本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
4.0 PCI DSS 的操作最佳實務 (包括全域資源類型)
Conformance 套件提供一般用途的合規架構,旨在讓您使用受管或自訂 AWS Config 規則和 AWS Config 補救動作來建立安全、操作或成本最佳化治理檢查。一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。
以下提供支付卡產業資料安全標準 (PCI DSS) 4.0 (不包含全域資源類型) 與 AWS 受管組態規則之間的範例映射。每個 AWS Config 規則都適用於特定 AWS 資源,並與一或多個PCIDSS控制項相關。PCI DSS 控制項可以與多個 Config 規則相關。如需與這些映射相關的詳細資訊和指引,請參閱下方資料表。
| 控制 ID | 控制描述 | AWS 組態規則 | 指引 |
|---|---|---|---|
| 1.2.5 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈使用最低安全政策和 TLSv1.2 或更高的密碼套件進行檢視器連線。如果 低於 TLSv1.2_2018,則 CloudFront 分發的規則 minimumProtocolVersion 為 NON_COMPLIANT。 | |
| 1.2.5 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈使用自訂SSL憑證,並設定為使用 SNI 來提供HTTPS請求。如果自訂SSL憑證相關聯,但SSL支援方法為專用 IP 地址,則規則為 NON_COMPLIANT。 | |
| 1.2.5 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保使用 AWS Transfer Family 建立的伺服器不會FTP用於端點連線。如果端點連線的伺服器通訊協定FTP已啟用 ,則規則為 NON_COMPLIANT。 | |
| 1.2.5 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 CloudFront 分發未使用已棄用SSL通訊協定,以在 CloudFront 邊緣位置和自訂原始伺服器之間進行HTTPS通訊。如果有任何'OriginSslProtocols' 包含'',則此規則為 CloudFront 分佈SSLv3的 NON_COMPLIANT。 | |
| 1.2.5 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈正在加密流量到自訂原始伺服器。規則是 NON_COMPLIANT if'OriginProtocolPolicy' is'http-only' or ifOriginProtocolPolicy'' is'match-viewer' and'ViewerProtocolPolicy' is'allow-all'。 | |
| 1.2.5 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保您的 Amazon CloudFront 分佈使用 HTTPS(直接或透過重新導向)。如果 或 的值 ViewerProtocolPolicy 設定為「允許全部」 DefaultCacheBehavior ,則規則為「NON_COMPLIANT」 CacheBehaviors。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 Amazon API Gateway APIs 屬於規則參數 'endpointConfigurationType' 中指定的類型。如果 REST API 與規則參數中設定的端點類型不相符,則規則會傳回 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈與 Web 應用程式防火牆 (WAF) 或 WAFv2 Web 存取控制清單 () 相關聯ACLs。如果 CloudFront 分佈未與 WAF Web 相關聯,則規則為 NON_COMPLIANTACL。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保使用使用者定義的無狀態預設動作來設定 AWS 網路防火牆政策,以用於分段封包。如果分段封包的無狀態預設動作與使用者定義的預設動作不相符,則規則為 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保預設的 Amazon Relational Database Service (Amazon RDS) 資料庫安全群組。如果有任何資料庫安全群組不是預設資料庫安全群組,則規則為 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 Amazon Elastic Compute Cloud (Amazon EC2) Transit Gateways 未啟用 'AutoAcceptSharedAttachments'。如果 '' 設定為 'enableAutoAcceptSharedAttachments',則 Transit Gateway 的規則為 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 端點不可公開存取。如果端點可公開存取,則規則為 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 注意:在此規則中,規則識別碼 (INCOMING_SSH_DISABLED) 和規則名稱 (限制 SSH) 不同。確保可存取安全群組的傳入SSH流量。規則是COMPLIANT如果安全群組中傳入SSH流量的 IP 地址受到限制 (CIDR 0.0.0.0/0 或 ::/0 除外)。否則,NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 AWS AppSync APIs與 AWS WAFv2 Web 存取控制清單 () 相關聯ACLs。如果規則未與 Web 建立關聯,則規則為 NON_COMPLIANT AWS AppSync APIACL。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 Amazon DocumentDB 手動叢集快照不是公開的。如果任何 Amazon DocumentDB 手動叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 Bitbucket 來源儲存庫是否URLDOESNOT包含登入憑證。如果 URL包含任何登入資訊,而COMPLIANT如果不包含,則規則為 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 Amazon 帳戶EMR已啟用封鎖公有存取設定。NON如果 BlockPublicSecurityGroupRules 為 false,或者如果為 true,則連接埠 COMPLIANT22 以外的連接埠會列在 中 PermittedPublicSecurityGroupRuleRanges。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保網路存取控制清單 (NACLs) SSH/RDP 輸入流量的預設連接埠受到限制。如果NACL傳入項目允許連接埠 22 TCP或 3389 的來源或UDPCIDR區塊,則規則為 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保WAF全域 Web ACL包含一些WAF規則或規則群組。如果 Web ACL 不包含任何WAF規則或規則群組,則此規則為 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 Classic AWS WAF規則群組包含一些規則。如果規則群組中沒有規則,則規則為 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 AWS WAF全域規則包含一些條件。如果WAF全域規則中沒有條件,則規則為 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 AWS 用戶端VPN授權規則不會授權所有用戶端的連線存取。如果 'AccessAll' 存在並設為 true,則規則為 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確定網際網路閘道已連接至授權的虛擬私有雲端 (Amazon VPC)。如果網際網路閘道連接到未經授權的 ,則規則為 NON_COMPLIANTVPC。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保 Amazon S3 存取點已啟用封鎖公有存取設定。如果 S3 存取點未啟用區塊公開存取設定,則規則為 NON_COMPLIANT。 | |
