NBC TRMG 的操作最佳實務

合規套件提供一般用途的合規架構，旨在讓您使用受管或自訂 AWS Config 規則和 AWS Config 修補動作來建立安全、營運或成本最佳化控管檢查。一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。

以下提供柬埔寨國家銀行 (NBC) 技術風險管理 (TRM) 指導方針架構和 AWS 受管 Config 規則之間的範例映射。每個 Config 規則都適用於特定 AWS 資源，並與一或多個 NBC TRM 準則相關。一個 NBC TRM 指導方針可以與多個 Config 規則相關。如需與這些映射相關的詳細資訊和指引，請參閱下方資料表。

此一致性套件範本範例包含柬埔寨國家銀行 (NBC) 技術風險管理 (TRM) 指導方針架構內控制的映射，可在 National Bank of Cambodia: Technology Risk Mangement Guidelines 存取。

控制 ID	控制描述	AWS 組態規則	指引
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	iam-root-access-key-check	檢查根使用者是否未將存取金鑰連接至其 AWS Identity and Access Management (IAM) 角色，即可控制系統和資產的存取。請確保已刪除根存取金鑰。反之，請建立和使用角色型 AWS 帳戶，以協助整合功能最少的原則。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	api-gw-execution-logging-enabled	API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	cloud-trail-cloud-watch-logs-enabled	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您內 API 呼叫活動的詳細資訊 AWS 帳戶。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫，協助進行不可否認。您可以識別使用者和 AWS 帳戶稱為 AWS 服務的、呼叫產生的來源 IP 地址，以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	cloudtrail-s3-dataevents-enabled	收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體、IP 地址和事件時間 AWS 帳戶的資訊。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	cloudwatch-alarm-action-check	當指標超過閾值達到指定的評估期間數，Amazon CloudWatch 警示會發出提醒。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則要求 alarmActionRequired (Config 預設值：True)、insufficientDataActionRequired (Config 預設值：True)、okActionRequired (Config 預設值：False) 皆有值。實際值應反映您環境的警示動作。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	elb-logging-enabled	Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單，用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	lambda-dlq-check	啟用此規則可在功能失敗時，透過 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SNS) 通知適當的人員。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	multi-region-cloudtrail-enabled	AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址，以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED，CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時，CloudTrail 會在新區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會彙總來自多個 AWS 服務的安全提醒或調查結果，並加以組織和排定優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer，以及 AWS Firewall Manager 和 AWS 合作夥伴解決方案。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	vpc-flow-logs-enabled	VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設，流程日誌記錄包含 IP 流程不同元件的值，包括來源、目標和通訊協定。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	cw-loggroup-retention-period-check	確保為日誌群組保留最短的事件日誌資料持續時間，以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料，就很難重建和識別潛在的惡意事件。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	rds-logging-enabled	若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	wafv2-logging-enabled	為了協助您在環境中記錄和監控，請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊，以及每個請求相符規則的動作。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	redshift-cluster-configuration-check	為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰，協助您取得存取許可和授權。如果識別出這些未使用的憑證，建議您停用和/或移除憑證，因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config 預設值：90)。實際值應反映貴組織的政策。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	account-part-of-organizations	AWS Organizations AWS 帳戶內的集中式管理有助於確保帳戶合規。缺乏集中式帳戶控管可能會導致帳戶組態不一致，這可能會公開資源和敏感資料。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合，限制政策在所有 AWS Key Management Service 金鑰上包含封鎖的動作。擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值： kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	iam-group-has-users-check	AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合，確保 IAM 群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	iam-inline-policy-blocked-kms-actions	確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策，以允許封鎖對所有 AWS Key Management Service 金鑰執行動作。 AWS 建議使用受管政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值： kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	iam-user-group-membership-check	AWS Identity and Access Management (IAM) 可協助您限制存取許可和授權，方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	ec2-instance-profile-attached	EC2 執行個體設定檔可將 IAM 角色傳遞給 EC2 執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	iam-policy-no-statements-with-full-access	確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	ecs-task-definition-user-for-host-mode-check	如果任務定義具有更高的權限，這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路，但客戶尚未選擇使用更高的權限時，此控制會檢查是否有意外的權限提升。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	elasticsearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.1.1(d)	d) 需要考慮的重要控制包括：- 套用和授權建立使用者 ID 和存取控制矩陣的系統化程序 - 進行風險評估並根據結果授予存取權限。- 實作角色型存取控制，旨在確保有效的職責分離 - 變更系統的預設使用者名稱和/或密碼，禁止共用一般帳戶的使用者 ID 和密碼 - 角色或職責一有變更時即修改存取權限，並在僱傭/合約終止時移除存取權限 - 及時通知有關使用者新增、刪除和角色變更之資訊安全功能的程序 - 定期調解系統中的使用者 ID 和必須具有存取權限的實際使用者，並刪除任何不必要的 ID (如果有的話) - 稽核、記錄和監控所有使用者對 IT 資產的存取，以及- 對於長期休假的關鍵應用程式使用者，考慮停用其使用者 ID	opensearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。OpenSearch Service 錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.1.1(f)	f) 基於責任目的，請確保可唯一識別使用者和 IT 資產，且其動作是可稽核的。	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫，協助進行不可否認。您可以識別使用者和 AWS 帳戶稱為 AWS 服務的、呼叫產生的來源 IP 地址，以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。
3.1.1(f)	f) 基於責任目的，請確保可唯一識別使用者和 IT 資產，且其動作是可稽核的。	multi-region-cloudtrail-enabled	AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址，以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED，CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時，CloudTrail 會在新區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
3.1.1(f)	f) 基於責任目的，請確保可唯一識別使用者和 IT 資產，且其動作是可稽核的。	opensearch-audit-logging-enabled	確保 Amazon OpenSearch Service 網域上已啟用稽核日誌記錄。稽核日誌記錄可讓您追蹤 OpenSearch 網域上的使用者活動，包括驗證成功與失敗、對 OpenSearch 的請求、索引變更以及傳入的搜尋查詢。
3.1.1(f)	f) 基於責任目的，請確保可唯一識別使用者和 IT 資產，且其動作是可稽核的。	redshift-audit-logging-enabled	若要擷取 Amazon Redshift 叢集上的連線和使用者活動相關資訊，請確保已啟用稽核日誌記錄。
3.1.1(f)	f) 基於責任目的，請確保可唯一識別使用者和 IT 資產，且其動作是可稽核的。	redshift-cluster-configuration-check	為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。
3.1.1(f)	f) 基於責任目的，請確保可唯一識別使用者和 IT 資產，且其動作是可稽核的。	elasticsearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.1.1(f)	f) 基於責任目的，請確保可唯一識別使用者和 IT 資產，且其動作是可稽核的。	opensearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。OpenSearch Service 錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	access-keys-rotated	透過確保 IAM 存取金鑰依照組織政策所指定輪換，對憑證進行授權裝置、使用者和程序的稽核。定期變更存取金鑰是安全最佳實務。這可縮短存取金鑰的作用中時間，並在金鑰洩漏時降低業務影響。此規則需要存取金鑰輪換值 (Config 預設值：90)。實際值應反映貴組織的政策。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	emr-kerberos-enabled	透過啟用適用於 Amazon EMR 叢集的 Kerberos，即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內，Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	iam-password-policy	身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 的基礎安全最佳實務標準中所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基本安全最佳實務值： true)、 RequireLowercaseCharacters (AWS 基礎安全最佳實務值： true)、 RequireSymbols AWS （基礎安全最佳實務值： true)、 RequireNumbers (AWS 基礎安全最佳實務值： true)、 MinimumPasswordLength AWS （基本安全最佳實務值： 14)、 PasswordReusePrevention AWS （基礎安全最佳實務值： 24)、和 MaxPasswordAge AWS （基礎安全最佳實務值： 90) 適用於您的 IAM 密碼政策。實際值應反映貴組織的政策。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合，限制政策在「資源」：「」上包含「效果」：「允許」與「動作」：「」。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	iam-root-access-key-check	檢查根使用者是否未將存取金鑰連接至其 AWS Identity and Access Management (IAM) 角色，即可控制系統和資產的存取。請確保已刪除根存取金鑰。反之，請建立和使用角色型 AWS 帳戶，以協助整合功能最少的原則。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	iam-user-mfa-enabled	啟用此規則以限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	iam-user-no-policies-check	此規則可確保 AWS Identity and Access Management (IAM) 政策僅連接到群組或角色，以控制對系統和資產的存取。