端 (Amazon EC2) 執行個體無法公開存取，以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊，此類帳戶需要存取控制。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	ec2-instance-profile-attached	EC2 執行個體設定檔可將 IAM 角色傳遞給 EC2 執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	elasticsearch-in-vpc-only	通過確保 Amazon OpenSearch 服務（服OpenSearch 務）域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 OpenSearch 服務網域可讓 Amazon VPC 內的 OpenSearch 服務與其他服務之間的安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	emr-kerberos-enabled	透過啟用適用於 Amazon EMR 叢集的 Kerberos，即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內，Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	emr-master-no-public-ip	透過確保 Amazon EMR 叢集主節點無法公開存取，以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊，此類帳戶需要存取控制。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	iam-customer-policy-blocked-KMS-動作	AWS Identity and Access Management (IAM) 可協助您將最低權限和責任分離的原則與存取權限和授權結合在一起，從而限制政策對所有 AWS 金鑰管理服務金鑰包含封鎖的動作。擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。（AWS 基礎安全性最佳實踐值：KMS：解密，公里：）。ReEncryptFrom實際值應反映貴組織的政策
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	iam-inline-policy-blocked-KMS-動作	確保 I AWS dentity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策，允許對所有 AWS 金鑰管理服務金鑰執行封鎖動作。 AWS 建議使用受管理的政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。（AWS 基礎安全性最佳實踐值：KMS：解密，公里：）。ReEncryptFrom實際值應反映貴組織的政策。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	iam-no-inline-policy-檢查	確保 I AWS dentity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策來控制對系統和資產的存取。 AWS 建議使用受管理的政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權合併，限制政策不包含「效果」：「允許」與「動作」：「」而非「資源」:「」。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	iam-policy-no-statements-with-full-access	確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	iam-root-access-key-檢查	透過檢查 root 使用者是否沒有附加到其 AWS 身分識別和存取管理 (IAM) 角色的存取權限，可以控制系統和資產的存取。請確保已刪除根存取金鑰。相反，創建和使用基於角色 AWS 帳戶來幫助納入最少功能的原則。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	iam-user-group-membership-檢查	AWS Identity and Access Management (IAM) 可協助您限制存取權限和授權，方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	iam-user-mfa-enabled	啟用此規則可限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 以減少帳戶遭到入侵的事件。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	iam-user-no-policies-檢查	此規則可確保 AWS Identity and Access Management (IAM) 政策僅附加至群組或角色，以控制對系統和資產的存取。在群組或角色層級指派權限，有助於降低某身分收到或保留過多權限的機會。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	iam-user-unused-credentials-檢查	AWS Identity and Access Management (IAM) 可以透過檢查指定時段未使用的 IAM 密碼和存取金鑰來協助您取得存取許可和授權。如果識別出這些未使用的憑證，建議您停用和/或移除憑證，因為這可能會違反最低權限的原則。此規則要求您將值設置為 maxCredentialUsage年齡（Config 默認值：90）。實際值應反映貴組織的政策。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選，協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量，有助於限制遠端存取。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	ec2-instances-in-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊，不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取權。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	internet-gateway-authorized-vpc-只	確保網際網路閘道僅連接至授權的 Amazon 虛擬私有 AWS 雲端 (Amazon VPC)，以管理雲端資源的存取。網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取，這可能導致未經授權存取 Amazon VPC 資源。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	lambda-function-public-access-禁止	確保 AWS Lambda 函數無法公開存取，以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	lambda-inside-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函數，以便在 Amazon VPC 內的函數與其他服務之間進行安全通訊。有了這項組態，就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。若要正確管理存取，應將 AWS Lambda 函數指派給 VPC。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	mfa-enabled-for-iam-控制台訪問	透過確保對具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者啟用 MFA，以管理 AWS 雲端中資源的存取。MFA 在登入憑證之外多加了一層保護。透過要求使用者使用 MFA，您可以減少帳戶遭到入侵的事件，並防止未經授權的使用者存取敏感資料。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	rds-instance-public-access-檢查	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	rds-snapshots-public-prohibited	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	redshift-cluster-public-access-檢查	透過確保 Amazon Redshift 叢集不是公開的，來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	restricted-common-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值：20、21、3389、3306、4333)。實際值應反映貴組織的政策。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	root-account-hardware-mfa啟用	透過確保針對 root 使用者啟用硬體 MFA，來管理 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA，您可以減少遭到入侵 AWS 帳戶的事件。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	root-account-mfa-enabled	確保針對 root 使用者啟用 MFA，以管理 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA，您可以減少遭到入侵 AWS 帳戶的事件。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	s3-塊週期account-level-public-access性	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值：True)、 blockPublicPolicy (組 Config 預設值：True)、 blockPublicAcls (組 Config 預設值：True) 和 restrictPublicBuckets 參數 (組 Config 預設值：True)。實際值應反映貴組織的政策。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	3-禁bucket-level-public-access止	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取，避免未經授權的遠端使用者存取敏感資料。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	S3-bucket-policy-grantee-check	通過啟用 s3_ 保險政策檢查來管理對 AWS 雲的訪問。此規則會檢查 Amazon S3 儲存貯體授與的存取權是否受到您提供的任何 AWS 主體、聯合身分使用者、服務主體、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	S3-bucket-public-read-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	S3-bucket-public-write-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	sagemaker-notebook-no-direct-互聯網接入	確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路，以管理 AWS 雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	secretsmanager-rotation-enabled-check	此規則可確保 AWS Secrets Manager 密碼已啟用循環。定期輪換密碼可縮短密碼的作用中時間，並可能降低密碼洩漏時所造成的業務影響。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	secretsmanager-scheduled-rotation-success-檢查	此規則可確保 AWS Secrets Manager 密碼已根據循環排程成功輪替。定期輪換密碼可縮短密碼的作用期間，並可能降低其洩露時所造成的業務影響。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	ssm-document-not-public	請確定 AWS Systems Manager (SSM) 文件不是公開的，因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	vpc-default-security-group-關閉	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過對資源的輸入和輸出網路流量進行有狀態篩選，協助管理網路存取。 AWS 限制預設安全群組上的所有流量有助於限制對資源的遠端存 AWS 取。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	vpc-sg-open-only-to-authorized-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。
AC.L1-3.1.1	將資訊系統存取限制為授權使用者、代表授權使用者處理的程序，或是裝置 (包括其他資訊系統)。	opensearch-in-vpc-only	通過確保 Amazon OpenSearch 服務域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 Amazon OpenSearch 服務網域可讓 Amazon OpenSearch 服務與 Amazon VPC 內的其他服務之間進行安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	dms-replication-not-public	確保 DMS 複寫執行個體無法公開存取，以管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊，此類帳戶需要存取控制。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	ebs-snapshot-public-restorable-檢查	確保 EBS 快照不可公開還原，以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊，此類帳戶需要存取控制。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	ec2-imdsv2-check	確保啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法可協助保護 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體中繼資料的存取和控制。IMDSv2 方法使用工作階段型控制項。透過 IMDSv2，您可以實作這些控制，限制執行個體中繼資料的變更。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	ec2-instance-no-public-ip	確保亞馬遜彈性運算 AWS 雲端 (Amazon EC2) 執行個體無法公開存取，以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊，此類帳戶需要存取控制。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	elasticsearch-in-vpc-only	通過確保 Amazon OpenSearch 服務（服OpenSearch 務）域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 OpenSearch 服務網域可讓 Amazon VPC 內的 OpenSearch 服務與其他服務之間的安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	emr-kerberos-enabled	透過啟用適用於 Amazon EMR 叢集的 Kerberos，即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內，Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	emr-master-no-public-ip	透過確保 Amazon EMR 叢集主節點無法公開存取，以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊，此類帳戶需要存取控制。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	iam-no-inline-policy-檢查	確保 I AWS dentity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策來控制對系統和資產的存取。 AWS 建議使用受管理的政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	iam-password-policy	身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 基礎安全性最佳實務標準所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基礎安全最佳做法值：true)、 RequireLowercaseCharacters (AWS 基礎安全最佳做法值：true)、 RequireSymbols (AWS 基礎安全最佳做法值：true)、 RequireNumbers (AWS 基礎安全最佳做法值：true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值：14)、(基礎安全性最佳實務值：24) 和 PasswordReusePrevention MaxPasswordAge (AWS IAM 的最佳實務值：90)AWS 密碼策略。實際值應反映貴組織的政策。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權合併，限制政策不包含「效果」：「允許」與「動作」：「」而非「資源」:「」。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	iam-root-access-key-檢查	透過檢查 root 使用者是否沒有附加到其 AWS 身分識別和存取管理 (IAM) 角色的存取權限，可以控制系統和資產的存取。請確保已刪除根存取金鑰。相反，創建和使用基於角色 AWS 帳戶來幫助納入最少功能的原則。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	iam-user-group-membership-檢查	AWS Identity and Access Management (IAM) 可協助您限制存取權限和授權，方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	iam-user-mfa-enabled	啟用此規則可限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 以減少帳戶遭到入侵的事件。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	iam-user-no-policies-檢查	此規則可確保 AWS Identity and Access Management (IAM) 政策僅附加至群組或角色，以控制對系統和資產的存取。在群組或角色層級指派權限，有助於降低某身分收到或保留過多權限的機會。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選，協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量，有助於限制遠端存取。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	ec2-instances-in-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊，不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取權。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	internet-gateway-authorized-vpc-只	確保網際網路閘道僅連接至授權的 Amazon 虛擬私有 AWS 雲端 (Amazon VPC)，以管理雲端資源的存取。網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取，這可能導致未經授權存取 Amazon VPC 資源。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	lambda-function-public-access-禁止	確保 AWS Lambda 函數無法公開存取，以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	lambda-inside-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函數，以便在 Amazon VPC 內的函數與其他服務之間進行安全通訊。有了這項組態，就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。若要正確管理存取，應將 AWS Lambda 函數指派給 VPC。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	mfa-enabled-for-iam-控制台訪問	透過確保對具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者啟用 MFA，以管理 AWS 雲端中資源的存取。MFA 在登入憑證之外多加了一層保護。透過要求使用者使用 MFA，您可以減少帳戶遭到入侵的事件，並防止未經授權的使用者存取敏感資料。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	rds-instance-public-access-檢查	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	rds-snapshots-public-prohibited	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	redshift-cluster-public-access-檢查	透過確保 Amazon Redshift 叢集不是公開的，來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	restricted-common-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值：20、21、3389、3306、4333)。實際值應反映貴組織的政策。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	root-account-hardware-mfa啟用	透過確保針對 root 使用者啟用硬體 MFA，來管理 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA，您可以減少遭到入侵 AWS 帳戶的事件。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	root-account-mfa-enabled	確保針對 root 使用者啟用 MFA，以管理 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA，您可以減少遭到入侵 AWS 帳戶的事件。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	s3-塊週期account-level-public-access性	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值：True)、 blockPublicPolicy (組 Config 預設值：True)、 blockPublicAcls (組 Config 預設值：True) 和 restrictPublicBuckets 參數 (組 Config 預設值：True)。實際值應反映貴組織的政策。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	3-禁bucket-level-public-access止	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取，避免未經授權的遠端使用者存取敏感資料。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	S3-bucket-policy-grantee-check	通過啟用 s3_ 保險政策檢查來管理對 AWS 雲的訪問。此規則會檢查 Amazon S3 儲存貯體授與的存取權是否受到您提供的任何 AWS 主體、聯合身分使用者、服務主體、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	S3-bucket-public-read-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	S3-bucket-public-write-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	sagemaker-notebook-no-direct-互聯網接入	確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路，以管理 AWS 雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	vpc-default-security-group-關閉	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過對資源的輸入和輸出網路流量進行有狀態篩選，協助管理網路存取。 AWS 限制預設安全群組上的所有流量有助於限制對資源的遠端存 AWS 取。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	vpc-sg-open-only-to-authorized-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。
AC.L1-3.1.2	將資訊系統存取限制為授權使用者可執行的交易和功能類型。	opensearch-in-vpc-only	通過確保 Amazon OpenSearch 服務域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 Amazon OpenSearch 服務網域可讓 Amazon OpenSearch 服務與 Amazon VPC 內的其他服務之間進行安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	alb-waf-enabled	確保在彈性負載平衡器 (ELB) 上啟用 AWS WAF，以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性，或耗用過多環境中的資源。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	autoscaling-launch-config-public-IP-禁用	如果您使用公有 IP 地址設定網路介面，則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取，因為這可能會導致意外存取應用程式或伺服器。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	ec2-instance-no-public-ip	確保亞馬遜彈性運算 AWS 雲端 (Amazon EC2) 執行個體無法公開存取，以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊，此類帳戶需要存取控制。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	emr-master-no-public-ip	透過確保 Amazon EMR 叢集主節點無法公開存取，以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊，此類帳戶需要存取控制。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選，協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量，有助於限制遠端存取。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	internet-gateway-authorized-vpc-只	確保網際網路閘道僅連接至授權的 Amazon 虛擬私有 AWS 雲端 (Amazon VPC)，以管理雲端資源的存取。網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取，這可能導致未經授權存取 Amazon VPC 資源。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	lambda-function-public-access-禁止	確保 AWS Lambda 函數無法公開存取，以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	no-unrestricted-route-to-IGW	確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取，可減少環境中的意外存取。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	rds-instance-public-access-檢查	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	redshift-cluster-public-access-檢查	透過確保 Amazon Redshift 叢集不是公開的，來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	restricted-common-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值：20、21、3389、3306、4333)。實際值應反映貴組織的政策。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	s3-塊週期account-level-public-access性	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值：True)、 blockPublicPolicy (組 Config 預設值：True)、 blockPublicAcls (組 Config 預設值：True) 和 restrictPublicBuckets 參數 (組 Config 預設值：True)。實際值應反映貴組織的政策。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	3-禁bucket-level-public-access止	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取，避免未經授權的遠端使用者存取敏感資料。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	S3-bucket-public-read-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	S3-bucket-public-write-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	sagemaker-notebook-no-direct-互聯網接入	確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路，以管理 AWS 雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	ssm-document-not-public	請確定 AWS Systems Manager (SSM) 文件不是公開的，因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	subnet-auto-assign-public-IP-禁用	透過確保 Amazon 虛擬私有 AWS 雲端 (VPC) 子網路不會自動指派公用 IP 位址，以管理對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體，具有指派給其主要網路介面的公有 IP 地址。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	vpc-default-security-group-關閉	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過對資源的輸入和輸出網路流量進行有狀態篩選，協助管理網路存取。 AWS 限制預設安全群組上的所有流量有助於限制對資源的遠端存 AWS 取。