| 1.2.8 | 已設定和維護網路安全控制項 (NSCs)。(PCI-DSS-v4.0) | 確保從帳戶層級設定必要的公有存取區塊設定。只有在下列設定的欄位與組態項目中的對應欄位不相符時,規則才為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon API Gateway APIs 屬於規則參數 'endpointConfigurationType' 中指定的類型。如果 REST API 與規則參數中設定的端點類型不相符,則規則會傳回 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈與 Web 應用程式防火牆 (WAF) 或 WAFv2 Web 存取控制清單 () 相關聯ACLs。如果 CloudFront 分佈未與 WAF Web 相關聯,則規則為 NON_COMPLIANTACL。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保使用使用者定義的無狀態預設動作來設定 AWS 網路防火牆政策,以用於分段封包。如果分段封包的無狀態預設動作與使用者定義的預設動作不相符,則規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保預設的 Amazon Relational Database Service (Amazon RDS) 資料庫安全群組。如果有任何資料庫安全群組不是預設資料庫安全群組,則規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確定 Amazon Redshift 叢集已啟用 'enhancedVpcRouting'。如果未啟用 'enhancedVpcRouting' 或 configuration.enhancedVpcRouting field 為 'false',則規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon Elastic Compute Cloud (Amazon EC2) Transit Gateways 未啟用 'AutoAcceptSharedAttachments'。如果 '' 設定為 'enableAutoAcceptSharedAttachments',則 Transit Gateway 的規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 端點不可公開存取。如果端點可公開存取,則規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 注意:在此規則中,規則識別碼 (INCOMING_SSH_DISABLED) 和規則名稱 (限制 SSH) 不同。確保可存取安全群組的傳入SSH流量。規則是COMPLIANT如果安全群組中傳入SSH流量的 IP 地址受到限制 (CIDR 0.0.0.0/0 或 ::/0 除外)。否則,NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 AWS AppSync APIs與 AWS WAFv2 Web 存取控制清單 () 相關聯ACLs。如果規則未與 Web 建立關聯,則規則為 NON_COMPLIANT AWS AppSync APIACL。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon DocumentDB 手動叢集快照不是公開的。如果任何 Amazon DocumentDB 手動叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Bitbucket 來源儲存庫是否URLDOESNOT包含登入憑證。如果 URL包含任何登入資訊,而COMPLIANT如果不包含,則規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon 帳戶EMR已啟用封鎖公有存取設定。NON如果 BlockPublicSecurityGroupRules 為 false,或者如果為 true,則連接埠 COMPLIANT22 以外的連接埠會列在 中 PermittedPublicSecurityGroupRuleRanges。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保網路存取控制清單 (NACLs) SSH/RDP 輸入流量的預設連接埠受到限制。如果NACL傳入項目允許連接埠 22 TCP或 3389 的來源或UDPCIDR區塊,則規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保WAF全域 Web ACL包含一些WAF規則或規則群組。如果 Web ACL 不包含任何WAF規則或規則群組,則此規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Classic AWS WAF規則群組包含一些規則。如果規則群組中沒有規則,則規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 AWS WAF全域規則包含一些條件。如果WAF全域規則中沒有條件,則規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 AWS 用戶端VPN授權規則不會授權所有用戶端的連線存取。如果 'AccessAll' 存在並設為 true,則規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確定網際網路閘道已連接至授權的虛擬私有雲端 (Amazon VPC)。如果網際網路閘道連接到未經授權的 ,則規則為 NON_COMPLIANTVPC。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon S3 存取點已啟用封鎖公有存取設定。如果 S3 存取點未啟用區塊公開存取設定,則規則為 NON_COMPLIANT。 | |