在群組或角色層級指派權限，有助於降低某身分收到或保留過多權限的機會。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰，協助您取得存取許可和授權。如果識別出這些未使用的憑證，建議您停用和/或移除憑證，因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config 預設值：90)。實際值應反映貴組織的政策。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	mfa-enabled-for-iam-console-access	確保已啟用具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者 MFA，以管理對 AWS 雲端資源的存取。MFA 在登入憑證之外多加了一層保護。要求使用者使用 MFA，您可以減少帳戶遭到入侵的事件，並防止未經授權的使用者存取敏感資料。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	root-account-hardware-mfa-enabled	確保為根使用者啟用硬體 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	root-account-mfa-enabled	確保根使用者已啟用 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	iam-no-inline-policy-check	確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有控制系統和資產存取的內嵌政策。 AWS 建議使用受管政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	api-gw-execution-logging-enabled	API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	cloud-trail-cloud-watch-logs-enabled	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您內 API 呼叫活動的詳細資訊 AWS 帳戶。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫，協助進行不可否認。您可以識別使用者和 AWS 帳戶稱為 AWS 服務的、呼叫產生的來源 IP 地址，以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	cloudtrail-s3-dataevents-enabled	收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體、IP 地址和事件時間 AWS 帳戶的資訊。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	elb-logging-enabled	Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	multi-region-cloudtrail-enabled	AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址，以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED，CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時，CloudTrail 會在新區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	vpc-flow-logs-enabled	VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設，流程日誌記錄包含 IP 流程不同元件的值，包括來源、目標和通訊協定。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	cw-loggroup-retention-period-check	確保為日誌群組保留最短的事件日誌資料持續時間，以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料，就很難重建和識別潛在的惡意事件。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	rds-logging-enabled	若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	wafv2-logging-enabled	為了協助您在環境中記錄和監控，請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊，以及每個請求相符規則的動作。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	redshift-cluster-configuration-check	為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	account-part-of-organizations	AWS Organizations AWS 帳戶內的集中式管理有助於確保帳戶合規。缺乏集中式帳戶控管可能會導致帳戶組態不一致，這可能會公開資源和敏感資料。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合，限制政策在所有 AWS Key Management Service 金鑰上包含封鎖的動作。擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值： kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	iam-group-has-users-check	AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合，確保 IAM 群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	iam-inline-policy-blocked-kms-actions	確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策，以允許封鎖對所有 AWS Key Management Service 金鑰執行動作。 AWS 建議使用受管政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值： kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	iam-user-group-membership-check	AWS Identity and Access Management (IAM) 可協助您限制存取許可和授權，方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	ec2-instance-profile-attached	EC2 執行個體設定檔可將 IAM 角色傳遞給 EC2 執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	iam-policy-no-statements-with-full-access	確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	ecs-task-definition-user-for-host-mode-check	如果任務定義具有更高的權限，這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路，但客戶尚未選擇使用更高的權限時，此控制會檢查是否有意外的權限提升。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	elasticsearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	opensearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。OpenSearch Service 錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	rds-snapshot-encrypted	確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	rds-storage-encrypted	為了協助保護靜態資料，請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	ec2-ebs-encryption-by-default	為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
3.1.1(h)	h) 系統管理員、資安管理人員、程式設計人員以及執行關鍵操作的人員由於其工作職能和特殊權限存取，無可避免地可能會對其所維護或操作的金融系統造成嚴重損害。請務必密切監督具有較高系統存取權限的人員，並記錄其所有系統活動，因為這些人員擁有內部知識和資源，可規避系統控制和安全程序。需要考慮以下列舉的一些控制和安全實務：- 為特殊權限使用者實作雙重要素身分驗證 - 對特殊權限使用者的遠端存取實作強大的控管 - 限制特殊權限使用者的人數 - 基於「必須擁有」或「必須執行」來授予特殊權限存取 - 維護特殊權限使用者所執行系統活動的稽核日誌記錄 - 確保特殊權限使用者無法存取擷取其活動的系統日誌 - 對日誌進行定期稽核或管理檢閱 - 禁止共用特殊權限 ID 及其存取代碼 - 禁止供應商和承包商在沒有密切監督和監控的情況下獲得系統的特殊權限存取，以及 - 保護備份資料免於未經授權的存取	efs-encrypted-check	由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。
3.1.2(a)	a) BFI 應在其 IT 基礎設施的關鍵接合點安裝網路安全裝置 (例如防火牆、防毒/反惡意軟體以及入侵偵測和防護系統)，以保護網路周邊。	alb-waf-enabled	確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF，以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性，或在環境中耗用過多資源。
3.1.2(a)	a) BFI 應在其 IT 基礎設施的關鍵接合點安裝網路安全裝置 (例如防火牆、防毒/反惡意軟體以及入侵偵測和防護系統)，以保護網路周邊。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單，用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。
3.1.2(a)	a) BFI 應在其 IT 基礎設施的關鍵接合點安裝網路安全裝置 (例如防火牆、防毒/反惡意軟體以及入侵偵測和防護系統)，以保護網路周邊。	api-gw-associated-with-waf	AWS WAF 可讓您設定一組規則（稱為 Web 存取控制清單 (Web ACL))，以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯，以保護其免於遭受惡意攻擊
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	acm-certificate-expiration-check	透過確保 ACM AWS 發行 X509 憑證，確保網路完整性受到保護。這些憑證必須有效且未過期。此規則需要 daysToExpiration 的值 (AWS 基本安全最佳實務值：90)。實際值應反映貴組織的政策。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	alb-http-to-https-redirection-check	為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	elb-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	redshift-require-tls-ssl	確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	s3-bucket-ssl-requests-only	為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	alb-http-drop-invalid-header-enabled	確保 Elastic Load Balancer (ELB) 設定為捨棄 http 標頭。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	elasticsearch-node-to-node-encryption-check	確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	opensearch-node-to-node-encryption-check	確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	elb-tls-https-listeners-only	確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	api-gw-execution-logging-enabled	API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	cloud-trail-cloud-watch-logs-enabled	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您內 API 呼叫活動的詳細資訊 AWS 帳戶。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫，協助進行不可否認。您可以識別使用者和 AWS 帳戶稱為 AWS 服務的、呼叫產生的來源 IP 地址，以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	cloudtrail-s3-dataevents-enabled	收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體、IP 地址和事件時間 AWS 帳戶的資訊。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	cloudwatch-alarm-action-check	當指標超過閾值達到指定的評估期間數，Amazon CloudWatch 警示會發出提醒。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則要求 alarmActionRequired (Config 預設值：True)、insufficientDataActionRequired (Config 預設值：True)、okActionRequired (Config 預設值：False) 皆有值。實際值應反映您環境的警示動作。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	elb-logging-enabled	Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單，用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	lambda-dlq-check	啟用此規則可在功能失敗時，透過 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SNS) 通知適當的人員。