AC.L1-3.1.20	驗證並控制/限制與外部資訊系統的連線和使用。	vpc-sg-open-only-to-authorized-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	alb-waf-enabled	確保在彈性負載平衡器 (ELB) 上啟用 AWS WAF，以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性，或在環境中耗用過多資源。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	api-gw-associated-with-waf	AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL))，以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 要求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯，以保護其免於遭受惡意攻擊
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	autoscaling-launch-config-public-IP-禁用	如果您使用公有 IP 地址設定網路介面，則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取，因為這可能會導致意外存取應用程式或伺服器。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	dms-replication-not-public	確保 DMS 複寫執行個體無法公開存取，以管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊，此類帳戶需要存取控制。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	ebs-snapshot-public-restorable-檢查	確保 EBS 快照不可公開還原，以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊，此類帳戶需要存取控制。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	ec2-instance-no-public-ip	確保亞馬遜彈性運算 AWS 雲端 (Amazon EC2) 執行個體無法公開存取，以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊，此類帳戶需要存取控制。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	elasticsearch-in-vpc-only	通過確保 Amazon OpenSearch 服務（服OpenSearch 務）域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 OpenSearch 服務網域可讓 Amazon VPC 內的 OpenSearch 服務與其他服務之間的安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	emr-master-no-public-ip	透過確保 Amazon EMR 叢集主節點無法公開存取，以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊，此類帳戶需要存取控制。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選，協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量，有助於限制遠端存取。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	ec2-instances-in-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊，不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	internet-gateway-authorized-vpc-只	確保網際網路閘道僅連接至授權的 Amazon 虛擬私有 AWS 雲端 (Amazon VPC)，以管理雲端資源的存取。網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取，這可能導致未經授權存取 Amazon VPC 資源。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	lambda-function-public-access-禁止	確保 AWS Lambda 函數無法公開存取，以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	lambda-inside-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函數，以便在 Amazon VPC 內的函數與其他服務之間進行安全通訊。有了這項組態，就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。若要正確管理存取，應將 AWS Lambda 函數指派給 VPC。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	no-unrestricted-route-to-IGW	確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取，可減少環境中的意外存取。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	rds-instance-public-access-檢查	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	rds-snapshots-public-prohibited	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	redshift-cluster-public-access-檢查	透過確保 Amazon Redshift 叢集不是公開的，來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	restricted-common-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值：20、21、3389、3306、4333)。實際值應反映貴組織的政策。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	s3-塊週期account-level-public-access性	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值：True)、 blockPublicPolicy (組 Config 預設值：True)、 blockPublicAcls (組 Config 預設值：True) 和 restrictPublicBuckets 參數 (組 Config 預設值：True)。實際值應反映貴組織的政策。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	3-禁bucket-level-public-access止	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取，避免未經授權的遠端使用者存取敏感資料。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	S3-bucket-public-read-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	S3-bucket-public-write-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	sagemaker-notebook-no-direct-互聯網接入	確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路，以管理 AWS 雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	ssm-document-not-public	請確定 AWS Systems Manager (SSM) 文件不是公開的，因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	subnet-auto-assign-public-IP-禁用	透過確保 Amazon 虛擬私有 AWS 雲端 (VPC) 子網路不會自動指派公用 IP 位址，以管理對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體，具有指派給其主要網路介面的公有 IP 地址。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	vpc-default-security-group-關閉	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過對資源的輸入和輸出網路流量進行有狀態篩選，協助管理網路存取。 AWS 限制預設安全群組上的所有流量有助於限制對資源的遠端存 AWS 取。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	vpc-sg-open-only-to-authorized-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。
AC.L2-3.1.3	根據核准的授權控制 CUI 的流程。	opensearch-in-vpc-only	通過確保 Amazon OpenSearch 服務域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 Amazon OpenSearch 服務網域可讓 Amazon OpenSearch 服務與 Amazon VPC 內的其他服務之間進行安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
AC.L2-3.1.4	個人職責分離可避免勾結，從而降低惡意活動的風險。	emr-kerberos-enabled	透過啟用適用於 Amazon EMR 叢集的 Kerberos，即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內，Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。
AC.L2-3.1.4	個人職責分離可避免勾結，從而降低惡意活動的風險。	iam-customer-policy-blocked-KMS-動作	AWS Identity and Access Management (IAM) 可協助您將最低權限和責任分離的原則與存取權限和授權結合在一起，從而限制政策對所有 AWS 金鑰管理服務金鑰包含封鎖的動作。擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。（AWS 基礎安全性最佳實踐值：KMS：解密，公里：）。ReEncryptFrom實際值應反映貴組織的政策
AC.L2-3.1.4	個人職責分離可避免勾結，從而降低惡意活動的風險。	iam-group-has-users-檢查	AWS 透過確保 IAM 群組至少有一位使用者，身分與存取權限和存取權限管理 (IAM) 可協助您將最低權限和職責分離的原則整合在一起。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。
AC.L2-3.1.4	個人職責分離可避免勾結，從而降低惡意活動的風險。	iam-no-inline-policy-檢查	確保 I AWS dentity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策來控制對系統和資產的存取。 AWS 建議使用受管理的政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。
AC.L2-3.1.4	個人職責分離可避免勾結，從而降低惡意活動的風險。	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權合併，限制政策不包含「效果」：「允許」與「動作」：「」而非「資源」:「」。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L2-3.1.4	個人職責分離可避免勾結，從而降低惡意活動的風險。	iam-policy-no-statements-with-full-access	確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L2-3.1.4	個人職責分離可避免勾結，從而降低惡意活動的風險。	iam-root-access-key-檢查	透過檢查 root 使用者是否沒有附加到其 AWS 身分識別和存取管理 (IAM) 角色的存取權限，可以控制系統和資產的存取。請確保已刪除根存取金鑰。相反，創建和使用基於角色 AWS 帳戶來幫助納入最少功能的原則。
AC.L2-3.1.4	個人職責分離可避免勾結，從而降低惡意活動的風險。	iam-user-group-membership-檢查	AWS Identity and Access Management (IAM) 可協助您限制存取權限和授權，方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L2-3.1.4	個人職責分離可避免勾結，從而降低惡意活動的風險。	iam-user-no-policies-檢查	此規則可確保 AWS Identity and Access Management (IAM) 政策僅附加至群組或角色，以控制對系統和資產的存取。在群組或角色層級指派權限，有助於降低某身分收到或保留過多權限的機會。
AC.L2-3.1.4	個人職責分離可避免勾結，從而降低惡意活動的風險。	S3-bucket-policy-grantee-check	通過啟用 s3_ 保險政策檢查來管理對 AWS 雲的訪問。此規則會檢查 Amazon S3 儲存貯體授與的存取權是否受到您提供的任何 AWS 主體、聯合身分使用者、服務主體、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	dms-replication-not-public	確保 DMS 複寫執行個體無法公開存取，以管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊，此類帳戶需要存取控制。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	ebs-snapshot-public-restorable-檢查	確保 EBS 快照不可公開還原，以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊，此類帳戶需要存取控制。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	ec2-imdsv2-check	確保啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法可協助保護 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體中繼資料的存取和控制。IMDSv2 方法使用工作階段型控制項。透過 IMDSv2，您可以實作這些控制以限制執行個體中繼資料的變更。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	ec2-instance-no-public-ip	確保亞馬遜彈性運算 AWS 雲端 (Amazon EC2) 執行個體無法公開存取，以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊，此類帳戶需要存取控制。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	elasticsearch-in-vpc-only	通過確保 Amazon OpenSearch 服務（服OpenSearch 務）域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 OpenSearch 服務網域可讓 Amazon VPC 內的 OpenSearch 服務與其他服務之間的安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	emr-kerberos-enabled	透過啟用適用於 Amazon EMR 叢集的 Kerberos，即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內，Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	emr-master-no-public-ip	透過確保 Amazon EMR 叢集主節點無法公開存取，以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊，此類帳戶需要存取控制。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	iam-customer-policy-blocked-KMS-動作	AWS Identity and Access Management (IAM) 可協助您將最低權限和責任分離的原則與存取權限和授權結合在一起，從而限制政策對所有 AWS 金鑰管理服務金鑰包含封鎖的動作。擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。（AWS 基礎安全性最佳實踐值：KMS：解密，公里：）。ReEncryptFrom實際值應反映貴組織的政策
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	iam-group-has-users-檢查	AWS 透過確保 IAM 群組至少有一位使用者，身分與存取權限和存取權限管理 (IAM) 可協助您將最低權限和職責分離的原則整合在一起。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	iam-inline-policy-blocked-KMS-動作	確保 I AWS dentity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策，允許對所有 AWS 金鑰管理服務金鑰執行封鎖動作。 AWS 建議使用受管理的政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。（AWS 基礎安全性最佳實踐值：KMS：解密，公里：）。ReEncryptFrom實際值應反映貴組織的政策。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	iam-no-inline-policy-檢查	確保 I AWS dentity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策來控制對系統和資產的存取。 AWS 建議使用受管理的政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權合併，限制政策不包含「效果」：「允許」與「動作」：「」而非「資源」:「」。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	iam-policy-no-statements-with-full-access	確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	iam-root-access-key-檢查	透過檢查 root 使用者是否沒有附加到其 AWS 身分識別和存取管理 (IAM) 角色的存取權限，可以控制系統和資產的存取。請確保已刪除根存取金鑰。相反，創建和使用基於角色 AWS 帳戶來幫助納入最少功能的原則。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	iam-user-group-membership-檢查	AWS Identity and Access Management (IAM) 可協助您限制存取權限和授權，方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	iam-user-no-policies-檢查	此規則可確保 AWS Identity and Access Management (IAM) 政策僅附加至群組或角色，以控制對系統和資產的存取。在群組或角色層級指派權限，有助於降低某身分收到或保留過多權限的機會。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	internet-gateway-authorized-vpc-只	確保網際網路閘道僅連接至授權的 Amazon 虛擬私有 AWS 雲端 (Amazon VPC)，以管理雲端資源的存取。網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取，這可能導致未經授權存取 Amazon VPC 資源。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	lambda-function-public-access-禁止	確保 AWS Lambda 函數無法公開存取，以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	rds-instance-public-access-檢查	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	rds-snapshots-public-prohibited	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	redshift-cluster-public-access-檢查	透過確保 Amazon Redshift 叢集不是公開的，來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	s3-塊週期account-level-public-access性	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值：True)、 blockPublicPolicy (組 Config 預設值：True)、 blockPublicAcls (組 Config 預設值：True) 和 restrictPublicBuckets 參數 (組 Config 預設值：True)。實際值應反映貴組織的政策。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	3-禁bucket-level-public-access止	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取，避免未經授權的遠端使用者存取敏感資料。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	S3-bucket-policy-grantee-check	通過啟用 s3_ 保險政策檢查來管理對 AWS 雲的訪問。此規則會檢查 Amazon S3 儲存貯體授與的存取權是否受到您提供的任何 AWS 主體、聯合身分使用者、服務主體、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	S3-bucket-public-read-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	S3-bucket-public-write-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	sagemaker-notebook-no-direct-互聯網接入	確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路，以管理 AWS 雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	ssm-document-not-public	請確定 AWS Systems Manager (SSM) 文件不是公開的，因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。
AC.L2-3.1.5	採用最低權限的原則，包括用於特定的安全功能和特殊權限帳戶。	opensearch-in-vpc-only	通過確保 Amazon OpenSearch 服務域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 Amazon OpenSearch 服務網域可讓 Amazon OpenSearch 服務與 Amazon VPC 內的其他服務之間進行安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
AC.L2-3.1.6	存取非安全功能時，請使用非特殊權限的帳戶或角色。	emr-kerberos-enabled	透過啟用適用於 Amazon EMR 叢集的 Kerberos，即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內，Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。
AC.L2-3.1.6	存取非安全功能時，請使用非特殊權限的帳戶或角色。	iam-customer-policy-blocked-KMS-動作	AWS Identity and Access Management (IAM) 可協助您將最低權限和責任分離的原則與存取權限和授權結合在一起，從而限制政策對所有 AWS 金鑰管理服務金鑰包含封鎖的動作。擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。（AWS 基礎安全性最佳實踐值：KMS：解密，公里：）。ReEncryptFrom實際值應反映貴組織的政策
AC.L2-3.1.6	存取非安全功能時，請使用非特殊權限的帳戶或角色。	iam-group-has-users-檢查	AWS 透過確保 IAM 群組至少有一位使用者，身分與存取權限和存取權限管理 (IAM) 可協助您將最低權限和職責分離的原則整合在一起。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。
AC.L2-3.1.6	存取非安全功能時，請使用非特殊權限的帳戶或角色。	iam-inline-policy-blocked-KMS-動作	確保 I AWS dentity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策，允許對所有 AWS 金鑰管理服務金鑰執行封鎖動作。 AWS 建議使用受管理的政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。（AWS 基礎安全性最佳實踐值：KMS：解密，公里：）。ReEncryptFrom實際值應反映貴組織的政策。
AC.L2-3.1.6	存取非安全功能時，請使用非特殊權限的帳戶或角色。	iam-no-inline-policy-檢查	確保 I AWS dentity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策來控制對系統和資產的存取。 AWS 建議使用受管理的政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。
AC.L2-3.1.6	存取非安全功能時，請使用非特殊權限的帳戶或角色。	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權合併，限制政策不包含「效果」：「允許」與「動作」：「」而非「資源」:「」。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L2-3.1.6	存取非安全功能時，請使用非特殊權限的帳戶或角色。	iam-policy-no-statements-with-full-access	確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L2-3.1.6	存取非安全功能時，請使用非特殊權限的帳戶或角色。	iam-root-access-key-檢查	透過檢查 root 使用者是否沒有附加到其 AWS 身分識別和存取管理 (IAM) 角色的存取權限，可以控制系統和資產的存取。請確保已刪除根存取金鑰。相反，創建和使用基於角色 AWS 帳戶來幫助納入最少功能的原則。
AC.L2-3.1.6	存取非安全功能時，請使用非特殊權限的帳戶或角色。	iam-user-group-membership-檢查	AWS Identity and Access Management (IAM) 可協助您限制存取權限和授權，方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L2-3.1.6	存取非安全功能時，請使用非特殊權限的帳戶或角色。	iam-user-no-policies-檢查	此規則可確保 AWS Identity and Access Management (IAM) 政策僅附加至群組或角色，以控制對系統和資產的存取。在群組或角色層級指派權限，有助於降低某身分收到或保留過多權限的機會。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	api-gw-execution-logging啟用	API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	cloudtrail-s3-dataevents-enabled	收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資 AWS 帳戶訊包括存取 Amazon S3 儲存貯體的資訊、IP 地址和事件時間。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	cloud-trail-cloud-watch-日誌啟用	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶.