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	multi-region-cloudtrail-enabled	AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址，以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED，CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時，CloudTrail 會在新區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會彙總來自多個 AWS 服務的安全提醒或調查結果，並加以組織和排定優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer，以及 AWS Firewall Manager 和 AWS 合作夥伴解決方案。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	rds-logging-enabled	若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	wafv2-logging-enabled	為了協助您在環境中記錄和監控，請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊，以及每個請求相符規則的動作。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	redshift-cluster-configuration-check	為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	dms-replication-not-public	確保 DMS 複寫執行個體無法公開存取，藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊，此類帳戶需要存取控制。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	ebs-snapshot-public-restorable-check	確保 EBS 快照不可公開還原，藉此管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊，此類帳戶需要存取控制。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	ec2-instance-no-public-ip	確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，藉此管理 AWS 對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊，此類帳戶需要存取控制。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	elasticsearch-in-vpc-only	確保 Amazon OpenSearch Service (OpenSearch Service) 網域位於 Amazon Virtual Private Cloud (Amazon VPC) 內， AWS 以管理對雲端的存取。Amazon VPC 內的 OpenSearch Service 網域可在 Amazon VPC 內的 OpenSearch Service 與其他服務之間進行安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	opensearch-in-vpc-only	確保 Amazon OpenSearch Service 網域位於 Amazon Virtual Private AWS Cloud (Amazon VPC) 內，以管理對雲端的存取。 Amazon Virtual Private Cloud Amazon VPC 內的 Amazon OpenSearch Service 網域可在 Amazon VPC 內的 Amazon OpenSearch Service 與其他服務之間進行安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	emr-master-no-public-ip	確保 Amazon EMR 叢集主節點無法公開存取，藉此管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊，此類帳戶需要存取控制。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量的狀態篩選來協助管理網路存取 AWS 。不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量，有助於限制遠端存取。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	ec2-instances-in-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊，不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端內。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	internet-gateway-authorized-vpc-only	確保網際網路閘道僅連接至授權的 Amazon Virtual Private Cloud (Amazon VPC)，以管理 AWS 對雲端資源的存取。網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取，這可能導致未經授權存取 Amazon VPC 資源。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	lambda-function-public-access-prohibited	確保 AWS Lambda 函數無法公開存取，藉此管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	lambda-inside-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 AWS Lambda 函數，以在 Amazon VPC 內的函數和其他服務之間進行安全通訊。有了這項組態，就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端中。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。若要正確管理存取，應將 AWS Lambda 函數指派給 VPC。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	rds-instance-public-access-check	確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開，藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	rds-snapshots-public-prohibited	確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開，藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	redshift-cluster-public-access-check	確保 Amazon Redshift 叢集不公開，以管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	restricted-common-ports	透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制，來管理對 AWS 雲端資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值：20、21、3389、3306、4333)。實際值應反映貴組織的政策。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	s3-bucket-public-read-prohibited	僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	s3-bucket-public-write-prohibited	僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	sagemaker-notebook-no-direct-internet-access	確保 Amazon SageMaker 筆記本不允許直接網際網路存取，藉此管理 AWS 對雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量至 AWS 資源的狀態篩選，協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	vpc-sg-open-only-to-authorized-ports	透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制，來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	no-unrestricted-route-to-igw	確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取，可減少環境中的意外存取。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	subnet-auto-assign-public-ip-disabled	確保不會自動指派公有 IP 地址給 Amazon Virtual Private Cloud (VPC) 子網路，藉此管理 AWS 對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體，具有指派給其主要網路介面的公有 IP 地址。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	autoscaling-launch-config-public-ip-disabled	如果您使用公有 IP 地址設定網路介面，則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取，因為這可能會導致意外存取應用程式或伺服器。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	redshift-enhanced-vpc-routing-enabled	增強型 VPC 路由會強制叢集與資料儲存庫之間所有的 COPY 與 UNLOAD 流量通過 Amazon VPC。然後，您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。您也可以使用 VPC 流程日誌來監控網路流量。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	api-gw-ssl-enabled	確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定，以允許後端系統驗證來自 API Gateway 的請求。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	elbv2-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	elasticsearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	opensearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。OpenSearch Service 錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	s3-account-level-public-access-blocks-periodic	確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，藉此管理對 AWS 雲端資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選用設定 ignorePublicAcls (Config 預設值：True)、blockPublicPolicy (Config 預設值：True)、blockPublicAcls (Config 預設值：True) 以及 restrictPublicBuckets 參數 (Config 預設值：True)。實際值應反映貴組織的政策。
3.1.2(c)	c) 應實作控制，以確保網路中的資訊安全，並保護連線服務免於未經授權的存取。具體來說，應考慮以下事項：- 應建立網路設備管理的責任和程序 - 在適當情況下，網路的操作責任應與電腦操作分離 - 應建立特殊控制，以保護透過公有網路或無線網路傳遞之資料的機密性和完整性，並保護連線系統和應用程式 (包括連線至不受信任之系統/網路時的網路加密通訊協定)。- 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作 - 管理活動應緊密協調，以優化提供給組織的服務，並確保將控制一致地應用於整個資訊處理基礎設施 - 網路上的系統應經過驗證，以及 - 應限制不受信任的系統連線至網路	ssm-document-not-public	確保 AWS Systems Manager (SSM) 文件不公開，因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。
3.1.2(e)	e) 網路服務的範圍可以從簡單的未受管頻寬到複雜的服務 (例如 VPN、Voice over IP、VSAT 等)。網路服務的安全功能應包括：- 應用於網路服務安全的技術，例如驗證、加密和網路連線控制 - 與網路服務進行安全連線所需的技術參數，以符合安全和網路連線規則 - 網路服務使用程序，以在必要時限制對網路服務或應用程式的存取	acm-certificate-expiration-check	透過確保 ACM AWS 發行 X509 憑證，確保網路完整性受到保護。這些憑證必須有效且未過期。此規則需要 daysToExpiration 的值 (AWS 基本安全最佳實務值：90)。實際值應反映貴組織的政策。
3.1.2(e)	e) 網路服務的範圍可以從簡單的未受管頻寬到複雜的服務 (例如 VPN、Voice over IP、VSAT 等)。網路服務的安全功能應包括：- 應用於網路服務安全的技術，例如驗證、加密和網路連線控制 - 與網路服務進行安全連線所需的技術參數，以符合安全和網路連線規則 - 網路服務使用程序，以在必要時限制對網路服務或應用程式的存取	alb-http-to-https-redirection-check	為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(e)	e) 網路服務的範圍可以從簡單的未受管頻寬到複雜的服務 (例如 VPN、Voice over IP、VSAT 等)。網路服務的安全功能應包括：- 應用於網路服務安全的技術，例如驗證、加密和網路連線控制 - 與網路服務進行安全連線所需的技術參數，以符合安全和網路連線規則 - 網路服務使用程序，以在必要時限制對網路服務或應用程式的存取	elb-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
3.1.2(e)	e) 網路服務的範圍可以從簡單的未受管頻寬到複雜的服務 (例如 VPN、Voice over IP、VSAT 等)。網路服務的安全功能應包括：- 應用於網路服務安全的技術，例如驗證、加密和網路連線控制 - 與網路服務進行安全連線所需的技術參數，以符合安全和網路連線規則 - 網路服務使用程序，以在必要時限制對網路服務或應用程式的存取	redshift-require-tls-ssl	確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(e)	e) 網路服務的範圍可以從簡單的未受管頻寬到複雜的服務 (例如 VPN、Voice over IP、VSAT 等)。網路服務的安全功能應包括：- 應用於網路服務安全的技術，例如驗證、加密和網路連線控制 - 與網路服務進行安全連線所需的技術參數，以符合安全和網路連線規則 - 網路服務使用程序，以在必要時限制對網路服務或應用程式的存取	s3-bucket-ssl-requests-only	為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(e)	e) 網路服務的範圍可以從簡單的未受管頻寬到複雜的服務 (例如 VPN、Voice over IP、VSAT 等)。網路服務的安全功能應包括：- 應用於網路服務安全的技術，例如驗證、加密和網路連線控制 - 與網路服務進行安全連線所需的技術參數，以符合安全和網路連線規則 - 網路服務使用程序，以在必要時限制對網路服務或應用程式的存取	alb-http-drop-invalid-header-enabled	確保 Elastic Load Balancer (ELB) 設定為捨棄 http 標頭。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(e)	e) 網路服務的範圍可以從簡單的未受管頻寬到複雜的服務 (例如 VPN、Voice over IP、VSAT 等)。網路服務的安全功能應包括：- 應用於網路服務安全的技術，例如驗證、加密和網路連線控制 - 與網路服務進行安全連線所需的技術參數，以符合安全和網路連線規則 - 網路服務使用程序，以在必要時限制對網路服務或應用程式的存取	elasticsearch-node-to-node-encryption-check	確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(e)	e) 網路服務的範圍可以從簡單的未受管頻寬到複雜的服務 (例如 VPN、Voice over IP、VSAT 等)。網路服務的安全功能應包括：- 應用於網路服務安全的技術，例如驗證、加密和網路連線控制 - 與網路服務進行安全連線所需的技術參數，以符合安全和網路連線規則 - 網路服務使用程序，以在必要時限制對網路服務或應用程式的存取	opensearch-node-to-node-encryption-check	確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(e)	e) 網路服務的範圍可以從簡單的未受管頻寬到複雜的服務 (例如 VPN、Voice over IP、VSAT 等)。網路服務的安全功能應包括：- 應用於網路服務安全的技術，例如驗證、加密和網路連線控制 - 與網路服務進行安全連線所需的技術參數，以符合安全和網路連線規則 - 網路服務使用程序，以在必要時限制對網路服務或應用程式的存取	elb-tls-https-listeners-only	確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.2(e)	e) 網路服務的範圍可以從簡單的未受管頻寬到複雜的服務 (例如 VPN、Voice over IP、VSAT 等)。網路服務的安全功能應包括：- 應用於網路服務安全的技術，例如驗證、加密和網路連線控制 - 與網路服務進行安全連線所需的技術參數，以符合安全和網路連線規則 - 網路服務使用程序，以在必要時限制對網路服務或應用程式的存取	api-gw-ssl-enabled	確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定，以允許後端系統驗證來自 API Gateway 的請求。
3.1.2(e)	e) 網路服務的範圍可以從簡單的未受管頻寬到複雜的服務 (例如 VPN、Voice over IP、VSAT 等)。網路服務的安全功能應包括：- 應用於網路服務安全的技術，例如驗證、加密和網路連線控制 - 與網路服務進行安全連線所需的技術參數，以符合安全和網路連線規則 - 網路服務使用程序，以在必要時限制對網路服務或應用程式的存取	elbv2-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
3.1.3(e)	e) 使用加密功能保護遠端存取裝置與機構之間的通訊管道，以限制與網路詐騙有關的風險。	acm-certificate-expiration-check	透過確保 ACM AWS 發行 X509 憑證，確保網路完整性受到保護。這些憑證必須有效且未過期。此規則需要 daysToExpiration 的值 (AWS 基本安全最佳實務值：90)。實際值應反映貴組織的政策。
3.1.3(e)	e) 使用加密功能保護遠端存取裝置與機構之間的通訊管道，以限制與網路詐騙有關的風險。	alb-http-to-https-redirection-check	為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.3(e)	e) 使用加密功能保護遠端存取裝置與機構之間的通訊管道，以限制與網路詐騙有關的風險。	elb-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
3.1.3(e)	e) 使用加密功能保護遠端存取裝置與機構之間的通訊管道，以限制與網路詐騙有關的風險。	redshift-require-tls-ssl	確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.3(e)	e) 使用加密功能保護遠端存取裝置與機構之間的通訊管道，以限制與網路詐騙有關的風險。	s3-bucket-ssl-requests-only	為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.3(e)	e) 使用加密功能保護遠端存取裝置與機構之間的通訊管道，以限制與網路詐騙有關的風險。	alb-http-drop-invalid-header-enabled	確保 Elastic Load Balancer (ELB) 設定為捨棄 http 標頭。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.3(e)	e) 使用加密功能保護遠端存取裝置與機構之間的通訊管道，以限制與網路詐騙有關的風險。	elasticsearch-node-to-node-encryption-check	確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.3(e)	e) 使用加密功能保護遠端存取裝置與機構之間的通訊管道，以限制與網路詐騙有關的風險。	opensearch-node-to-node-encryption-check	確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.3(e)	e) 使用加密功能保護遠端存取裝置與機構之間的通訊管道，以限制與網路詐騙有關的風險。	elb-tls-https-listeners-only	確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.1.3(e)	e) 使用加密功能保護遠端存取裝置與機構之間的通訊管道，以限制與網路詐騙有關的風險。	api-gw-ssl-enabled	確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定，以允許後端系統驗證來自 API Gateway 的請求。
3.1.3(e)	e) 使用加密功能保護遠端存取裝置與機構之間的通訊管道，以限制與網路詐騙有關的風險。	elbv2-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	api-gw-execution-logging-enabled	API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	cloud-trail-cloud-watch-logs-enabled	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您內 API 呼叫活動的詳細資訊 AWS 帳戶。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫，協助進行不可否認。您可以識別使用者和 AWS 帳戶稱為 AWS 服務的、呼叫產生的來源 IP 地址，以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	cloudtrail-s3-dataevents-enabled	收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體、IP 地址和事件時間 AWS 帳戶的資訊。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	elb-logging-enabled	Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	multi-region-cloudtrail-enabled	AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址，以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED，CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時，CloudTrail 會在新區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	vpc-flow-logs-enabled	VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設，流程日誌記錄包含 IP 流程不同元件的值，包括來源、目標和通訊協定。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	cw-loggroup-retention-period-check	確保為日誌群組保留最短的事件日誌資料持續時間，以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料，就很難重建和識別潛在的惡意事件。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	rds-logging-enabled	若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	wafv2-logging-enabled	為了協助您在環境中記錄和監控，請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊，以及每個請求相符規則的動作。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	redshift-cluster-configuration-check	為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	elasticsearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.1.3(g)	g) 維護遠端存取通訊的日誌。日誌應包含日期、時間、使用者、使用者位置、持續時間，以及所有遠端存取的目的，包括透過遠端存取進行的所有活動	opensearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。OpenSearch Service 錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.1.3(i)	i)強制執行遠端存取的雙重驗證程序（例如，具有一次性隨機密碼產生器的 PIN 型字符卡，或字符型 PKI)	iam-user-mfa-enabled	啟用此規則以限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。
3.1.3(i)	i)強制執行遠端存取的雙重驗證程序（例如，具有一次性隨機密碼產生器的 PIN 型字符卡，或字符型 PKI)	mfa-enabled-for-iam-console-access	確保已啟用具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者 MFA，以管理對 AWS 雲端資源的存取。MFA 在登入憑證之外多加了一層保護。要求使用者使用 MFA，您可以減少帳戶遭到入侵的事件，並防止未經授權的使用者存取敏感資料。
3.1.3(i)	i)強制執行遠端存取的雙重驗證程序（例如，具有一次性隨機密碼產生器的 PIN 型字符卡，或字符型 PKI)	root-account-hardware-mfa-enabled	確保為根使用者啟用硬體 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。
3.1.3(i)	i)強制執行遠端存取的雙重驗證程序（例如，具有一次性隨機密碼產生器的 PIN 型字符卡，或字符型 PKI)	root-account-mfa-enabled	確保根使用者已啟用 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。
3.1.4(c)(e)	c) 修補程式管理程序應包含以下層面： - 判斷取得和驗證修補程式的方法，以確保修補程式來自授權來源 - 識別適用於組織使用之應用程式和系統的漏洞 - 評估實作修補程式（或未實作特定修補程式）的業務影響 - 確保修補程式已經過測試 - 描述部署修補程式的方法、例如，自動 - 報告整個組織的修補程式部署狀態，以及 - 包括處理修補程式部署失敗的方法（例如，重新部署修補程式）。e) BFIs 應該針對所有可用且安全的系統部署自動化修補程式管理工具和軟體更新工具	ec2-instance-managed-by-systems-manager	透過 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，可以清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 提供詳細的系統組態、作業系統修補程式層級、服務名稱和類型、軟體安裝、應用程式名稱、發佈者和版本，以及有關您環境的其他詳細資訊。
3.1.4(c)(e)	c) 修補程式管理程序應包含以下層面： - 判斷取得和驗證修補程式的方法，以確保修補程式來自授權來源 - 識別適用於組織使用之應用程式和系統的漏洞 - 評估實作修補程式（或未實作特定修補程式）的業務影響 - 確保修補程式已經過測試 - 描述部署修補程式的方法、例如，自動 - 報告整個組織的修補程式部署狀態，以及 - 包括處理修補程式部署失敗的方法（例如，重新部署修補程式）。e) BFIs 應該針對所有可用且安全的系統部署自動化修補程式管理工具和軟體更新工具	ec2-managedinstance-association-compliance-status-check	使用 AWS Systems Manager Associations 協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會將組態狀態指派給受管執行個體，並可讓您設定作業系統修補程式層級、軟體安裝、應用程式組態的基準，以及環境的其他詳細資訊。
3.1.4(c)(e)	c) 修補程式管理程序應包含以下層面： - 判斷取得和驗證修補程式的方法，以確保修補程式來自授權來源 - 識別適用於組織使用之應用程式和系統的漏洞 - 評估實作修補程式（或未實作特定修補程式）的業務影響 - 確保修補程式已經過測試 - 描述部署修補程式的方法、例如，自動 - 報告整個組織的修補程式部署狀態，以及 - 包括處理修補程式部署失敗的方法（例如，重新部署修補程式）。e) BFIs 應該針對所有可用且安全的系統部署自動化修補程式管理工具和軟體更新工具	ec2-managedinstance-patch-compliance-status-check	啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此規則會檢查 AWS Systems Manager 中是否有您組織的政策和程序要求的 Amazon EC2 執行個體修補程式合規。
3.1.4(c)(e)	c) 修補程式管理程序應包含以下層面： - 判斷取得和驗證修補程式的方法，以確保修補程式來自授權來源 - 識別適用於組織使用之應用程式和系統的漏洞 - 評估實作修補程式（或未實作特定修補程式）的業務影響 - 確保修補程式已經過測試 - 描述部署修補程式的方法、例如，自動 - 報告整個組織的修補程式部署狀態，以及 - 包括處理修補程式部署失敗的方法（例如，重新部署修補程式）。e) BFIs 應該針對所有可用且安全的系統部署自動化修補程式管理工具和軟體更新工具	redshift-cluster-maintenancesettings-check	此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言，即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。並可讓您選擇是否設定 preferredMaintenanceWindow (預設值為 sat:16:00-sat:16:30) 和 automatedSnapshotRetentionPeriod (預設值為 1)。實際值應反映貴組織的政策。