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助不可否認性。您可以識別使用者 AWS 帳戶以及呼叫 AWS 服務的使用者、產生呼叫的來源 IP 位址，以及呼叫的計時。捕獲的數據的詳細信息可以在 AWS CloudTrail 記錄內容中看到。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	elb-logging-enabled	Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	emr-kerberos-enabled	透過啟用適用於 Amazon EMR 叢集的 Kerberos，即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內，Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	iam-customer-policy-blocked-KMS-動作	AWS Identity and Access Management (IAM) 可協助您將最低權限和責任分離的原則與存取權限和授權結合在一起，從而限制政策對所有 AWS 金鑰管理服務金鑰包含封鎖的動作。擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。（AWS 基礎安全性最佳實踐值：KMS：解密，公里：）。ReEncryptFrom實際值應反映貴組織的政策
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	iam-group-has-users-檢查	AWS 透過確保 IAM 群組至少有一位使用者，身分與存取權限和存取權限管理 (IAM) 可協助您將最低權限和職責分離的原則整合在一起。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	iam-inline-policy-blocked-KMS-動作	確保 I AWS dentity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策，允許對所有 AWS 金鑰管理服務金鑰執行封鎖動作。 AWS 建議使用受管理的政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。（AWS 基礎安全性最佳實踐值：KMS：解密，公里：）。ReEncryptFrom實際值應反映貴組織的政策。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	iam-no-inline-policy-檢查	確保 I AWS dentity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策來控制對系統和資產的存取。 AWS 建議使用受管理的政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權合併，限制政策不包含「效果」：「允許」與「動作」：「」而非「資源」:「」。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	iam-policy-no-statements-with-full-access	確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	iam-root-access-key-檢查	透過檢查 root 使用者是否沒有附加到其 AWS 身分識別和存取管理 (IAM) 角色的存取權限，可以控制系統和資產的存取。請確保已刪除根存取金鑰。相反，創建和使用基於角色 AWS 帳戶來幫助納入最少功能的原則。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	iam-user-group-membership-檢查	AWS Identity and Access Management (IAM) 可協助您限制存取權限和授權，方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	iam-user-no-policies-檢查	此規則可確保 AWS Identity and Access Management (IAM) 政策僅附加至群組或角色，以控制對系統和資產的存取。在群組或角色層級指派權限，有助於降低某身分收到或保留過多權限的機會。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	multi-region-cloudtrail-enabled	AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址，以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域，則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時， CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	rds-logging-enabled	若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	S3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。
AC.L2-3.1.7	防止非特殊權限使用者執行特殊權限功能，並在稽核日誌中擷取此類功能的執行情況。	S3-bucket-policy-grantee-check	通過啟用 s3_ 保險政策檢查來管理對 AWS 雲的訪問。此規則會檢查 Amazon S3 儲存貯體授與的存取權是否受到您提供的任何 AWS 主體、聯合身分使用者、服務主體、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。
AC.L2-3.1.12	監視並控制遠端存取工作階段。	cloudwatch-alarm-action-check	當指標違反指定數量評估期間的閾值時，Amazon 會發出 CloudWatch 警示。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則需要 alarmActionRequired (Config 預設值：True)、 insufficientDataAction必要 (Config 預設值：True)、 okActionRequired (Config 預設值：False) 的值。實際值應反映您環境的警示動作。
AC.L2-3.1.12	監視並控制遠端存取工作階段。	cloud-trail-cloud-watch-日誌啟用	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶.
AC.L2-3.1.12	監視並控制遠端存取工作階段。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
AC.L2-3.1.12	監控並控制遠端存取工作階段。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員，連接，設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub，Amazon Inspector，Amazon Macie， AWS Identity and Access Management (IAM) 訪問分析器， AWS Firewall Manager 器和 AWS 合作夥伴解決方案。
AC.L2-3.1.13	採用密碼編譯機制來保護遠端存取工作階段的機密性。	acm-certificate-expiration-check	確保 AWS ACM 頒發 X509 憑證，以確保網路完整性受到保護。這些憑證必須有效且未過期。此規則需要值 daysToExpiration (AWS 基礎安全性最佳作法值：90)。實際值應反映貴組織的政策。
AC.L2-3.1.13	採用密碼編譯機制來保護遠端存取工作階段的機密性。	alb-http-to-https-重定向檢查	為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
AC.L2-3.1.13	採用密碼編譯機制來保護遠端存取工作階段的機密性。	api-gw-ssl-enabled	確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定，以允許後端系統驗證來自 API Gateway 的請求。
AC.L2-3.1.13	採用密碼編譯機制來保護遠端存取工作階段的機密性。	elasticsearch-node-to-node-加密檢查	確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
AC.L2-3.1.13	採用密碼編譯機制來保護遠端存取工作階段的機密性。	易爾布 2-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
AC.L2-3.1.13	採用密碼編譯機制來保護遠端存取工作階段的機密性。	elb-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
AC.L2-3.1.13	採用密碼編譯機制來保護遠端存取工作階段的機密性。	elb-tls-https-listeners-只	確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
AC.L2-3.1.13	採用密碼編譯機制來保護遠端存取工作階段的機密性。	redshift-require-tls-ssl	確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
AC.L2-3.1.13	採用密碼編譯機制來保護遠端存取工作階段的機密性。	S3-bucket-ssl-requests-only	為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
AC.L2-3.1.13	採用密碼編譯機制來保護遠端存取工作階段的機密性。	opensearch-node-to-node-加密檢查	確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
AU.L2-3.3.1	在所需範圍內建立並保留系統稽核日誌和記錄，以便監控、分析、調查和報告非法或未經授權的系統活動。	api-gw-execution-logging啟用	API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
AU.L2-3.3.1	在所需範圍內建立並保留系統稽核日誌和記錄，以便監控、分析、調查和報告非法或未經授權的系統活動。	cloudtrail-s3-dataevents-enabled	收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資 AWS 帳戶訊包括存取 Amazon S3 儲存貯體的資訊、IP 地址和事件時間。
AU.L2-3.3.1	在所需範圍內建立並保留系統稽核日誌和記錄，以便監控、分析、調查和報告非法或未經授權的系統活動。	cloud-trail-cloud-watch-日誌啟用	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶.
AU.L2-3.3.1	在所需範圍內建立並保留系統稽核日誌和記錄，以便監控、分析、調查和報告非法或未經授權的系統活動。	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助不可否認性。您可以識別使用者 AWS 帳戶以及呼叫 AWS 服務的使用者、產生呼叫的來源 IP 位址，以及呼叫的計時。捕獲的數據的詳細信息可以在 AWS CloudTrail 記錄內容中看到。
AU.L2-3.3.1	在所需範圍內建立並保留系統稽核日誌和記錄，以便監控、分析、調查和報告非法或未經授權的系統活動。	cw-loggroup-retention-period-檢查	確保為日誌群組保留最短的事件日誌資料持續時間，以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料，就很難重建和識別潛在的惡意事件。
AU.L2-3.3.1	在所需範圍內建立並保留系統稽核日誌和記錄，以便監控、分析、調查和報告非法或未經授權的系統活動。	elb-logging-enabled	Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
AU.L2-3.3.1	在所需範圍內建立並保留系統稽核日誌和記錄，以便監控、分析、調查和報告非法或未經授權的系統活動。	multi-region-cloudtrail-enabled	AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址，以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域，則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時， CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
AU.L2-3.3.1	在所需範圍內建立並保留系統稽核日誌和記錄，以便監控、分析、調查和報告非法或未經授權的系統活動。	rds-logging-enabled	若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
AU.L2-3.3.1	在所需範圍內建立並保留系統稽核日誌和記錄，以便監控、分析、調查和報告非法或未經授權的系統活動。	S3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。
AU.L2-3.3.1	在所需範圍內建立並保留系統稽核日誌和記錄，以便監控、分析、調查和報告非法或未經授權的系統活動。	wafv2-logging-enabled	若要協助您在環境中進行記錄和監控，請在地區和全球 Web ACL 上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄會提供 Web ACL 分析之流量的詳細資訊。記錄會記錄 AWS WAF 從您的 AWS 資源接收要求的時間、請求的相關資訊，以及每個要求相符之規則的動作。
AU.L2-3.3.2	確保個別系統使用者的動作可以唯一追蹤到這些使用者，以便使用者能夠對其動作負責。	api-gw-execution-logging啟用	API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
AU.L2-3.3.2	確保個別系統使用者的動作可以唯一追蹤到這些使用者，以便使用者能夠對其動作負責。	cloudtrail-s3-dataevents-enabled	收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資 AWS 帳戶訊包括存取 Amazon S3 儲存貯體的資訊、IP 地址和事件時間。
AU.L2-3.3.2	確保個別系統使用者的動作可以唯一追蹤到這些使用者，以便使用者能夠對其動作負責。	cloud-trail-cloud-watch-日誌啟用	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶.