3.1.4(c)(e)	c) 修補程式管理程序應包含以下層面： - 判斷取得和驗證修補程式的方法，以確保修補程式來自授權來源 - 識別適用於組織使用之應用程式和系統的漏洞 - 評估實作修補程式（或未實作特定修補程式）的業務影響 - 確保修補程式已經過測試 - 描述部署修補程式的方法、例如，自動 - 報告整個組織的修補程式部署狀態，以及 - 包括處理修補程式部署失敗的方法（例如，重新部署修補程式）。e) BFIs 應該針對所有可用且安全的系統部署自動化修補程式管理工具和軟體更新工具	elastic-beanstalk-managed-updates-enabled	針對 Amazon Elastic Beanstalk 環境啟用受管平台更新，可確保已安裝適用於環境的最新可用平台修正、更新和功能。安裝最新的修補程式是保護系統安全的最佳實務。
3.1.4(c)(e)	c) 修補程式管理程序應包含以下層面： - 判斷取得和驗證修補程式的方法，以確保修補程式來自授權來源 - 識別適用於組織使用之應用程式和系統的漏洞 - 評估實作修補程式（或未實作特定修補程式）的業務影響 - 確保修補程式已經過測試 - 描述部署修補程式的方法、例如，自動 - 報告整個組織的修補程式部署狀態，以及 - 包括處理修補程式部署失敗的方法（例如，重新部署修補程式）。e) BFIs 應該針對所有可用且安全的系統部署自動化修補程式管理工具和軟體更新工具	rds-automatic-minor-version-upgrade-enabled	在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級，以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新，其中可能包括安全修補程式和錯誤修正。
3.1.5(d)(e)	d) 適當的金鑰管理需要產生、儲存、封存、擷取、分發、淘汰和銷毀密碼編譯金鑰的安全程序 e) 所有密碼編譯金鑰都應受到保護，以免遭到修改和遺失。此外，密碼和私有金鑰需要保護，以防止未經授權的使用及洩漏。用於產生、儲存和封存金鑰的設備應受到實體保護	kms-cmk-not-scheduled-for-deletion	為了協助保護靜態資料，請確保必要的客戶主金鑰 CMKs) 未排定在 AWS 金鑰管理服務 (AWS KMS) 中刪除。因為刪除金鑰有時為必要，而這個規則可協助檢查所有排程要刪除的金鑰，以防無意中排程刪除金鑰。
3.1.5(d)(e)	d) 適當的金鑰管理需要產生、儲存、封存、擷取、分發、淘汰和銷毀密碼編譯金鑰的安全程序 e) 所有密碼編譯金鑰都應受到保護，以免遭到修改和遺失。此外，密碼和私有金鑰需要保護，以防止未經授權的使用及洩漏。用於產生、儲存和封存金鑰的設備應受到實體保護	cmk-backing-key-rotation-enabled	啟用金鑰輪換，以確保金鑰在加密期間結束後輪換。
3.1.5(d)(e)	d) 適當的金鑰管理需要產生、儲存、封存、擷取、分發、淘汰和銷毀密碼編譯金鑰的安全程序 e) 所有密碼編譯金鑰都應受到保護，以免遭到修改和遺失。此外，密碼和私有金鑰需要保護，以防止未經授權的使用及洩漏。用於產生、儲存和封存金鑰的設備應受到實體保護	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合，限制政策在所有 AWS Key Management Service 金鑰上包含封鎖的動作。擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值： kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策
3.1.5(d)(e)	d) 適當的金鑰管理需要產生、儲存、封存、擷取、分發、淘汰和銷毀密碼編譯金鑰的安全程序 e) 所有密碼編譯金鑰都應受到保護，以免遭到修改和遺失。此外，密碼和私有金鑰需要保護，以防止未經授權的使用及洩漏。用於產生、儲存和封存金鑰的設備應受到實體保護	iam-inline-policy-blocked-kms-actions	確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策，以允許封鎖對所有 AWS Key Management Service 金鑰執行動作。 AWS 建議使用受管政策，而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值： kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策。
3.1.5(f)	f) 金鑰管理系統應以一組商定的標準為基礎，程序與安全方法： - 為不同的密碼編譯系統和應用程式產生金鑰 - 發行和取得公有金鑰憑證 - 將金鑰分發給預期的實體、包括收到金鑰時應如何啟用 - 儲存金鑰、包括授權使用者如何取得金鑰的存取權 - 變更或更新金鑰，包括應變更金鑰的時機和執行方式的規則 - 處理遭入侵的金鑰 - 撤銷金鑰，包括應如何撤銷或停用金鑰，例如，當金鑰遭到入侵或使用者離開組織時（在這種情況下，也應封存金鑰） - 復原遺失或損毀的金鑰 - 備份或封存金鑰 - 銷毀金鑰、和 - 金鑰管理相關活動的記錄和稽核。	kms-cmk-not-scheduled-for-deletion	為了協助保護靜態資料，請確保必要的客戶主金鑰 CMKs) 未排定在 AWS 金鑰管理服務 (AWS KMS) 中刪除。因為刪除金鑰有時為必要，而這個規則可協助檢查所有排程要刪除的金鑰，以防無意中排程刪除金鑰。
3.1.5(f)	f) 金鑰管理系統應以一組商定的標準為基礎，程序與安全方法： - 為不同的密碼編譯系統和應用程式產生金鑰 - 發行和取得公有金鑰憑證 - 將金鑰分發給預期的實體、包括收到金鑰時應如何啟用 - 儲存金鑰、包括授權使用者如何取得金鑰的存取權 - 變更或更新金鑰，包括應變更金鑰的時機和執行方式的規則 - 處理遭入侵的金鑰 - 撤銷金鑰，包括應如何撤銷或停用金鑰，例如，當金鑰遭到入侵或使用者離開組織時（在這種情況下，也應封存金鑰） - 復原遺失或損毀的金鑰 - 備份或封存金鑰 - 銷毀金鑰、和 - 金鑰管理相關活動的記錄和稽核。	cmk-backing-key-rotation-enabled	啟用金鑰輪換，以確保金鑰在加密期間結束後輪換。
3.1.5(f)	f) 金鑰管理系統應以一組商定的標準為基礎，程序與安全方法： - 為不同的密碼編譯系統和應用程式產生金鑰 - 發行和取得公有金鑰憑證 - 將金鑰分發給預期的實體、包括收到金鑰時應如何啟用 - 儲存金鑰、包括授權使用者如何取得金鑰的存取權 - 變更或更新金鑰，包括應變更金鑰的時機和執行方式的規則 - 處理遭入侵的金鑰 - 撤銷金鑰，包括應如何撤銷或停用金鑰，例如，當金鑰遭到入侵或使用者離開組織時（在這種情況下，也應封存金鑰） - 復原遺失或損毀的金鑰 - 備份或封存金鑰 - 銷毀金鑰、和 - 金鑰管理相關活動的記錄和稽核。	acm-certificate-expiration-check	透過確保 ACM AWS 發行 X509 憑證，確保網路完整性受到保護。這些憑證必須有效且未過期。此規則需要 daysToExpiration 的值 (AWS 基本安全最佳實務值：90)。實際值應反映貴組織的政策。
3.1.5(f)	f) 金鑰管理系統應以一組商定的標準為基礎，程序與安全方法： - 為不同的密碼編譯系統和應用程式產生金鑰 - 發行和取得公有金鑰憑證 - 將金鑰分發給預期的實體、包括收到金鑰時應如何啟用 - 儲存金鑰、包括授權使用者如何取得金鑰的存取權 - 變更或更新金鑰，包括應變更金鑰的時機和執行方式的規則 - 處理遭入侵的金鑰 - 撤銷金鑰，包括應如何撤銷或停用金鑰，例如，當金鑰遭到入侵或使用者離開組織時（在這種情況下，也應封存金鑰） - 復原遺失或損毀的金鑰 - 備份或封存金鑰 - 銷毀金鑰、和 - 金鑰管理相關活動的記錄和稽核。	elb-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
3.1.5(f)	f) 金鑰管理系統應以一組商定的標準為基礎，程序與安全方法： - 為不同的密碼編譯系統和應用程式產生金鑰 - 發行和取得公有金鑰憑證 - 將金鑰分發給預期的實體、包括收到金鑰時應如何啟用 - 儲存金鑰、包括授權使用者如何取得金鑰的存取權 - 變更或更新金鑰，包括應變更金鑰的時機和執行方式的規則 - 處理遭入侵的金鑰 - 撤銷金鑰，包括應如何撤銷或停用金鑰，例如，當金鑰遭到入侵或使用者離開組織時（在這種情況下，也應封存金鑰） - 復原遺失或損毀的金鑰 - 備份或封存金鑰 - 銷毀金鑰、和 - 金鑰管理相關活動的記錄和稽核。	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫，協助進行不可否認。您可以識別使用者和 AWS 帳戶稱為 AWS 服務的、呼叫產生的來源 IP 地址，以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。
3.1.5(f)	f) 金鑰管理系統應以一組商定的標準為基礎，程序與安全方法： - 為不同的密碼編譯系統和應用程式產生金鑰 - 發行和取得公有金鑰憑證 - 將金鑰分發給預期的實體、包括收到金鑰時應如何啟用 - 儲存金鑰、包括授權使用者如何取得金鑰的存取權 - 變更或更新金鑰，包括應變更金鑰的時機和執行方式的規則 - 處理遭入侵的金鑰 - 撤銷金鑰，包括應如何撤銷或停用金鑰，例如，當金鑰遭到入侵或使用者離開組織時（在這種情況下，也應封存金鑰） - 復原遺失或損毀的金鑰 - 備份或封存金鑰 - 銷毀金鑰、和 - 金鑰管理相關活動的記錄和稽核。	multi-region-cloudtrail-enabled	AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址，以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED，CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時，CloudTrail 會在新區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
3.1.5(f)	f) 金鑰管理系統應以一組商定的標準為基礎，程序與安全方法： - 為不同的密碼編譯系統和應用程式產生金鑰 - 發行和取得公有金鑰憑證 - 將金鑰分發給預期的實體、包括收到金鑰時應如何啟用 - 儲存金鑰、包括授權使用者如何取得金鑰的存取權 - 變更或更新金鑰，包括應變更金鑰的時機和執行方式的規則 - 處理遭入侵的金鑰 - 撤銷金鑰，包括應如何撤銷或停用金鑰，例如，當金鑰遭到入侵或使用者離開組織時（在這種情況下，也應封存金鑰） - 復原遺失或損毀的金鑰 - 備份或封存金鑰 - 銷毀金鑰、和 - 金鑰管理相關活動的記錄和稽核。	elbv2-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
3.1.6(a)	a) BFI 應部署自動化工具和手動技術的組合，以定期執行全方位的 VA。針對以網路為基礎的對外系統，VA 的範圍應包括常見的網路漏洞，例如 SQL 隱碼攻擊和跨網站指令碼攻擊。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單，用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。
3.1.6(a)	a) BFI 應部署自動化工具和手動技術的組合，以定期執行全方位的 VA。針對以網路為基礎的對外系統，VA 的範圍應包括常見的網路漏洞，例如 SQL 隱碼攻擊和跨網站指令碼攻擊。	alb-waf-enabled	確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF，以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性，或在環境中耗用過多資源。
3.1.6(a)	a) BFI 應部署自動化工具和手動技術的組合，以定期執行全方位的 VA。針對以網路為基礎的對外系統，VA 的範圍應包括常見的網路漏洞，例如 SQL 隱碼攻擊和跨網站指令碼攻擊。	api-gw-associated-with-waf	AWS WAF 可讓您設定一組規則（稱為 Web 存取控制清單 (Web ACL))，以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯，以保護其免於遭受惡意攻擊
3.1.6(c)	c) BFI 應建立一個程序來修復 VA 與 PT 中識別的問題，並對此修復執行後續重新驗證，以驗證是否完全解決這些缺口。	vuln-mitigated-accepted (程序檢查)	確保對新識別的漏洞進行修復，或將其記錄為已接受的風險。應根據您的組織合規要求，對漏洞進行修復或接受其為風險。
3.1.6(f)	f) 安全功能應提供有關每個部門/分部未緩解重大漏洞數量的狀態更新，並規劃定期提交給資深管理階層進行緩解	guardduty-non-archived-findings	Amazon GuardDuty 依嚴重性 (低、中和高) 分類調查結果，協助您了解事件的影響。您可以使用這些分類決定修復策略和優先順序。此規則可讓您根據組織政策的要求，為未封存的調查結果選擇性地設定 daysLowSev (Config 預設值：30)、daysMediumSev (Config 預設值：7) 及 daysHighSev (Config 預設值：1)。
3.1.8	使用者培訓與意識	security-awareness-program-exists (程序檢查)	為貴組織建立並維護安全意識計劃。安全意識計畫可教育員工如何保護其組織免於遭受各種安全缺口或事件侵害。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	cloud-trail-encryption-enabled	由於可能存在敏感資料，且為了協助保護靜態資料，請確保已啟用 AWS CloudTrail 追蹤的加密。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	cloudwatch-log-group-encrypted	為了協助保護靜態敏感資料，請確保已針對 Amazon CloudWatch 日誌群組啟用加密功能。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	cloud-trail-log-file-validation-enabled	使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後，日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置：SHA-256 適用於進行雜湊，而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案，而無需偵測。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	efs-encrypted-check	由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	elasticsearch-encrypted-at-rest	由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon OpenSearch Service (OpenSearch Service) 網域啟用加密功能。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	opensearch-encrypted-at-rest	由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon OpenSearch Service 網域啟用加密功能。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	encrypted-volumes	由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	rds-storage-encrypted	為了協助保護靜態資料，請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	redshift-cluster-configuration-check	為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	s3-bucket-server-side-encryption-enabled	為了協助保護靜態資料，請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用加密以協助保護該資料。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	sagemaker-endpoint-configuration-kms-key-configured	為了協助保護靜態資料，請確定已啟用 SageMaker 端點的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 SageMaker 端點中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	sagemaker-notebook-instance-kms-key-configured	為了協助保護靜態資料，請確定已啟用 SageMaker 筆記本的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 SageMaker 筆記本中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	sns-encrypted-kms	為了協助保護靜態資料，請確保您的 Amazon Simple Notification Service (Amazon SNS) 主題需要使用 AWS Key Management Service (AWS KMS) 進行加密。由於已發布訊息中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	ec2-ebs-encryption-by-default	為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	rds-snapshot-encrypted	確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	s3-default-encryption-kms	確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	api-gw-cache-enabled-and-encrypted	為了協助保護靜態資料，請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料，因此請啟用靜態加密以協助保護該資料。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	dynamodb-table-encrypted-kms	確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。根據預設，DynamoDB 資料表會使用 AWS 擁有的客戶主金鑰 (CMK) 加密。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	redshift-cluster-kms-enabled	為了協助保護靜態資料，請確定您的 Amazon Redshift 叢集已啟用 AWS Key Management Service (AWS KMS) 加密。由於 Redshift 叢集中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
3.1.10(b)	b) 敏感資訊，例如系統文件、應用程式原始碼和生產交易資料，應具有更廣泛的控制，以防止變更（例如完整性檢查程式、密碼編譯雜湊）。此外，政策應盡量減少敏感資訊的分發，包括包含該資訊的列印成品。	secretsmanager-using-cmk	為了協助保護靜態資料，請確定已啟用 AWS Secrets Manager 秘密的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 Secrets Manager 密碼中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。
3.2.1(h)	h) 若要將與變更相關的風險降到最低，BFI 應在變更前執行受影響系統或應用程式的備份。如果在部署期間或之後發生問題，BFI 應建立復原計畫，以回復至系統或應用程式的先前版本。	db-instance-backup-enabled	Amazon RDS 的備份功能可建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照，並備份整個資料庫執行個體。系統可讓您設定特定保留期，以符合您的恢復能力要求。
3.2.1(h)	h) 若要將與變更相關的風險降到最低，BFI 應在變更前執行受影響系統或應用程式的備份。如果在部署期間或之後發生問題，BFI 應建立復原計畫，以回復至系統或應用程式的先前版本。	dynamodb-pitr-enabled	啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原，藉以維護備份。復原會維護資料表在過去 35 天內的連續備份。
3.2.1(h)	h) 若要將與變更相關的風險降到最低，BFI 應在變更前執行受影響系統或應用程式的備份。如果在部署期間或之後發生問題，BFI 應建立復原計畫，以回復至系統或應用程式的先前版本。	ebs-optimized-instance	Amazon Elastic Block Store (Amazon EBS) 中的最佳化執行個體可為 Amazon EBS I/O 作業提供額外的專用容量。此最佳化藉由將 Amazon EBS I/O 操作與執行個體中其他流量之間的爭用降至最低，為 EBS 磁碟區提供最有效率的效能。
3.2.1(h)	h) 若要將與變更相關的風險降到最低，BFI 應在變更前執行受影響系統或應用程式的備份。如果在部署期間或之後發生問題，BFI 應建立復原計畫，以回復至系統或應用程式的先前版本。	elasticache-redis-cluster-automatic-backup-check	啟用自動備份後，Amazon ElastiCache 每天都會建立叢集備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗，您可以建立新叢集，從最新的備份還原您的資料。
3.2.1(h)	h) 若要將與變更相關的風險降到最低，BFI 應在變更前執行受影響系統或應用程式的備份。如果在部署期間或之後發生問題，BFI 應建立復原計畫，以回復至系統或應用程式的先前版本。	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動進行物件的非同步複製，以協助確保維護資料可用性。
3.2.1(h)	h) 若要將與變更相關的風險降到最低，BFI 應在變更前執行受影響系統或應用程式的備份。如果在部署期間或之後發生問題，BFI 應建立復原計畫，以回復至系統或應用程式的先前版本。	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。
3.2.1(h)	h) 若要將與變更相關的風險降到最低，BFI 應在變更前執行受影響系統或應用程式的備份。如果在部署期間或之後發生問題，BFI 應建立復原計畫，以回復至系統或應用程式的先前版本。	dynamodb-in-backup-plan	為了協助處理資料備份程序，請確保您的 Amazon DynamoDB 資料表是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。
3.2.1(h)	h) 若要將與變更相關的風險降到最低，BFI 應在變更前執行受影響系統或應用程式的備份。如果在部署期間或之後發生問題，BFI 應建立復原計畫，以回復至系統或應用程式的先前版本。	ebs-in-backup-plan	為了協助處理資料備份程序，請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。
3.2.1(h)	h) 若要將與變更相關的風險降到最低，BFI 應在變更前執行受影響系統或應用程式的備份。如果在部署期間或之後發生問題，BFI 應建立復原計畫，以回復至系統或應用程式的先前版本。	efs-in-backup-plan	為了協助處理資料備份程序，請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。
3.2.1(h)	h) 若要將與變更相關的風險降到最低，BFI 應在變更前執行受影響系統或應用程式的備份。如果在部署期間或之後發生問題，BFI 應建立復原計畫，以回復至系統或應用程式的先前版本。	rds-in-backup-plan	為了協助處理資料備份程序，請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。
3.2.1(h)	h) 若要將與變更相關的風險降到最低，BFI 應在變更前執行受影響系統或應用程式的備份。如果在部署期間或之後發生問題，BFI 應建立復原計畫，以回復至系統或應用程式的先前版本。	redshift-backup-enabled	請確保 Amazon Redshift 叢集具有自動快照，以利處理資料備份。當叢集的自動快照已啟用時，Redshift 將定期為該叢集拍攝快照。根據預設，Redshift 會每 8 小時或每個資料變更節點每 5 GB 拍攝一次快照，以先發生者為準。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	api-gw-execution-logging-enabled	API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	cloud-trail-cloud-watch-logs-enabled	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您內 API 呼叫活動的詳細資訊 AWS 帳戶。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫，協助進行不可否認。您可以識別使用者和 AWS 帳戶稱為 AWS 服務的、呼叫產生的來源 IP 地址，以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	cloudtrail-s3-dataevents-enabled	收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體、IP 地址和事件時間 AWS 帳戶的資訊。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	elb-logging-enabled	Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	multi-region-cloudtrail-enabled	AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址，以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED，CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時，CloudTrail 會在新區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	vpc-flow-logs-enabled	VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設，流程日誌記錄包含 IP 流程不同元件的值，包括來源、目標和通訊協定。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	cw-loggroup-retention-period-check	確保為日誌群組保留最短的事件日誌資料持續時間，以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料，就很難重建和識別潛在的惡意事件。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	rds-logging-enabled	若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	wafv2-logging-enabled	為了協助您在環境中記錄和監控，請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊，以及每個請求相符規則的動作。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	redshift-cluster-configuration-check	為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	elasticsearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.2.1(k)	k) 稽核與安全日誌是有助於調查和疑難排解的實用資訊。BFI 應確定已啟用日誌記錄功能，以記錄移轉過程中所執行的活動。	opensearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。OpenSearch Service 錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.2.3(a)	a) 制定及實作預防、偵測、分析和回應資訊安全事件的程序。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單，用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。
3.2.3(a)	a) 制定及實作預防、偵測、分析和回應資訊安全事件的程序。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會彙總來自多個 AWS 服務的安全提醒或調查結果，並加以組織和排定優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer，以及 AWS Firewall Manager 和 AWS 合作夥伴解決方案。
3.3.1(a)	a) 將維持高系統可用性、充足容量、可靠效能、快速回應時間、可擴展性等相關重要因素作為系統設計的一部分考量。	dynamodb-autoscaling-enabled	Amazon DynamoDB 自動擴展使用 AWS Application Auto Scaling 服務來調整佈建的輸送量容量，以自動回應實際的流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量，不需限流即可處理突然增加的流量。
3.3.1(a)	a) 將維持高系統可用性、充足容量、可靠效能、快速回應時間、可擴展性等相關重要因素作為系統設計的一部分考量。	dynamodb-pitr-enabled	啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原，藉以維護備份。復原會維護資料表在過去 35 天內的連續備份。
3.3.1(a)	a) 將維持高系統可用性、充足容量、可靠效能、快速回應時間、可擴展性等相關重要因素作為系統設計的一部分考量。	ebs-optimized-instance	Amazon Elastic Block Store (Amazon EBS) 中的最佳化執行個體可為 Amazon EBS I/O 作業提供額外的專用容量。此最佳化藉由將 Amazon EBS I/O 操作與執行個體中其他流量之間的爭用降至最低，為 EBS 磁碟區提供最有效率的效能。
3.3.1(a)	a) 將維持高系統可用性、充足容量、可靠效能、快速回應時間、可擴展性等相關重要因素作為系統設計的一部分考量。	elb-deletion-protection-enabled	此規則可確保 Elastic Load Balancing 已啟用刪除保護。使用此功能可防止意外或惡意刪除負載平衡器，從而導致應用程式喪失可用性。
3.3.1(a)	a) 將維持高系統可用性、充足容量、可靠效能、快速回應時間、可擴展性等相關重要因素作為系統設計的一部分考量。	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) 中的多可用區域支援可為資料庫執行個體提供增強的可用性與持久性。佈建多可用區域資料庫執行個體時，Amazon RDS 會自動建立主要資料庫執行個體，並將資料同步複寫到不同可用區域中的待命執行個體。每個可用區域都在其本身不同的實體獨立基礎設施上執行，而且具備高度可靠的設計。如果基礎設施失敗，Amazon RDS 會執行自動容錯移轉到待命執行個體，以便您可以在容錯移轉完成後立即恢復資料庫操作。
3.3.1(a)	a) 將維持高系統可用性、充足容量、可靠效能、快速回應時間、可擴展性等相關重要因素作為系統設計的一部分考量。	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動進行物件的非同步複製，以協助確保維護資料可用性。