AU.L2-3.3.2	確保個別系統使用者的動作可以唯一追蹤到這些使用者，以便使用者能夠對其動作負責。	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助不可否認性。您可以識別使用者 AWS 帳戶以及呼叫 AWS 服務的使用者、產生呼叫的來源 IP 位址，以及呼叫的計時。捕獲的數據的詳細信息可以在 AWS CloudTrail 記錄內容中看到。
AU.L2-3.3.2	確保個別系統使用者的動作可以唯一追蹤到這些使用者，以便使用者能夠對其動作負責。	elb-logging-enabled	Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
AU.L2-3.3.2	確保個別系統使用者的動作可以唯一追蹤到這些使用者，以便使用者能夠對其動作負責。	multi-region-cloudtrail-enabled	AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址，以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域，則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時， CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
AU.L2-3.3.2	確保個別系統使用者的動作可以唯一追蹤到這些使用者，以便使用者能夠對其動作負責。	rds-logging-enabled	若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
AU.L2-3.3.2	確保個別系統使用者的動作可以唯一追蹤到這些使用者，以便使用者能夠對其動作負責。	S3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。
AU.L2-3.3.2	確保個別系統使用者的動作可以唯一追蹤到這些使用者，以便使用者能夠對其動作負責。	wafv2-logging-enabled	若要協助您在環境中進行記錄和監控，請在地區和全球 Web ACL 上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄會提供 Web ACL 分析之流量的詳細資訊。記錄會記錄 AWS WAF 從您的 AWS 資源接收要求的時間、請求的相關資訊，以及每個要求相符之規則的動作。
AU.L2-3.3.4	稽核日誌記錄程序失敗時發出提醒。	cloudwatch-alarm-action-check	當指標違反指定數量評估期間的閾值時，Amazon 會發出 CloudWatch 警示。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則需要 alarmActionRequired (Config 預設值：True)、 insufficientDataAction必要 (Config 預設值：True)、 okActionRequired (Config 預設值：False) 的值。實際值應反映您環境的警示動作。
AU.L2-3.3.4	稽核日誌記錄程序失敗時發出提醒。	cloud-trail-cloud-watch-日誌啟用	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶.
AU.L2-3.3.4	稽核日誌記錄程序失敗時發出提醒。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
AU.L2-3.3.4	稽核日誌記錄程序失敗時發出提醒。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員，連接，設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub，Amazon Inspector，Amazon Macie， AWS Identity and Access Management (IAM) 訪問分析器， AWS Firewall Manager 器和 AWS 合作夥伴解決方案。
AU.L2-3.3.5	建立稽核記錄檢閱、分析和報告程序的關聯，以進行調查並回應非法、未經授權、可疑或異常活動的跡象。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
AU.L2-3.3.5	建立稽核記錄檢閱、分析和報告程序的關聯，以進行調查並回應非法、未經授權、可疑或異常活動的跡象。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員，連接，設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub，Amazon Inspector，Amazon Macie， AWS Identity and Access Management (IAM) 訪問分析器， AWS Firewall Manager 器和 AWS 合作夥伴解決方案。
AU.L2-3.3.8	保護稽核資訊和稽核日誌記錄工具，以防止未經授權的存取、修改和刪除。	cloudwatch-log-group-encrypted	為了協助保護靜態敏感資料，請確保已為 Amazon CloudWatch 日誌群組啟用加密。
AU.L2-3.3.8	保護稽核資訊和稽核日誌記錄工具，以防止未經授權的存取、修改和刪除。	cloud-trail-encryption-enabled	由於敏感資料可能存在並協助保護靜態資料，因此請確保 AWS CloudTrail 追蹤已啟用加密功能。
AU.L2-3.3.8	保護稽核資訊和稽核日誌記錄工具，以防止未經授權的存取、修改和刪除。	cloud-trail-log-file-驗證啟用	利用日 AWS CloudTrail 誌文件驗證來檢查 CloudTrail 日誌的完整性。記錄檔驗證有助於判斷記錄檔在 CloudTrail 傳送之後是否已修改或刪除或未變更。此功能以產業標準演算法建置：SHA-256 適用於進行雜湊，而含 RSA 的 SHA-256 適用於進行數位簽署。這使得在計算上不可行修改，刪除或偽造 CloudTrail 日誌文件而不進行檢測。
AU.L2-3.3.8	保護稽核資訊和稽核日誌記錄工具，以防止未經授權的存取、修改和刪除。	s3-塊週期account-level-public-access性	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值：True)、 blockPublicPolicy (組 Config 預設值：True)、 blockPublicAcls (組 Config 預設值：True) 和 restrictPublicBuckets 參數 (組 Config 預設值：True)。實際值應反映貴組織的政策。
AU.L2-3.3.8	保護稽核資訊和稽核日誌記錄工具，以防止未經授權的存取、修改和刪除。	S3-bucket-default-lock-enabled	確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體預設已啟用鎖定。由於 S3 儲存貯體中可能存在靜態敏感資料，因此請強制執行靜態物件鎖定以協助保護該資料。
AU.L2-3.3.8	保護稽核資訊和稽核日誌記錄工具，以防止未經授權的存取、修改和刪除。	3-禁bucket-level-public-access止	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取，避免未經授權的遠端使用者存取敏感資料。
AU.L2-3.3.8	保護稽核資訊和稽核日誌記錄工具，以防止未經授權的存取、修改和刪除。	S3-bucket-policy-grantee-check	通過啟用 s3_ 保險政策檢查來管理對 AWS 雲的訪問。此規則會檢查 Amazon S3 儲存貯體授與的存取權是否受到您提供的任何 AWS 主體、聯合身分使用者、服務主體、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) ID 的限制。
AU.L2-3.3.8	保護稽核資訊和稽核日誌記錄工具，以防止未經授權的存取、修改和刪除。	S3-bucket-public-read-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
AU.L2-3.3.8	保護稽核資訊和稽核日誌記錄工具，以防止未經授權的存取、修改和刪除。	S3-bucket-public-write-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
AU.L2-3.3.8	保護稽核資訊和稽核日誌記錄工具，以防止未經授權的存取、修改和刪除。	bucket-server-side-encryption啟用 S3-	為了協助保護靜態資料，請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用加密以協助保護該資料。
AU.L2-3.3.8	保護稽核資訊和稽核日誌記錄工具，以防止未經授權的存取、修改和刪除。	S3-bucket-ssl-requests-only	為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
AU.L2-3.3.8	保護稽核資訊和稽核日誌記錄工具，以防止未經授權的存取、修改和刪除。	S3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。
AU.L2-3.3.8	保護稽核資訊和稽核日誌記錄工具，以防止未經授權的存取、修改和刪除。	S3-default-encryption-kms	確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
CA.L2-3.12.2	制定並實作旨在更正缺陷並減少或消除組織系統漏洞的行動計畫。	vuln-management-plan-exists (處理程序檢查)	確保已制定並實作漏洞管理計畫，以便擁有正式定義的程序來解決環境中的漏洞。這可能包括漏洞管理工具、環境掃描頻率、角色和責任。
CA.L2-3.12.3	持續監控安全控制，以確保控制持續有效。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
CA.L2-3.12.3	持續監控安全控制，以確保控制持續有效。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
CA.L2-3.12.3	持續監控安全控制，以確保控制持續有效。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員，連接，設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub，Amazon Inspector，Amazon Macie， AWS Identity and Access Management (IAM) 訪問分析器， AWS Firewall Manager 器和 AWS 合作夥伴解決方案。
CM.L2-3.4.1	在各自的系統開發生命週期中，建立並維護組織系統的基準組態和清查 (包括硬體、軟體、韌體及文件)。	ec2-檢managedinstance-association-compliance-status查	使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態，並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態，以及環境的其他詳細資料的基準。
CM.L2-3.4.1	在各自的系統開發生命週期中，建立並維護組織系統的基準組態和清查 (包括硬體、軟體、韌體及文件)。	ec2-檢managedinstance-patch-compliance-status查	啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。該規則會根據組織政策和程序的要求，檢查 AWS Systems Manager 中的 Amazon EC2 執行個體是否符合修補程式合規性。
CM.L2-3.4.1	在各自的系統開發生命週期中，建立並維護組織系統的基準組態和清查 (包括硬體、軟體、韌體及文件)。	ec2-stopped-instance	啟用此規則可根據組織的標準，檢查 Amazon EC2 執行個體的停止時間是否超過允許的天數，以協助設定 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的基準組態。
CM.L2-3.4.1	在各自的系統開發生命週期中，建立並維護組織系統的基準組態和清查 (包括硬體、軟體、韌體及文件)。	ec2-volume-inuse-check	此規則可確保在執行個體終止時，連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 Amazon Elastic Block Store 磁碟區會被標記為待刪除。如果 Amazon EBS 磁碟區在其連接的執行個體終止時未予以刪除，則可能會違反最少功能的概念。
CM.L2-3.4.1	在各自的系統開發生命週期中，建立並維護組織系統的基準組態和清查 (包括硬體、軟體、韌體及文件)。	eip-attached	此規則可確保配置給 Amazon Virtual Private Cloud (Amazon VPC) 的彈性 IP 已連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或使用中的彈性網路介面。此規則有助於監控環境中未使用的 EIP。
CM.L2-3.4.2	為組織系統中採用的資訊技術產品建立並強制執行安全組態設定。	account-part-of-organizations	在 Organ AWS izations AWS 帳戶內部集中管理有助於確保帳戶符合規定。缺乏集中式帳戶控管可能會導致帳戶組態不一致，這可能會公開資源和敏感資料。
CM.L2-3.4.2	為組織系統中採用的資訊技術產品建立並強制執行安全組態設定。	cloudtrail-security-trail-enabled	此規則可檢查啟用多個設定 AWS CloudTrail，以協助確保使用 AWS 建議的安全性最佳作法。其中包括使用記錄加密、記錄驗證，以及 AWS CloudTrail 在多個區域中啟用。
CM.L2-3.4.2	為組織系統中採用的資訊技術產品建立並強制執行安全組態設定。	cloud-trail-log-file-驗證啟用	利用日 AWS CloudTrail 誌文件驗證來檢查 CloudTrail 日誌的完整性。記錄檔驗證有助於判斷記錄檔在 CloudTrail 傳送之後是否已修改或刪除或未變更。此功能以產業標準演算法建置：SHA-256 適用於進行雜湊，而含 RSA 的 SHA-256 適用於進行數位簽署。這使得在計算上不可行修改，刪除或偽造 CloudTrail 日誌文件而不進行檢測。
CM.L2-3.4.2	為組織系統中採用的資訊技術產品建立並強制執行安全組態設定。	ec2-instance-managed-by-systems 經理	透過使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 來提供詳細的系統組態、作業系統修補程式等級、服務名稱和類型、軟體安裝、應用程式名稱、發行者和版本，以及環境的其他詳細資料。
CM.L2-3.4.2	為組織系統中採用的資訊技術產品建立並強制執行安全組態設定。	ec2-檢managedinstance-association-compliance-status查	使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態，並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態，以及環境的其他詳細資料的基準。
CM.L2-3.4.2	為組織系統中採用的資訊技術產品建立並強制執行安全組態設定。	ec2-檢managedinstance-patch-compliance-status查	啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。該規則會根據組織政策和程序的要求，檢查 AWS Systems Manager 中的 Amazon EC2 執行個體是否符合修補程式合規性。
CM.L2-3.4.2	為組織系統中採用的資訊技術產品建立並強制執行安全組態設定。	elastic-beanstalk-managed-updates啟用	針對 Amazon Elastic Beanstalk 環境啟用受管平台更新，可確保已安裝適用於環境的最新可用平台修正、更新和功能。安裝最新的修補程式是保護系統安全的最佳實務。
CM.L2-3.4.2	為組織系統中採用的資訊技術產品建立並強制執行安全組態設定。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
CM.L2-3.4.2	為組織系統中採用的資訊技術產品建立並強制執行安全組態設定。	rds-automatic-minor-version-啟用升級	在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級，以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新，其中可能包括安全修補程式和錯誤修正。
CM.L2-3.4.2	為組織系統中採用的資訊技術產品建立並強制執行安全組態設定。	redshift-cluster-maintenancesettings-check	此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言，即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。它也可讓您選擇性地設定 preferredMaintenanceWindow (預設值為「星期六:16:00-星期六:16:30」) 和「 automatedSnapshotRetention期間」(預設值為 1)。實際值應反映貴組織的政策。
CM.L2-3.4.2	為組織系統中採用的資訊技術產品建立並強制執行安全組態設定。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員，連接，設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub，Amazon Inspector，Amazon Macie， AWS Identity and Access Management (IAM) 訪問分析器， AWS Firewall Manager 器和 AWS 合作夥伴解決方案。
CM.L2-3.4.3	追蹤、檢閱、核准或否決，以及記錄組織系統的變更。	api-gw-execution-logging啟用	API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
CM.L2-3.4.3	追蹤、檢閱、核准或否決，以及記錄組織系統的變更。	cloudtrail-s3-dataevents-enabled	收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資 AWS 帳戶訊包括存取 Amazon S3 儲存貯體的資訊、IP 地址和事件時間。
CM.L2-3.4.3	追蹤、檢閱、核准或否決，以及記錄組織系統的變更。	cloud-trail-cloud-watch-日誌啟用	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶.