3.3.1(a)	a) 將維持高系統可用性、充足容量、可靠效能、快速回應時間、可擴展性等相關重要因素作為系統設計的一部分考量。	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。
3.3.1(a)	a) 將維持高系統可用性、充足容量、可靠效能、快速回應時間、可擴展性等相關重要因素作為系統設計的一部分考量。	vpc-vpn-2-tunnels-up	您可以實作備援的站台對站台 VPN 通道以達到恢復能力要求。這會使用兩個通道來確保連線能力，以防其中一個站台對站台 VPN 連線無法使用。為免在無法使用客戶閘道時失去連線，您可以使用第二個客戶閘道設定 Amazon Virtual Private Cloud (Amazon VPC) 和虛擬私有閘道的第二個站台對站台 VPN 連線。
3.3.1(a)	a) 將維持高系統可用性、充足容量、可靠效能、快速回應時間、可擴展性等相關重要因素作為系統設計的一部分考量。	elb-cross-zone-load-balancing-enabled	為 Elastic Load Balancer (ELB) 啟用跨區域負載平衡，以利維持足夠的容量和可用性。跨區域負載平衡可減少在每個啟用的可用區域中維護同等數量執行個體的需求。還可以改善應用程式處理一或多個執行個體遺失的能力。
3.3.1(a)	a) 將維持高系統可用性、充足容量、可靠效能、快速回應時間、可擴展性等相關重要因素作為系統設計的一部分考量。	rds-instance-deletion-protection-enabled	確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用刪除保護。使用刪除保護可防止意外或惡意刪除 Amazon RDS 執行個體，從而導致應用程式喪失可用性。
3.3.1(a)	a) 將維持高系統可用性、充足容量、可靠效能、快速回應時間、可擴展性等相關重要因素作為系統設計的一部分考量。	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling 群組的 Elastic Load Balancer (ELB) 運作狀態檢查可讓您維持足夠的容量和可用性。負載平衡器會定期傳送 ping、嘗試連線或傳送請求，以測試 Auto Scaling 群組中的 Amazon EC2 執行個體運作狀態。如果執行個體未回報，流量就會傳送到新的 Amazon EC2 執行個體。
3.3.1(a)	a) 將維持高系統可用性、充足容量、可靠效能、快速回應時間、可擴展性等相關重要因素作為系統設計的一部分考量。	dynamodb-throughput-limit-check	啟用此規則可確保檢查 Amazon DynamoDB 資料表上的佈建輸送容量。這是每份資料表能夠支援的讀取/寫入活動量。DynamoDB 會使用這項資訊保留足夠的系統資源，以便符合您的輸送量要求。當輸送量接近客戶帳戶的上限時，此規則會產生提醒。此規則可讓您選擇是否設定 accountRCUThresholdPercentage (Config 預設值：80) 和 accountWCUThresholdPercentage (Config 預設值：80) 參數。實際值應反映貴組織的政策。
3.3.1(a)	a) 將維持高系統可用性、充足容量、可靠效能、快速回應時間、可擴展性等相關重要因素作為系統設計的一部分考量。	lambda-concurrency-check	此規則可確保建立 Lambda 函數的並行上限和下限。這可為函數在任何指定時間服務的請求數設定基準。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	api-gw-execution-logging-enabled	API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	cloud-trail-cloud-watch-logs-enabled	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您內 API 呼叫活動的詳細資訊 AWS 帳戶。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫，協助進行不可否認。您可以識別使用者和 AWS 帳戶稱為 AWS 服務的、呼叫產生的來源 IP 地址，以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	cloudtrail-s3-dataevents-enabled	收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體、IP 地址和事件時間 AWS 帳戶的資訊。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	cloud-trail-log-file-validation-enabled	使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後，日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置：SHA-256 適用於進行雜湊，而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案，而無需偵測。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	elb-logging-enabled	Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	multi-region-cloudtrail-enabled	AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址，以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED，CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時，CloudTrail 會在新區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	vpc-flow-logs-enabled	VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設，流程日誌記錄包含 IP 流程不同元件的值，包括來源、目標和通訊協定。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	rds-logging-enabled	若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	wafv2-logging-enabled	為了協助您在環境中記錄和監控，請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊，以及每個請求相符規則的動作。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	redshift-cluster-configuration-check	為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	elasticsearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.4(a)(b)(c)(f)(j)	a) 確保可唯一識別使用者存取記錄，並針對稽核與檢閱目的進行日誌記錄。b) 有責任將識別的未經授權存取記錄在案。c) 對特殊權限使用者所執行的系統活動進行稽核日誌記錄。f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。j) 確保事件日誌記錄奠定了自動化監控系統的基礎，能夠產生有關系統安全的合併報告和提醒。	opensearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。OpenSearch Service 錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.4(f)	f) 應採用適當的日誌記錄和監控，以便記錄和偵測可能影響或與資訊安全有關的動作。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會彙總來自多個 AWS 服務的安全提醒或調查結果，並加以組織和排定優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer，以及 AWS Firewall Manager 和 AWS 合作夥伴解決方案。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	cloudtrail-s3-dataevents-enabled	收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體、IP 地址和事件時間 AWS 帳戶的資訊。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	multi-region-cloudtrail-enabled	AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址，以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED，CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外，當 AWS 啟動新區域時，CloudTrail 會在新區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔，卻無需採取任何動作。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	rds-logging-enabled	若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	redshift-cluster-configuration-check	為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	wafv2-logging-enabled	為了協助您在環境中記錄和監控，請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊，以及每個請求相符規則的動作。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	elb-logging-enabled	Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	api-gw-execution-logging-enabled	API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	cloud-trail-cloud-watch-logs-enabled	使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您內 API 呼叫活動的詳細資訊 AWS 帳戶。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	cloudtrail-enabled	AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫，協助進行不可否認。您可以識別使用者和 AWS 帳戶稱為 AWS 服務的、呼叫產生的來源 IP 地址，以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	vpc-flow-logs-enabled	VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設，流程日誌記錄包含 IP 流程不同元件的值，包括來源、目標和通訊協定。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	cw-loggroup-retention-period-check	確保為日誌群組保留最短的事件日誌資料持續時間，以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料，就很難重建和識別潛在的惡意事件。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	elasticsearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.4(g)	g) 確保事件日誌包括相關時： - 使用者 IDs - 系統活動 - 日期、關鍵事件的時間和詳細資訊，例如，登入和登出 - 可能的話，裝置身分或位置，以及系統識別符 - 成功和拒絕的系統存取嘗試的記錄 - 成功和拒絕的資料和其他資源存取嘗試的記錄 - 變更系統組態 - 權限的使用 - 使用系統公用程式和應用程式 - 存取的檔案和存取類型 - 網路地址和通訊協定 - 存取控制系統發出的警示，以及 - 應用程式和線上客戶交易中使用者執行的交易記錄	opensearch-logs-to-cloudwatch	確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。OpenSearch Service 錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。
3.6.1(a)(h)	a) BFI 需要確保其 Web 應用程式具有適當的安全措施，並針對各種 Web 安全風險採取合理的緩解措施。h) BFI 需要確保其 Web 應用程式具有適當的安全措施，並針對各種 Web 安全風險採取合理的緩解措施	alb-waf-enabled	確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF，以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性，或在環境中耗用過多資源。
3.6.1(a)(h)	a) BFI 需要確保其 Web 應用程式具有適當的安全措施，並針對各種 Web 安全風險採取合理的緩解措施。h) BFI 需要確保其 Web 應用程式具有適當的安全措施，並針對各種 Web 安全風險採取合理的緩解措施	api-gw-associated-with-waf	AWS WAF 可讓您設定一組規則（稱為 Web 存取控制清單 (Web ACL))，以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯，以保護其免於遭受惡意攻擊
3.6.1(b)	b) BFI 需要評估與其網際網路銀行系統和其他相關系統有關的安全要求，並考慮所需的機密性和完整性程度以採用加密解決方案。	acm-certificate-expiration-check	透過確保 ACM AWS 發行 X509 憑證，確保網路完整性受到保護。這些憑證必須有效且未過期。此規則需要 daysToExpiration 的值 (AWS 基本安全最佳實務值：90)。實際值應反映貴組織的政策。
3.6.1(b)	b) BFI 需要評估與其網際網路銀行系統和其他相關系統有關的安全要求，並考慮所需的機密性和完整性程度以採用加密解決方案。	alb-http-to-https-redirection-check	為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.6.1(b)	b) BFI 需要評估與其網際網路銀行系統和其他相關系統有關的安全要求，並考慮所需的機密性和完整性程度以採用加密解決方案。	elb-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