CM.L2-3.4.3	追蹤、檢閱、核准或否決，以及記錄組織系統的變更。	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助不可否認性。您可以識別使用者 AWS 帳戶以及呼叫 AWS 服務的使用者、產生呼叫的來源 IP 位址，以及呼叫的計時。捕獲的數據的詳細信息可以在 AWS CloudTrail 記錄內容中看到。
CM.L2-3.4.3	追蹤、檢閱、核准或否決，以及記錄組織系統的變更。	ec2-instance-managed-by-systems 經理	透過使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 來提供詳細的系統組態、作業系統修補程式等級、服務名稱和類型、軟體安裝、應用程式名稱、發行者和版本，以及環境的其他詳細資料。
CM.L2-3.4.3	追蹤、檢閱、核准或否決，以及記錄組織系統的變更。	ec2-檢managedinstance-association-compliance-status查	使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態，並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態，以及環境的其他詳細資料的基準。
CM.L2-3.4.3	追蹤、檢閱、核准或否決，以及記錄組織系統的變更。	ec2-檢managedinstance-patch-compliance-status查	啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。該規則會根據組織政策和程序的要求，檢查 AWS Systems Manager 中的 Amazon EC2 執行個體是否符合修補程式合規性。
CM.L2-3.4.3	追蹤、檢閱、核准或否決，以及記錄組織系統的變更。	elb-logging-enabled	Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
CM.L2-3.4.3	追蹤、檢閱、核准或否決，以及記錄組織系統的變更。	multi-region-cloudtrail-enabled	AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址，以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域，則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時， CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
CM.L2-3.4.3	追蹤、檢閱、核准或否決，以及記錄組織系統的變更。	rds-logging-enabled	若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
CM.L2-3.4.3	追蹤、檢閱、核准或否決，以及記錄組織系統的變更。	S3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。
CM.L2-3.4.3	追蹤、檢閱、核准或否決，以及記錄組織系統的變更。	wafv2-logging-enabled	若要協助您在環境中進行記錄和監控，請在地區和全球 Web ACL 上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄會提供 Web ACL 分析之流量的詳細資訊。記錄會記錄 AWS WAF 從您的 AWS 資源接收要求的時間、請求的相關資訊，以及每個要求相符之規則的動作。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	autoscaling-launch-config-public-IP-禁用	如果您使用公有 IP 地址設定網路介面，則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取，因為這可能會導致意外存取應用程式或伺服器。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	dms-replication-not-public	確保 DMS 複寫執行個體無法公開存取，以管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊，此類帳戶需要存取控制。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	ebs-snapshot-public-restorable-檢查	確保 EBS 快照不可公開還原，以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊，此類帳戶需要存取控制。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	ec2-instance-managed-by-systems 經理	透過使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 來提供詳細的系統組態、作業系統修補程式等級、服務名稱和類型、軟體安裝、應用程式名稱、發行者和版本，以及環境的其他詳細資料。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	ec2-instance-no-public-ip	確保亞馬遜彈性運算 AWS 雲端 (Amazon EC2) 執行個體無法公開存取，以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊，此類帳戶需要存取控制。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	ec2-檢managedinstance-association-compliance-status查	使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態，並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態，以及環境的其他詳細資料的基準。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	ec2-volume-inuse-check	此規則可確保在執行個體終止時，連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 Amazon Elastic Block Store 磁碟區會被標記為待刪除。如果 Amazon EBS 磁碟區在其連接的執行個體終止時未予以刪除，則可能會違反最少功能的概念。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	elasticsearch-in-vpc-only	通過確保 Amazon OpenSearch 服務（服OpenSearch 務）域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 OpenSearch 服務網域可讓 Amazon VPC 內的 OpenSearch 服務與其他服務之間的安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	emr-master-no-public-ip	透過確保 Amazon EMR 叢集主節點無法公開存取，以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊，此類帳戶需要存取控制。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選，協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量，有助於限制遠端存取。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	internet-gateway-authorized-vpc-只	透過確保網際網路閘道僅連接到授權的 Amazon 虛擬私有雲端 (Amazon VPC)，以管理雲端資源的存取。 AWS 網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取，這可能導致未經授權存取 Amazon VPC 資源。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	lambda-function-public-access-禁止	確保 AWS Lambda 函數無法公開存取，以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	no-unrestricted-route-to-IGW	確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取，可減少環境中的意外存取。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	rds-instance-public-access-檢查	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	rds-snapshots-public-prohibited	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	redshift-cluster-public-access-檢查	透過確保 Amazon Redshift 叢集不是公開的，來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	restricted-common-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值：20、21、3389、3306、4333)。實際值應反映貴組織的政策。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	s3-塊週期account-level-public-access性	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值：True)、 blockPublicPolicy (組 Config 預設值：True)、 blockPublicAcls (組 Config 預設值：True) 和 restrictPublicBuckets 參數 (組 Config 預設值：True)。實際值應反映貴組織的政策。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	3-禁bucket-level-public-access止	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取，避免未經授權的遠端使用者存取敏感資料。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	S3-bucket-public-read-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	S3-bucket-public-write-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	sagemaker-notebook-no-direct-互聯網接入	確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路，以管理 AWS 雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	ssm-document-not-public	請確定 AWS Systems Manager (SSM) 文件不是公開的，因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	subnet-auto-assign-public-IP-禁用	透過確保 Amazon 虛擬私有 AWS 雲端 (VPC) 子網路不會自動指派公用 IP 位址，以管理對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體，具有指派給其主要網路介面的公有 IP 地址。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	vpc-default-security-group-關閉	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過對資源的輸入和輸出網路流量進行有狀態篩選，協助管理網路存取。 AWS 限制預設安全群組上的所有流量有助於限制對資源的遠端存 AWS 取。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	vpc-sg-open-only-to-authorized-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。
CM.L2-3.4.6	透過將組織系統設定為僅提供基本功能，以採用最少功能的原則。	opensearch-in-vpc-only	通過確保 Amazon OpenSearch 服務域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 Amazon OpenSearch 服務網域可讓 Amazon OpenSearch 服務與 Amazon VPC 內的其他服務之間進行安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	autoscaling-launch-config-public-IP-禁用	如果您使用公有 IP 地址設定網路介面，則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取，因為這可能會導致意外存取應用程式或伺服器。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	ec2-instance-no-public-ip	確保亞馬遜彈性運算 AWS 雲端 (Amazon EC2) 執行個體無法公開存取，以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊，此類帳戶需要存取控制。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	emr-master-no-public-ip	透過確保 Amazon EMR 叢集主節點無法公開存取，以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊，此類帳戶需要存取控制。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選，協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量，有助於限制遠端存取。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	internet-gateway-authorized-vpc-只	透過確保網際網路閘道僅連接到授權的 Amazon 虛擬私有雲端 (Amazon VPC)，以管理雲端資源的存取。 AWS 網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取，這可能導致未經授權存取 Amazon VPC 資源。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	lambda-function-public-access-禁止	確保 AWS Lambda 函數無法公開存取，以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	no-unrestricted-route-to-IGW	確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取，可減少環境中的意外存取。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	rds-instance-public-access-檢查	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	redshift-cluster-public-access-檢查	透過確保 Amazon Redshift 叢集不是公開的，來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	restricted-common-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值：20、21、3389、3306、4333)。實際值應反映貴組織的政策。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	s3-塊週期account-level-public-access性	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值：True)、 blockPublicPolicy (組 Config 預設值：True)、 blockPublicAcls (組 Config 預設值：True) 和 restrictPublicBuckets 參數 (組 Config 預設值：True)。實際值應反映貴組織的政策。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	3-禁bucket-level-public-access止	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取，避免未經授權的遠端使用者存取敏感資料。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	S3-bucket-public-read-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	S3-bucket-public-write-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	sagemaker-notebook-no-direct-互聯網接入	確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路，以管理 AWS 雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	ssm-document-not-public	請確定 AWS Systems Manager (SSM) 文件不是公開的，因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	subnet-auto-assign-public-IP-禁用	透過確保 Amazon 虛擬私有 AWS 雲端 (VPC) 子網路不會自動指派公用 IP 位址，以管理對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體，具有指派給其主要網路介面的公有 IP 地址。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	vpc-default-security-group-關閉	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過對資源的輸入和輸出網路流量進行有狀態篩選，協助管理網路存取。 AWS 限制預設安全群組上的所有流量有助於限制對資源的遠端存 AWS 取。
CM.L2-3.4.7	限制、停用或防止使用不必要的程式、功能、連接埠、通訊協定和服務。	vpc-sg-open-only-to-authorized-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。
CM.L2-3.4.9	控制並監控使用者安裝的軟體。	ec2-instance-managed-by-systems 經理	透過使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 來提供詳細的系統組態、作業系統修補程式等級、服務名稱和類型、軟體安裝、應用程式名稱、發行者和版本，以及環境的其他詳細資料。
CM.L2-3.4.9	控制並監控使用者安裝的軟體。	ec2-檢managedinstance-association-compliance-status查	使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態，並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態，以及環境的其他詳細資料的基準。
CM.L2-3.4.9	控制並監控使用者安裝的軟體。	ec2-檢managedinstance-patch-compliance-status查	啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。該規則會根據組織政策和程序的要求，檢查 AWS Systems Manager 中的 Amazon EC2 執行個體是否符合修補程式合規性。
IA.L1-3.5.1	識別資訊系統使用者、代表使用者處理的程序或裝置。	api-gw-execution-logging啟用	API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
IA.L1-3.5.1	識別資訊系統使用者、代表使用者處理的程序或裝置。	cloudtrail-s3-dataevents-enabled	收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資 AWS 帳戶訊包括存取 Amazon S3 儲存貯體的資訊、IP 地址和事件時間。
IA.L1-3.5.1	識別資訊系統使用者、代表使用者處理的程序或裝置。	cloud-trail-cloud-watch-日誌啟用	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶.
IA.L1-3.5.1	識別資訊系統使用者、代表使用者處理的程序或裝置。	elb-logging-enabled	Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
IA.L1-3.5.1	識別資訊系統使用者、代表使用者處理的程序或裝置。	emr-kerberos-enabled	透過啟用適用於 Amazon EMR 叢集的 Kerberos，即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內，Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。
IA.L1-3.5.1	識別資訊系統使用者、代表使用者處理的程序或裝置。	multi-region-cloudtrail-enabled	AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址，以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域，則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時， CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
IA.L1-3.5.1	識別資訊系統使用者、代表使用者處理的程序或裝置。	rds-logging-enabled	若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
IA.L1-3.5.1	識別資訊系統使用者、代表使用者處理的程序或裝置。	S3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。
IA.L1-3.5.1	識別資訊系統使用者、代表使用者處理的程序或裝置。	wafv2-logging-enabled	若要協助您在環境中進行記錄和監控，請在地區和全球 Web ACL 上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄會提供 Web ACL 分析之流量的詳細資訊。記錄會記錄 AWS WAF 從您的 AWS 資源接收要求的時間、請求的相關資訊，以及每個要求相符之規則的動作。
IA.L1-3.5.2	驗證 (或確認) 這些使用者、程序或裝置的身分，作為允許存取組織資訊系統的先決條件。	emr-kerberos-enabled	透過啟用適用於 Amazon EMR 叢集的 Kerberos，即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內，Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。
IA.L1-3.5.2	驗證 (或確認) 這些使用者、程序或裝置的身分，作為允許存取組織資訊系統的先決條件。	iam-password-policy	身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 基礎安全性最佳實務標準所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基礎安全最佳做法值：true)、 RequireLowercaseCharacters (AWS 基礎安全最佳做法值：true)、 RequireSymbols (AWS 基礎安全最佳做法值：true)、 RequireNumbers (AWS 基礎安全最佳做法值：true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值：14)、(基礎安全性最佳實務值：24) 和 PasswordReusePrevention MaxPasswordAge (AWS IAM 的最佳實務值：90)AWS 密碼策略。實際值應反映貴組織的政策。
IA.L1-3.5.2	驗證 (或確認) 這些使用者、程序或裝置的身分，作為允許存取組織資訊系統的先決條件。	iam-user-mfa-enabled	啟用此規則可限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 以減少帳戶遭到入侵的事件。
IA.L1-3.5.2	驗證 (或確認) 這些使用者、程序或裝置的身分，作為允許存取組織資訊系統的先決條件。	mfa-enabled-for-iam-控制台訪問	透過確保對具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者啟用 MFA，以管理 AWS 雲端中資源的存取。MFA 在登入憑證之外多加了一層保護。透過要求使用者使用 MFA，您可以減少帳戶遭到入侵的事件，並防止未經授權的使用者存取敏感資料。
IA.L1-3.5.2	驗證 (或確認) 這些使用者、程序或裝置的身分，作為允許存取組織資訊系統的先決條件。	root-account-hardware-mfa啟用	透過確保針對 root 使用者啟用硬體 MFA，來管理 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA，您可以減少遭到入侵 AWS 帳戶的事件。
IA.L1-3.5.2	驗證 (或確認) 這些使用者、程序或裝置的身分，作為允許存取組織資訊系統的先決條件。	root-account-mfa-enabled	確保針對 root 使用者啟用 MFA，以管理 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA，您可以減少遭到入侵 AWS 帳戶的事件。
IA.L2-3.5.3	使用多重要素驗證對特殊權限帳戶進行本機和網路存取，以及對非特殊權限帳戶進行網路存取。	iam-user-mfa-enabled	啟用此規則可限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。
IA.L2-3.5.3	使用多重要素驗證對特殊權限帳戶進行本機和網路存取，以及對非特殊權限帳戶進行網路存取。	mfa-enabled-for-iam-控制台訪問	透過確保對具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者啟用 MFA，以管理 AWS 雲端中資源的存取。MFA 在登入憑證之外多加了一層保護。要求使用者使用 MFA，您可以減少帳戶遭到入侵的事件，並防止未經授權的使用者存取敏感資料。
IA.L2-3.5.3	使用多重要素驗證對特殊權限帳戶進行本機和網路存取，以及對非特殊權限帳戶進行網路存取。	root-account-hardware-mfa啟用	透過確保針對 root 使用者啟用硬體 MFA，來管理 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA，您可以減少遭到入侵 AWS 帳戶的事件。
IA.L2-3.5.3	使用多重要素驗證對特殊權限帳戶進行本機和網路存取，以及對非特殊權限帳戶進行網路存取。	root-account-mfa-enabled	確保針對 root 使用者啟用 MFA，以管理 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過針對 root 使用者要求 MFA，您可以減少遭到入侵 AWS 帳戶的事件。
IA.L2-3.5.6	在定義的閒置期過後停用識別符。	iam-password-policy	身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 基礎安全性最佳實務標準所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基礎安全最佳做法值：true)、 RequireLowercaseCharacters (AWS 基礎安全最佳做法值：true)、 RequireSymbols (AWS 基礎安全最佳做法值：true)、 RequireNumbers (AWS 基礎安全最佳做法值：true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值：14)、(基礎安全性最佳實務值：24) 和 PasswordReusePrevention MaxPasswordAge (AWS IAM 的最佳實務值：90)AWS 密碼策略。實際值應反映貴組織的政策。
IA.L2-3.5.6	在定義的閒置期過後停用識別符。	iam-user-unused-credentials-檢查	AWS Identity and Access Management (IAM) 可以透過檢查指定時段未使用的 IAM 密碼和存取金鑰來協助您取得存取許可和授權。如果識別出這些未使用的憑證，建議您停用和/或移除憑證，因為這可能會違反最低權限的原則。此規則要求您將值設置為 maxCredentialUsage年齡（Config 默認值：90）。實際值應反映貴組織的政策。
IA.L2-3.5.7	建立新密碼時，強制執行最低密碼複雜度並變更字元。	iam-password-policy	身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 基礎安全性最佳實務標準所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基礎安全最佳做法值：true)、 RequireLowercaseCharacters (AWS 基礎安全最佳做法值：true)、 RequireSymbols (AWS 基礎安全最佳做法值：true)、 RequireNumbers (AWS 基礎安全最佳做法值：true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值：14)、(基礎安全性最佳實務值：24) 和 PasswordReusePrevention MaxPasswordAge (AWS IAM 的最佳實務值：90)AWS 密碼策略。實際值應反映貴組織的政策。
IA.L2-3.5.8	禁止在指定的世代數目內重複使用密碼。	iam-password-policy	身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 基礎安全性最佳實務標準所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基礎安全最佳做法值：true)、 RequireLowercaseCharacters (AWS 基礎安全最佳做法值：true)、 RequireSymbols (AWS 基礎安全最佳做法值：true)、 RequireNumbers (AWS 基礎安全最佳做法值：true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值：14)、(基礎安全性最佳實務值：24) 和 PasswordReusePrevention MaxPasswordAge (AWS IAM 的最佳實務值：90)AWS 密碼策略。實際值應反映貴組織的政策。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	alb-http-drop-invalid-頭啟用	確保 Elastic Load Balancer (ELB) 設定為捨棄 http 標頭。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	alb-http-to-https-重定向檢查	為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	api-gw-cache-enabled和加密	為了協助保護靜態資料，請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料，因此請啟用靜態加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	api-gw-ssl-enabled	確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定，以允許後端系統驗證來自 API Gateway 的請求。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	ec2-ebs-encryption-by-default	為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	efs-encrypted-check	由於可能存在敏感資料，因此為了保護靜態資料，請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	elasticsearch-encrypted-at-rest	由於敏感資料可以存在並協助保護靜態資料，因此請確保您的 Amazon OpenSearch 服務 (服OpenSearch 務) 網域已啟用加密。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	elasticsearch-node-to-node-加密檢查	確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	易爾布 2-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	elb-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	elb-tls-https-listeners-只	確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	encrypted-volumes	由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	rds-snapshot-encrypted	確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	rds-storage-encrypted	為了協助保護靜態資料，請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	redshift-cluster-kms-enabled	為了協助保護靜態資料，請確保您的 Amazon Redshift 叢集已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於 Redshift 叢集中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	redshift-require-tls-ssl	確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	bucket-server-side-encryption啟用 S3-	為了協助保護靜態資料，請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	S3-bucket-ssl-requests-only	為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	S3-default-encryption-kms	確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	sagemaker-endpoint-configuration-kms-密鑰配置	為了協助保護靜態資料，請確保您的 SageMaker 端點已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 端點中，因此請啟用靜態加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	sagemaker-notebook-instance-kms-密鑰配置	為了協助保護靜態資料，請確定您的 SageMaker 筆記型電腦已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 筆記型電腦中，因此請啟用靜態加密以協助保護資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	sns-encrypted-kms	為了保護靜態資料，請確保您的 Amazon Simple Notification Service (Amazon SNS) 主題需要使用金 AWS 鑰管理服務 (AWS KMS) 進行加密。由於已發布訊息中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	opensearch-encrypted-at-rest	由於敏感資料可以存在並協助保護靜態資料，因此請確保您的 Amazon Ser OpenSearch vice 網域已啟用加密。
IA.L2-3.5.10	僅儲存和傳輸以密碼編譯方式保護的密碼。	opensearch-node-to-node-加密檢查	確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
IR.L2-3.6.1	為組織系統建立營運事件處理功能，包括準備、偵測、分析、遏止、復原和使用者回應活動。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
IR.L2-3.6.1	為組織系統建立營運事件處理功能，包括準備、偵測、分析、遏止、復原和使用者回應活動。	guardduty-non-archived-findings	Amazon GuardDuty 透過將發現結果按嚴重性 (低、中和高) 分類，協助您瞭解事件的影響。您可以使用這些分類決定修復策略和優先順序。此規則可讓您根據 Config 織原則的 daysLowSev 要求， daysMediumSev 選擇性地為未存檔的發現項目設定 daysHighSev (組 Config 預設值：30)、(組態預設值：7) 及 (組態預設值：1)。
IR.L2-3.6.1	為組織系統建立營運事件處理功能，包括準備、偵測、分析、遏止、復原和使用者回應活動。	lambda-dlq-check	啟用此規則可在功能失敗時，透過 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SNS) 通知適當的人員。
IR.L2-3.6.1	為組織系統建立營運事件處理功能，包括準備、偵測、分析、遏止、復原和使用者回應活動。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員，連接，設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub，Amazon Inspector，Amazon Macie， AWS Identity and Access Management (IAM) 訪問分析器， AWS Firewall Manager 器和 AWS 合作夥伴解決方案。
IR.L2-3.6.3	測試組織事件回應能力。	response-plan-tested (處理程序檢查)	確保事件回應和復原計畫都經過測試。這有助於了解計畫在事件期間是否有效，以及是否需要因應任何差距或更新。
MA.L2-3.7.5	需要多重要素驗證，才能從外部網路連線建立非本機維護工作階段，並在非本機維護完成時終止此類連線。	iam-user-mfa-enabled	啟用此規則可限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。
MA.L2-3.7.5	需要多重要素驗證，才能從外部網路連線建立非本機維護工作階段，並在非本機維護完成時終止此類連線。	mfa-enabled-for-iam-控制台訪問	透過確保對具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者啟用 MFA，以管理 AWS 雲端中資源的存取。MFA 在登入憑證之外多加了一層保護。要求使用者使用 MFA，您可以減少帳戶遭到入侵的事件，並防止未經授權的使用者存取敏感資料。
RA.L2-3.11.2	定期掃描組織系統和應用程式中的漏洞，並在找到影響這些系統和應用程式的新漏洞時進行掃描。	ec2-檢managedinstance-patch-compliance-status查	啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。該規則會根據組織政策和程序的要求，檢查 AWS Systems Manager 中的 Amazon EC2 執行個體是否符合修補程式合規性。
RA.L2-3.11.2	定期掃描組織系統和應用程式中的漏洞，並在找到影響這些系統和應用程式的新漏洞時進行掃描。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
RA.L2-3.11.2	定期掃描組織系統和應用程式中的漏洞，並在找到影響這些系統和應用程式的新漏洞時進行掃描。	guardduty-non-archived-findings	Amazon GuardDuty 透過將發現結果按嚴重性 (低、中和高) 分類，協助您瞭解事件的影響。您可以使用這些分類決定修復策略和優先順序。此規則可讓您根據 Config 織原則的 daysLowSev 要求， daysMediumSev 選擇性地為未存檔的發現項目設定 daysHighSev (組 Config 預設值：30)、(組態預設值：7) 及 (組態預設值：1)。
RA.L2-3.11.2	定期掃描組織系統和應用程式中的漏洞，並在找到影響這些系統和應用程式的新漏洞時進行掃描。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員，連接，設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub，Amazon Inspector，Amazon Macie， AWS Identity and Access Management (IAM) 訪問分析器， AWS Firewall Manager 器和 AWS 合作夥伴解決方案。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	alb-http-drop-invalid-頭啟用	確保 Elastic Load Balancer (ELB) 設定為捨棄 http 標頭。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	alb-http-to-https-重定向檢查	為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	alb-waf-enabled	確保在彈性負載平衡器 (ELB) 上啟用 AWS WAF，以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性，或耗用過多環境中的資源。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	api-gw-associated-with-waf	AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL))，以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 要求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯，以保護其免於遭受惡意攻擊
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	cloudwatch-alarm-action-check	當指標違反指定數量評估期間的閾值時，Amazon 會發出 CloudWatch 警示。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則需要 alarmActionRequired (Config 預設值：True)、 insufficientDataAction必要 (Config 預設值：True)、 okActionRequired (Config 預設值：False) 的值。實際值應反映您環境的警示動作。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	dms-replication-not-public	確保 DMS 複寫執行個體無法公開存取，以管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊，此類帳戶需要存取控制。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	ebs-snapshot-public-restorable-檢查	確保 EBS 快照不可公開還原，以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊，此類帳戶需要存取控制。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	elasticsearch-in-vpc-only	通過確保 Amazon OpenSearch 服務（服OpenSearch 務）域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 OpenSearch 服務網域可讓 Amazon VPC 內的 OpenSearch 服務與其他服務之間的安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	elasticsearch-node-to-node-加密檢查	確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	elb-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	elb-tls-https-listeners-只	確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選，協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量，有助於限制遠端存取。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	ec2-instances-in-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊，不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取權。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	internet-gateway-authorized-vpc-只	透過確保網際網路閘道僅連接到授權的 Amazon 虛擬私有雲端 (Amazon VPC)，以管理雲端資源的存取。 AWS 網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取，這可能導致未經授權存取 Amazon VPC 資源。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	lambda-function-public-access-禁止	確保 AWS Lambda 函數無法公開存取，以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	lambda-inside-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函數，以便在 Amazon VPC 內的函數與其他服務之間進行安全通訊。有了這項組態，就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。若要正確管理存取，應將 AWS Lambda 函數指派給 VPC。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	no-unrestricted-route-to-IGW	確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取，可減少環境中的意外存取。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	rds-instance-public-access-檢查	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	rds-snapshots-public-prohibited	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	redshift-cluster-public-access-檢查	透過確保 Amazon Redshift 叢集不是公開的，來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	redshift-require-tls-ssl	確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	restricted-common-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值：20、21、3389、3306、4333)。實際值應反映貴組織的政策。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	s3-塊週期account-level-public-access性	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值：True)、 blockPublicPolicy (組 Config 預設值：True)、 blockPublicAcls (組 Config 預設值：True) 和 restrictPublicBuckets 參數 (組 Config 預設值：True)。實際值應反映貴組織的政策。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	3-禁bucket-level-public-access止	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取，避免未經授權的遠端使用者存取敏感資料。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	S3-bucket-public-read-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	S3-bucket-public-write-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	S3-bucket-ssl-requests-only	為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	sagemaker-notebook-no-direct-互聯網接入	確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路，以管理 AWS 雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員，連接，設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub，Amazon Inspector，Amazon Macie， AWS Identity and Access Management (IAM) 訪問分析器， AWS Firewall Manager 器和 AWS 合作夥伴解決方案。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	ssm-document-not-public	請確定 AWS Systems Manager (SSM) 文件不是公開的，因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	vpc-default-security-group-關閉	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過對資源的輸入和輸出網路流量進行有狀態篩選，協助管理網路存取。 AWS 限制預設安全群組上的所有流量有助於限制對資源的遠端存 AWS 取。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	vpc-sg-open-only-to-authorized-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	opensearch-in-vpc-only	通過確保 Amazon OpenSearch 服務域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 Amazon OpenSearch 服務網域可讓 Amazon OpenSearch 服務與 Amazon VPC 內的其他服務之間進行安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