3.6.1(b)	b) BFI 需要評估與其網際網路銀行系統和其他相關系統有關的安全要求，並考慮所需的機密性和完整性程度以採用加密解決方案。	redshift-require-tls-ssl	確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.6.1(b)	b) BFI 需要評估與其網際網路銀行系統和其他相關系統有關的安全要求，並考慮所需的機密性和完整性程度以採用加密解決方案。	s3-bucket-ssl-requests-only	為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.6.1(b)	b) BFI 需要評估與其網際網路銀行系統和其他相關系統有關的安全要求，並考慮所需的機密性和完整性程度以採用加密解決方案。	alb-http-drop-invalid-header-enabled	確保 Elastic Load Balancer (ELB) 設定為捨棄 http 標頭。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.6.1(b)	b) BFI 需要評估與其網際網路銀行系統和其他相關系統有關的安全要求，並考慮所需的機密性和完整性程度以採用加密解決方案。	elasticsearch-node-to-node-encryption-check	確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.6.1(b)	b) BFI 需要評估與其網際網路銀行系統和其他相關系統有關的安全要求，並考慮所需的機密性和完整性程度以採用加密解決方案。	opensearch-node-to-node-encryption-check	確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.6.1(b)	b) BFI 需要評估與其網際網路銀行系統和其他相關系統有關的安全要求，並考慮所需的機密性和完整性程度以採用加密解決方案。	elb-tls-https-listeners-only	確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。
3.6.1(b)	b) BFI 需要評估與其網際網路銀行系統和其他相關系統有關的安全要求，並考慮所需的機密性和完整性程度以採用加密解決方案。	api-gw-ssl-enabled	確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定，以允許後端系統驗證來自 API Gateway 的請求。
3.6.1(b)	b) BFI 需要評估與其網際網路銀行系統和其他相關系統有關的安全要求，並考慮所需的機密性和完整性程度以採用加密解決方案。	elbv2-acm-certificate-required	由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。
3.6.1(d)	d) 提供網際網路銀行服務的 BFI 必須能夠回應異常的網絡流量情況/系統效能以及系統資源使用率的突然激增，這可能是 DDoS 攻擊的跡象。因此，任何先佔式和被動式行動的成功取決於部署適當的工具，以有效地偵測、監控和分析網路和系統中的異常。	alb-waf-enabled	確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF，以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性，或在環境中耗用過多資源。
3.6.1(d)	d) 提供網際網路銀行服務的 BFI 必須能夠回應異常的網絡流量情況/系統效能以及系統資源使用率的突然激增，這可能是 DDoS 攻擊的跡象。因此，任何先佔式和被動式行動的成功取決於部署適當的工具，以有效地偵測、監控和分析網路和系統中的異常。	guardduty-enabled-centralized	Amazon GuardDuty 可以使用威脅情報摘要，協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單，用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。
3.6.1(d)	d) 提供網際網路銀行服務的 BFI 必須能夠回應異常的網絡流量情況/系統效能以及系統資源使用率的突然激增，這可能是 DDoS 攻擊的跡象。因此，任何先佔式和被動式行動的成功取決於部署適當的工具，以有效地偵測、監控和分析網路和系統中的異常。	securityhub-enabled	AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會彙總來自多個 AWS 服務的安全提醒或調查結果，並加以組織和排定優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer，以及 AWS Firewall Manager 和 AWS 合作夥伴解決方案。
3.6.1(d)	d) 提供網際網路銀行服務的 BFI 必須能夠回應異常的網絡流量情況/系統效能以及系統資源使用率的突然激增，這可能是 DDoS 攻擊的跡象。因此，任何先佔式和被動式行動的成功取決於部署適當的工具，以有效地偵測、監控和分析網路和系統中的異常。	wafv2-logging-enabled	為了協助您在環境中記錄和監控，請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊，以及每個請求相符規則的動作。
3.6.1(d)	d) 提供網際網路銀行服務的 BFI 必須能夠回應異常的網絡流量情況/系統效能以及系統資源使用率的突然激增，這可能是 DDoS 攻擊的跡象。因此，任何先佔式和被動式行動的成功取決於部署適當的工具，以有效地偵測、監控和分析網路和系統中的異常。	api-gw-associated-with-waf	AWS WAF 可讓您設定一組規則（稱為 Web 存取控制清單 (Web ACL))，以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯，以保護其免於遭受惡意攻擊
3.6.1(e)	e) BFI 需要定期評估資訊安全漏洞，並評估現有 IT 安全風險管理架構的有效性，進行任何必要的調整，以確保及時解決新出現的漏洞。此評估亦應作為任何重大變更的一部分進行。	guardduty-non-archived-findings	Amazon GuardDuty 依嚴重性 (低、中和高) 分類調查結果，協助您了解事件的影響。您可以使用這些分類決定修復策略和優先順序。此規則可讓您根據組織政策的要求，為未封存的調查結果選擇性地設定 daysLowSev (Config 預設值：30)、daysMediumSev (Config 預設值：7) 及 daysHighSev (Config 預設值：1)。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	dms-replication-not-public	確保 DMS 複寫執行個體無法公開存取，藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊，此類帳戶需要存取控制。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	ebs-snapshot-public-restorable-check	確保 EBS 快照不可公開還原，藉此管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊，此類帳戶需要存取控制。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	ec2-instance-no-public-ip	確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，藉此管理 AWS 對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊，此類帳戶需要存取控制。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	elasticsearch-in-vpc-only	確保 Amazon OpenSearch Service (OpenSearch Service) 網域位於 Amazon Virtual Private Cloud (Amazon VPC) 內， AWS 以管理對雲端的存取。Amazon VPC 內的 OpenSearch Service 網域可在 Amazon VPC 內的 OpenSearch Service 與其他服務之間進行安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	opensearch-in-vpc-only	確保 Amazon OpenSearch Service 網域位於 Amazon Virtual Private AWS Cloud (Amazon VPC) 內，以管理對雲端的存取。 Amazon Virtual Private Cloud Amazon VPC 內的 Amazon OpenSearch Service 網域可在 Amazon VPC 內的 Amazon OpenSearch Service 與其他服務之間進行安全通訊，而不需要網際網路閘道、NAT 裝置或 VPN 連線。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	emr-master-no-public-ip	確保 Amazon EMR 叢集主節點無法公開存取，藉此管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊，此類帳戶需要存取控制。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量的狀態篩選來協助管理網路存取 AWS 。不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量，有助於限制遠端存取。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	ec2-instances-in-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊，不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端內。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	internet-gateway-authorized-vpc-only	確保網際網路閘道僅連接至授權的 Amazon Virtual Private Cloud (Amazon VPC)，以管理 AWS 對雲端資源的存取。網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取，這可能導致未經授權存取 Amazon VPC 資源。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	lambda-function-public-access-prohibited	確保 AWS Lambda 函數無法公開存取，藉此管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	lambda-inside-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 AWS Lambda 函數，以在 Amazon VPC 內的函數和其他服務之間進行安全通訊。有了這項組態，就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端中。相較於使用公有端點的網域，位於 Amazon VPC 內的網域因為提供邏輯隔離，所以多了一層安全防護。若要正確管理存取，應將 AWS Lambda 函數指派給 VPC。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	rds-instance-public-access-check	確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開，藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	rds-snapshots-public-prohibited	確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開，藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	redshift-cluster-public-access-check	確保 Amazon Redshift 叢集不公開，藉此管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	restricted-common-ports	確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制，藉此管理對 AWS 雲端資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值：20、21、3389、3306、4333)。實際值應反映貴組織的政策。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	s3-bucket-public-read-prohibited	僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	s3-bucket-public-write-prohibited	僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	sagemaker-notebook-no-direct-internet-access	確保 Amazon SageMaker 筆記本不允許直接網際網路存取，藉此管理對 AWS 雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量至 AWS 資源的狀態篩選，協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	vpc-sg-open-only-to-authorized-ports	透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制，來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	no-unrestricted-route-to-igw	確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取，可減少環境中的意外存取。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	subnet-auto-assign-public-ip-disabled	確保不會自動指派公有 IP 地址給 Amazon Virtual Private Cloud (VPC) 子網路，藉此管理 AWS 對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體，具有指派給其主要網路介面的公有 IP 地址。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	autoscaling-launch-config-public-ip-disabled	如果您使用公有 IP 地址設定網路介面，則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取，因為這可能會導致意外存取應用程式或伺服器。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	s3-account-level-public-access-blocks-periodic	確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，藉此管理對 AWS 雲端資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選用設定 ignorePublicAcls (Config 預設值：True)、blockPublicPolicy (Config 預設值：True)、blockPublicAcls (Config 預設值：True) 以及 restrictPublicBuckets 參數 (Config 預設值：True)。實際值應反映貴組織的政策。
3.6.4(a)(b)	a) 限制網際網路存取，並將關鍵系統與一般 IT 環境隔離。b) 減少受攻擊面和漏洞。	ssm-document-not-public	確保 AWS Systems Manager (SSM) 文件不公開，因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。

範本

此範本可在 GitHub 上取得：NBC TRMG 的操作最佳實務。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

監控的操作最佳實務

NERC CIP BCSI 的操作最佳實務