SC.L1-3.13.1	在資訊系統的外部邊界和關鍵內部邊界監控、控制及保護組織通訊 (即組織資訊系統傳輸或接收的資訊)。	opensearch-node-to-node-加密檢查	確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	account-part-of-organizations	在 Organ AWS izations AWS 帳戶內部集中管理有助於確保帳戶符合規定。缺乏集中式帳戶控管可能會導致帳戶組態不一致，這可能會公開資源和敏感資料。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	alb-waf-enabled	確保在彈性負載平衡器 (ELB) 上啟用 AWS WAF，以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性，或在環境中耗用過多資源。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	api-gw-associated-with-waf	AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL))，以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 要求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯，以保護其免於遭受惡意攻擊
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	autoscaling-launch-config-public-IP-禁用	如果您使用公有 IP 地址設定網路介面，則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取，因為這可能會導致意外存取應用程式或伺服器。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	backup-plan-min-frequency-and-min-retention-check	為協助進行資料 Backup 程序，請確定您的 AWS 備份計劃設定為最低頻率和保留頻率。 AWS Backup 是一種全受管備份服務，具有原則型備份解決方案。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。此規則允許您設置 requiredFrequencyValue （Config 默認值：1）， requiredRetentionDays （Config 默認值：35）和 requiredFrequencyUnit （Config 默認值：天）參數。實際值應反映貴組織的要求。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	cloudtrail-security-trail-enabled	此規則可檢查啟用多個設定 AWS CloudTrail，以協助確保使用 AWS 建議的安全性最佳作法。其中包括使用記錄加密、記錄驗證，以及 AWS CloudTrail 在多個區域中啟用。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	codebuild-project-envvar-awscred-檢查	請確定驗證認證 AW_ACCESS_KEY_ID 和 AWS_Secret_KEY 在程式碼建置專案環境中不存在。 AWS 請勿將這些變數儲存為純文字。以純文字格式儲存這些變數會導致非預期的資料暴露和未經授權的存取。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	codebuild-project-source-repo-網址檢查	確保 GitHub 或 Bitbucket 源存儲庫 URL 不包含個人訪問令牌， AWS Codebuild 項目環境中的登錄憑據。使用 OAuth 而不是個人訪問令牌或登錄憑據來授予訪問 GitHub 或 Bitbucket 存儲庫的授權。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	db-instance-backup-enabled	Amazon RDS 的備份功能可建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照，並備份整個資料庫執行個體。系統可讓您設定特定保留期，以符合您的恢復能力要求。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	dms-replication-not-public	確保 DMS 複寫執行個體無法公開存取，以管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊，此類帳戶需要存取控制。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	dynamodb-autoscaling-enabled	Amazon DynamoDB 自動擴展使用應用 Ap AWS plication Auto Scaling 服務調整佈建的輸送量容量，以自動回應實際流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量，不需限流即可處理突然增加的流量。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	dynamodb-in-backup-plan	為了協助進行資料 Backup 程序，請確保您的 Amazon DynamoDB 表是備份計劃的一 AWS 部分。 AWS Backup 是一種全受管備份服務，具有原則型備份解決方案。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	dynamodb-pitr-enabled	啟用此規則可檢查資訊是否已備份。它還可以透過確保在 Amazon DynamoDB 中啟用 point-in-time 復原功能來維護備份。復原會維護資料表在過去 35 天內的連續備份。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	ebs-in-backup-plan	為了協助進行資料 Backup 程序，請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS 備份計劃的一部分。 AWS Backup 是一種全受管備份服務，具有原則型備份解決方案。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	ebs-optimized-instance	Amazon Elastic Block Store (Amazon EBS) 中的最佳化執行個體可為 Amazon EBS I/O 作業提供額外的專用容量。此最佳化藉由將 Amazon EBS I/O 操作與執行個體中其他流量之間的爭用降至最低，為 EBS 磁碟區提供最有效率的效能。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	ebs-snapshot-public-restorable-檢查	確保 EBS 快照不可公開還原，以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊，此類帳戶需要存取控制。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	ec2-instance-no-public-ip	確保亞馬遜彈性運算 AWS 雲端 (Amazon EC2) 執行個體無法公開存取，以管理對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊，此類帳戶需要存取控制。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	efs-in-backup-plan	為了協助進行資料 Backup 程序，請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計劃的一部分。 AWS Backup 是一種全受管備份服務，具有原則型備份解決方案。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	elasticache-redis-cluster-automatic-備份檢查	啟用自動備份後，Amazon ElastiCache 會每天建立叢集的備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗，您可以建立新叢集，從最新的備份還原您的資料。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	elasticsearch-in-vpc-only	通過確保 Amazon OpenSearch 服務（服OpenSearch 務）域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 OpenSearch 服務網域可讓 Amazon VPC 內的 OpenSearch 服務與其他服務之間的安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	elb-cross-zone-load-平衡啟用	為 Elastic Load Balancer (ELB) 啟用跨區域負載平衡，以利維持足夠的容量和可用性。跨區域負載平衡可減少在每個啟用的可用區域中維護同等數量執行個體的需求。還可以改善應用程式處理一或多個執行個體遺失的能力。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	elb-deletion-protection-enabled	此規則可確保 Elastic Load Balancing 已啟用刪除保護。使用此功能可防止意外或惡意刪除負載平衡器，從而導致應用程式喪失可用性。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	emr-master-no-public-ip	透過確保 Amazon EMR 叢集主節點無法公開存取，以管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊，此類帳戶需要存取控制。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選，協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量，有助於限制遠端存取。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	ec2-instances-in-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊，不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	internet-gateway-authorized-vpc-只	透過確保網際網路閘道僅連接到授權的 Amazon 虛擬私有雲端 (Amazon VPC)，以管理雲端資源的存取。 AWS 網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取，這可能導致未經授權存取 Amazon VPC 資源。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	lambda-function-public-access-禁止	確保 AWS Lambda 函數無法公開存取，以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	lambda-inside-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函數，以便在 Amazon VPC 內的函數與其他服務之間進行安全通訊。有了這項組態，就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。若要正確管理存取，應將 AWS Lambda 函數指派給 VPC。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	no-unrestricted-route-to-IGW	確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取，可減少環境中的意外存取。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	rds-instance-deletion-protection啟用	確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用刪除保護。使用刪除保護可防止意外或惡意刪除 Amazon RDS 執行個體，從而導致應用程式喪失可用性。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	rds-instance-public-access-檢查	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	rds-in-backup-plan	為了協助進行資料 Backup 程序，請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是 AWS 備份計劃的一部分。 AWS Backup 是一種全受管備份服務，具有原則型備份解決方案。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) 中的多可用區域支援可為資料庫執行個體提供增強的可用性與持久性。佈建多可用區域資料庫執行個體時，Amazon RDS 會自動建立主要資料庫執行個體，並將資料同步複寫到不同可用區域中的待命執行個體。每個可用區域都在其本身不同的實體獨立基礎設施上執行，而且具備高度可靠的設計。如果基礎設施失敗，Amazon RDS 會執行自動容錯移轉到待命執行個體，以便您可以在容錯移轉完成後立即恢復資料庫操作。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	rds-snapshots-public-prohibited	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	redshift-backup-enabled	請確保 Amazon Redshift 叢集具有自動快照，以利處理資料備份。當叢集的自動快照已啟用時，Redshift 將定期為該叢集拍攝快照。根據預設，Redshift 會針對每個資料變更節點 (或以先到者為準) 每 8 小時或每 5 GB 擷取一次快照。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	redshift-cluster-public-access-檢查	透過確保 Amazon Redshift 叢集不是公開的，來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	restricted-common-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值：20、21、3389、3306、4333)。實際值應反映貴組織的政策。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	s3-塊週期account-level-public-access性	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值：True)、 blockPublicPolicy (組 Config 預設值：True)、 blockPublicAcls (組 Config 預設值：True) 和 restrictPublicBuckets 參數 (組 Config 預設值：True)。實際值應反映貴組織的政策。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	S3-bucket-default-lock-enabled	確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體預設已啟用鎖定。由於 S3 儲存貯體中可能存在靜態敏感資料，因此請強制執行靜態物件鎖定以協助保護該資料。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	3-禁bucket-level-public-access止	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取，避免未經授權的遠端使用者存取敏感資料。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	S3-bucket-public-read-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	S3-bucket-public-write-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	S3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動進行物件的非同步複製，以協助確保維護資料可用性。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	S3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	sagemaker-notebook-no-direct-互聯網接入	確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路，以管理 AWS 雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	ssm-document-not-public	請確定 AWS Systems Manager (SSM) 文件不是公開的，因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	subnet-auto-assign-public-IP-禁用	透過確保 Amazon 虛擬私有 AWS 雲端 (VPC) 子網路不會自動指派公用 IP 位址，以管理對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體，具有指派給其主要網路介面的公有 IP 地址。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	vpc-default-security-group-關閉	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過對資源的輸入和輸出網路流量進行有狀態篩選，協助管理網路存取。 AWS 限制預設安全群組上的所有流量有助於限制對資源的遠端存 AWS 取。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	vpc-sg-open-only-to-authorized-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	vpc-vpn-2-tunnels-up	您可以實作備援的站台對站台 VPN 通道以達到恢復能力要求。這會使用兩個通道來確保連線能力，以防其中一個站台對站台 VPN 連線無法使用。為免在無法使用客戶閘道時失去連線，您可以使用第二個客戶閘道設定 Amazon Virtual Private Cloud (Amazon VPC) 和虛擬私有閘道的第二個站台對站台 VPN 連線。
SC.L2-3.13.2	採用有助於組織系統內有效資訊安全的架構設計、軟體開發技術和系統工程原則。	opensearch-in-vpc-only	通過確保 Amazon OpenSearch 服務域位於 Amazon Virtual Private Cloud（Amazon VPC）中來管理對雲的訪問。 AWS Amazon VPC 中的 Amazon OpenSearch 服務網域可讓 Amazon OpenSearch 服務與 Amazon VPC 內的其他服務之間進行安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	dms-replication-not-public	確保 DMS 複寫執行個體無法公開存取，以管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊，此類帳戶需要存取控制。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	ebs-snapshot-public-restorable-檢查	確保 EBS 快照不可公開還原，以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊，此類帳戶需要存取控制。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選，協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量，有助於限制遠端存取。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	internet-gateway-authorized-vpc-只	透過確保網際網路閘道僅連接到授權的 Amazon 虛擬私有雲端 (Amazon VPC)，以管理雲端資源的存取。 AWS 網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取，這可能導致未經授權存取 Amazon VPC 資源。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	lambda-function-public-access-禁止	確保 AWS Lambda 函數無法公開存取，以管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	no-unrestricted-route-to-IGW	確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取，可減少環境中的意外存取。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	rds-instance-public-access-檢查	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	rds-snapshots-public-prohibited	透過確保 Amazon 關聯式資料庫服務 (Amazon RDS) 執行個體不是公開的，來管理 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	redshift-cluster-public-access-檢查	透過確保 Amazon Redshift 叢集不是公開的，來管理 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	restricted-common-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值：20、21、3389、3306、4333)。實際值應反映貴組織的政策。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	s3-塊週期account-level-public-access性	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值：True)、 blockPublicPolicy (組 Config 預設值：True)、 blockPublicAcls (組 Config 預設值：True) 和 restrictPublicBuckets 參數 (組 Config 預設值：True)。實際值應反映貴組織的政策。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	3-禁bucket-level-public-access止	透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取，以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取，避免未經授權的遠端使用者存取敏感資料。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	S3-bucket-public-read-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	S3-bucket-public-write-prohibited	只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	sagemaker-notebook-no-direct-互聯網接入	確保 Amazon SageMaker 筆記本電腦不允許直接存取網際網路，以管理 AWS 雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	ssm-document-not-public	請確定 AWS Systems Manager (SSM) 文件不是公開的，因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	vpc-default-security-group-關閉	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過對資源的輸入和輸出網路流量進行有狀態篩選，協助管理網路存取。 AWS 限制預設安全群組上的所有流量有助於限制對資源的遠端存 AWS 取。
SC.L2-3.13.4	防止從共享系統資源中傳輸未經授權和意外的信息。	vpc-sg-open-only-to-authorized-ports	透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制，以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。
SC.L2-3.13.8	實作密碼編譯機制，以防止在傳輸過程中未經授權洩漏 CUI (除非受替代實體防護措施保護)。	acm-certificate-expiration-check	確保 AWS ACM 頒發 X509 憑證，以確保網路完整性受到保護。這些憑證必須有效且未過期。此規則需要值 daysToExpiration (AWS 基礎安全性最佳作法值：90)。實際值應反映貴組織的政策。
SC.L2-3.13.8	實作密碼編譯機制，以防止在傳輸過程中未經授權洩漏 CUI (除非受替代實體防護措施保護)。	alb-http-drop-invalid-頭啟用	確保 Elastic Load Balancer (ELB) 設定為捨棄 http 標頭。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L2-3.13.8	實作密碼編譯機制，以防止在傳輸過程中未經授權洩漏 CUI (除非受替代實體防護措施保護)。	alb-http-to-https-重定向檢查	為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L2-3.13.8	實作密碼編譯機制，以防止在傳輸過程中未經授權洩漏 CUI (除非受替代實體防護措施保護)。	api-gw-ssl-enabled	確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定，以允許後端系統驗證來自 API Gateway 的請求。
SC.L2-3.13.8	實作密碼編譯機制，以防止在傳輸過程中未經授權洩漏 CUI (除非受替代實體防護措施保護)。	elasticsearch-node-to-node-加密檢查	確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L2-3.13.8	實作密碼編譯機制，以防止在傳輸過程中未經授權洩漏 CUI (除非受替代實體防護措施保護)。	易爾布 2-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
SC.L2-3.13.8	實作密碼編譯機制，以防止在傳輸過程中未經授權洩漏 CUI (除非受替代實體防護措施保護)。	elb-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
SC.L2-3.13.8	實作密碼編譯機制，以防止在傳輸過程中未經授權洩漏 CUI (除非受替代實體防護措施保護)。	elb-tls-https-listeners-只	確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L2-3.13.8	實作密碼編譯機制，以防止在傳輸過程中未經授權洩漏 CUI (除非受替代實體防護措施保護)。	redshift-require-tls-ssl	確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L2-3.13.8	實作密碼編譯機制，以防止在傳輸過程中未經授權洩漏 CUI (除非受替代實體防護措施保護)。	S3-bucket-ssl-requests-only	為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L2-3.13.8	實作密碼編譯機制，以防止在傳輸過程中未經授權洩漏 CUI (除非受替代實體防護措施保護)。	opensearch-node-to-node-加密檢查	確保已啟用 Amazon OpenSearch 服務的 node-to-node 加密。N ode-to-node 加密可為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L2-3.13.10	為組織系統中採用的密碼編譯技術建立和管理密碼編譯金鑰。	cmk-backing-key-rotation啟用	啟用金鑰輪換功能，以確保金鑰在金鑰到達加密期間結束後進行輪換。
SC.L2-3.13.10	為組織系統中採用的密碼編譯技術建立和管理密碼編譯金鑰。	kms-cmk-not-scheduled-換刪除	若要協助保護靜態資料，請確定金鑰管理服務 (AWS KMS) 中未排程刪除必要的客戶主金 AWS 鑰 (CMK)。因為刪除金鑰有時為必要，而這個規則可協助檢查所有排程要刪除的金鑰，以防無意中排程刪除金鑰。
SC.L2-3.13.15	保護通訊工作階段的真確性。	alb-http-to-https-重定向檢查	為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L2-3.13.15	保護通訊工作階段的真確性。	api-gw-ssl-enabled	確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定，以允許後端系統驗證來自 API Gateway 的請求。
SC.L2-3.13.15	保護通訊工作階段的真確性。	易爾布 2-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
SC.L2-3.13.15	保護通訊工作階段的真確性。	elb-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 Cer AWS tificate Manager 來管理、佈建和部署包含 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
SC.L2-3.13.15	保護通訊工作階段的真確性。	elb-tls-https-listeners-只	確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L2-3.13.15	保護通訊工作階段的真確性。	redshift-require-tls-ssl	確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	api-gw-cache-enabled和加密	為了協助保護靜態資料，請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料，因此請啟用靜態加密以協助保護該資料。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	cloudwatch-log-group-encrypted	為了協助保護靜態敏感資料，請確保已為 Amazon CloudWatch 日誌群組啟用加密。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	cloud-trail-encryption-enabled	由於敏感資料可能存在並協助保護靜態資料，因此請確保 AWS CloudTrail 追蹤已啟用加密功能。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	ec2-ebs-encryption-by-default	為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	efs-encrypted-check	由於可能存在敏感資料，因此為了保護靜態資料，請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	elasticsearch-encrypted-at-rest	由於敏感資料可以存在並協助保護靜態資料，因此請確保您的 Amazon OpenSearch 服務 (服OpenSearch 務) 網域已啟用加密。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	encrypted-volumes	由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	rds-snapshot-encrypted	確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	rds-storage-encrypted	為了協助保護靜態資料，請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	redshift-cluster-kms-enabled	為了協助保護靜態資料，請確保您的 Amazon Redshift 叢集已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於 Redshift 叢集中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	bucket-server-side-encryption啟用 S3-	為了協助保護靜態資料，請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用加密以協助保護該資料。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	S3-default-encryption-kms	確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	sagemaker-endpoint-configuration-kms-密鑰配置	為了協助保護靜態資料，請確保您的 SageMaker 端點已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 端點中，因此請啟用靜態加密以協助保護該資料。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	sagemaker-notebook-instance-kms-密鑰配置	為了協助保護靜態資料，請確定您的 SageMaker 筆記型電腦已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於機密資料可能存在於 SageMaker 筆記型電腦中，因此請啟用靜態加密以協助保護資料。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	sns-encrypted-kms	為了保護靜態資料，請確保您的 Amazon Simple Notification Service (Amazon SNS) 主題需要使用金 AWS 鑰管理服務 (AWS KMS) 進行加密。由於已發布訊息中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
SC.L2-3.13.16	保護靜態 CUI 的機密性。	opensearch-encrypted-at-rest	由於敏感資料可以存在並協助保護靜態資料，因此請確保您的 Amazon Ser OpenSearch vice 網域已啟用加密。
SI.L1-3.14.1	及時識別、報告及更正資訊與資訊系統瑕疵。	cloudwatch-alarm-action-check	當指標違反指定數量評估期間的閾值時，Amazon 會發出 CloudWatch 警示。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則需要 alarmActionRequired (Config 預設值：True)、 insufficientDataAction必要 (Config 預設值：True)、 okActionRequired (Config 預設值：False) 的值。實際值應反映您環境的警示動作。
SI.L1-3.14.1	及時識別、報告及更正資訊與資訊系統瑕疵。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
SI.L1-3.14.1	及時識別、報告及更正資訊與資訊系統瑕疵。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員，連接，設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub，Amazon Inspector，Amazon Macie， AWS Identity and Access Management (IAM) 訪問分析器， AWS Firewall Manager 器和 AWS 合作夥伴解決方案。
SI.L1-3.14.2	在組織資訊系統內的適當位置提供防範惡意程式碼的保護。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
SI.L1-3.14.5	定期掃描資訊系統，並在下載、開啟或執行外部來源的檔案時，即時掃描這些檔案。	ecr-private-image-scanning啟用	Amazon Elastic Container Repository (ECR) 映像掃描功能有助於識別容器映像中的軟體漏洞。在 ECR 儲存庫上啟用映像掃描功能，可為儲存影像的完整性和安全性新增一層驗證。
SI.L2-3.14.3	監控系統安全提醒和建議，並採取回應行動。	alb-waf-enabled	確保在彈性負載平衡器 (ELB) 上啟用 AWS WAF，以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性，或在環境中耗用過多資源。
SI.L2-3.14.3	監控系統安全提醒和建議，並採取回應行動。	api-gw-associated-with-waf	AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL))，以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 要求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯，以保護其免於遭受惡意攻擊
SI.L2-3.14.3	監控系統安全提醒和建議，並採取回應行動。	cloudwatch-alarm-action-check	當指標違反指定數量評估期間的閾值時，Amazon 會發出 CloudWatch 警示。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則需要 alarmActionRequired (Config 預設值：True)、 insufficientDataAction必要 (Config 預設值：True)、 okActionRequired (Config 預設值：False) 的值。實際值應反映您環境的警示動作。
SI.L2-3.14.3	監控系統安全提醒和建議，並採取回應行動。	cloud-trail-cloud-watch-日誌啟用	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶.
SI.L2-3.14.3	監控系統安全提醒和建議，並採取回應行動。	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助不可否認性。您可以識別使用者 AWS 帳戶以及呼叫 AWS 服務的使用者、產生呼叫的來源 IP 位址，以及呼叫的計時。捕獲的數據的詳細信息可以在 AWS CloudTrail 記錄內容中看到。
SI.L2-3.14.3	監控系統安全提醒和建議，並採取回應行動。	ec2-檢managedinstance-association-compliance-status查	使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態，並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態，以及環境的其他詳細資料的基準。
SI.L2-3.14.3	監控系統安全提醒和建議，並採取回應行動。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
SI.L2-3.14.3	監控系統安全提醒和建議，並採取回應行動。	multi-region-cloudtrail-enabled	AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址，以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域，則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時， CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
SI.L2-3.14.3	監控系統安全提醒和建議，並採取回應行動。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員，連接，設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub，Amazon Inspector，Amazon Macie， AWS Identity and Access Management (IAM) 訪問分析器， AWS Firewall Manager 器和 AWS 合作夥伴解決方案。
SI.L2-3.14.6	監控組織系統，包括輸入和輸出通訊流量，以偵測攻擊和潛在攻擊的指標。	alb-waf-enabled	確保在彈性負載平衡器 (ELB) 上啟用 AWS WAF，以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性，或在環境中耗用過多資源。
SI.L2-3.14.6	監控組織系統，包括輸入和輸出通訊流量，以偵測攻擊和潛在攻擊的指標。	api-gw-associated-with-waf	AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL))，以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 要求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯，以保護其免於遭受惡意攻擊
SI.L2-3.14.6	監控組織系統，包括輸入和輸出通訊流量，以偵測攻擊和潛在攻擊的指標。	cloud-trail-cloud-watch-日誌啟用	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶.
SI.L2-3.14.6	監控組織系統 (包括傳入和傳出通訊流量)，以偵測攻擊和潛在攻擊的指標。	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助不可否認性。您可以識別使用者 AWS 帳戶以及呼叫 AWS 服務的使用者、產生呼叫的來源 IP 位址，以及呼叫的計時。捕獲的數據的詳細信息可以在 AWS CloudTrail 記錄內容中看到。
SI.L2-3.14.6	監控組織系統，包括輸入和輸出通訊流量，以偵測攻擊和潛在攻擊的指標。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
SI.L2-3.14.6	監控組織系統，包括輸入和輸出通訊流量，以偵測攻擊和潛在攻擊的指標。	multi-region-cloudtrail-enabled	AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址，以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域，則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時， CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
SI.L2-3.14.6	監控組織系統 (包括傳入和傳出通訊流量)，以偵測攻擊和潛在攻擊的指標。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員，連接，設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub，Amazon Inspector，Amazon Macie， AWS Identity and Access Management (IAM) 訪問分析器， AWS Firewall Manager 器和 AWS 合作夥伴解決方案。
SI.L2-3.14.6	監控組織系統 (包括傳入和傳出通訊流量)，以偵測攻擊和潛在攻擊的指標。	wafv2-logging-enabled	若要協助您在環境中進行記錄和監控，請在地區和全球 Web ACL 上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄會提供 Web ACL 分析之流量的詳細資訊。記錄會記錄 AWS WAF 從您的 AWS 資源接收要求的時間、請求的相關資訊，以及每個要求相符之規則的動作。
SI.L2-3.14.7	識別未經授權使用組織系統的情況。	api-gw-execution-logging啟用	API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
SI.L2-3.14.7	識別未經授權使用組織系統的情況。	cloudtrail-s3-dataevents-enabled	收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資 AWS 帳戶訊包括存取 Amazon S3 儲存貯體的資訊、IP 地址和事件時間。
SI.L2-3.14.7	識別未經授權使用組織系統的情況。	cloud-trail-cloud-watch-日誌啟用	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶.
SI.L2-3.14.7	識別未經授權使用組織系統的情況。	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助不可否認性。您可以識別使用者 AWS 帳戶以及呼叫 AWS 服務的使用者、產生呼叫的來源 IP 位址，以及呼叫的計時。捕獲的數據的詳細信息可以在 AWS CloudTrail 記錄內容中看到。
SI.L2-3.14.7	識別未經授權使用組織系統的情況。	ec2-檢managedinstance-association-compliance-status查	使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態，並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態，以及環境的其他詳細資料的基準。
SI.L2-3.14.7	識別未經授權使用組織系統的情況。	elb-logging-enabled	Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
SI.L2-3.14.7	識別未經授權使用組織系統的情況。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表，用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
SI.L2-3.14.7	識別未經授權使用組織系統的情況。	multi-region-cloudtrail-enabled	AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址，以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域，則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時， CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
SI.L2-3.14.7	識別未經授權使用組織系統的情況。	rds-logging-enabled	若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
SI.L2-3.14.7	識別未經授權使用組織系統的情況。	S3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。
SI.L2-3.14.7	識別未經授權使用組織系統的情況。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員，連接，設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub，Amazon Inspector，Amazon Macie， AWS Identity and Access Management (IAM) 訪問分析器， AWS Firewall Manager 器和 AWS 合作夥伴解決方案。
SI.L2-3.14.7	識別未經授權使用組織系統的情況。	wafv2-logging-enabled	若要協助您在環境中進行記錄和監控，請在地區和全球 Web ACL 上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄會提供 Web ACL 分析之流量的詳細資訊。記錄會記錄 AWS WAF 從您的 AWS 資源接收要求的時間、請求的相關資訊，以及每個要求相符之規則的動作。

範本

該模板可在以下位置獲得 GitHub：CMMC 2.0 第 2 級的操作最佳實踐。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

CMMC 2.0 第 1 級的操作最佳實務

運算服務的操作最佳實務