| 1.3.1 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保從帳戶層級設定必要的公有存取區塊設定。只有在下列設定的欄位與組態項目中的對應欄位不相符時,規則才為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon API Gateway APIs 屬於規則參數 'endpointConfigurationType' 中指定的類型。如果 REST API 與規則參數中設定的端點類型不相符,則規則會傳回 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈與 Web 應用程式防火牆 (WAF) 或 WAFv2 Web 存取控制清單 () 相關聯ACLs。如果 CloudFront 分佈未與 WAF Web 相關聯,則規則為 NON_COMPLIANTACL。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保使用使用者定義的無狀態預設動作來設定 AWS 網路防火牆政策,以用於分段封包。如果分段封包的無狀態預設動作與使用者定義的預設動作不相符,則規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保預設的 Amazon Relational Database Service (Amazon RDS) 資料庫安全群組。如果有任何資料庫安全群組不是預設資料庫安全群組,則規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確定 Amazon Redshift 叢集已啟用 'enhancedVpcRouting'。如果未啟用 'enhancedVpcRouting' 或 configuration.enhancedVpcRouting field 為 'false',則規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon Elastic Compute Cloud (Amazon EC2) Transit Gateways 未啟用 'AutoAcceptSharedAttachments'。如果 '' 設定為 'enableAutoAcceptSharedAttachments',則 Transit Gateway 的規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 端點不可公開存取。如果端點可公開存取,則規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 注意:在此規則中,規則識別碼 (INCOMING_SSH_DISABLED) 和規則名稱 (限制 SSH) 不同。確保可存取安全群組的傳入SSH流量。規則是COMPLIANT如果安全群組中傳入SSH流量的 IP 地址受到限制 (CIDR 0.0.0.0/0 或 ::/0 除外)。否則,NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 AWS AppSync APIs與 AWS WAFv2 Web 存取控制清單 () 相關聯ACLs。如果規則未與 Web 建立關聯,則規則為 NON_COMPLIANT AWS AppSync APIACL。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon DocumentDB 手動叢集快照不是公開的。如果任何 Amazon DocumentDB 手動叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Bitbucket 來源儲存庫是否URLDOESNOT包含登入憑證。如果 URL包含任何登入資訊,而COMPLIANT如果不包含,則規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon 帳戶EMR已啟用封鎖公有存取設定。NON如果 BlockPublicSecurityGroupRules 為 false,或者如果為 true,則連接埠 COMPLIANT22 以外的連接埠會列在 中 PermittedPublicSecurityGroupRuleRanges。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保網路存取控制清單 (NACLs) SSH/RDP 輸入流量的預設連接埠受到限制。如果NACL傳入項目允許連接埠 22 TCP或 3389 的來源或UDPCIDR區塊,則規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保WAF全域 Web ACL包含一些WAF規則或規則群組。如果 Web ACL 不包含任何WAF規則或規則群組,則此規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Classic AWS WAF規則群組包含一些規則。如果規則群組中沒有規則,則規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 AWS WAF全域規則包含一些條件。如果WAF全域規則中沒有條件,則規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 AWS 用戶端VPN授權規則不會授權所有用戶端的連線存取。如果 'AccessAll' 存在並設為 true,則規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確定網際網路閘道已連接至授權的虛擬私有雲端 (Amazon VPC)。如果網際網路閘道連接到未經授權的 ,則規則為 NON_COMPLIANTVPC。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保 Amazon S3 存取點已啟用封鎖公有存取設定。如果 S3 存取點未啟用區塊公開存取設定,則規則為 NON_COMPLIANT。 | |
| 1.3.2 | 持卡人資料環境的網路存取受到限制。(PCI-DSS-v4.0) | 確保從帳戶層級設定必要的公有存取區塊設定。只有在下列設定的欄位與組態項目中的對應欄位不相符時,規則才為 NON_COMPLIANT。 | |
| 1.4.1 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Amazon API Gateway APIs 屬於規則參數 'endpointConfigurationType' 中指定的類型。如果 REST API 與規則參數中設定的端點類型不相符,則規則會傳回 NON_COMPLIANT。 | |
| 1.4.1 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Amazon Redshift 叢集已啟用 'enhancedVpcRouting'。如果未啟用 'enhancedVpcRouting' 或 configuration.enhancedVpcRouting field 為 'false',則規則為 NON_COMPLIANT。 | |
| 1.4.1 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確定網際網路閘道已連接至授權的虛擬私有雲端 (Amazon VPC)。如果網際網路閘道連接到未經授權的 ,則規則為 NON_COMPLIANTVPC。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Amazon API Gateway APIs 屬於規則參數 'endpointConfigurationType' 中指定的類型。如果 REST API 與規則參數中設定的端點類型不相符,則規則會傳回 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈與 Web 應用程式防火牆 (WAF) 或 WAFv2 Web 存取控制清單 () 相關聯ACLs。如果 CloudFront 分佈未與 WAF Web 相關聯,則規則為 NON_COMPLIANTACL。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保使用使用者定義的無狀態預設動作設定 AWS Network Firewall 政策,以用於分段封包。如果分段封包的無狀態預設動作與使用者定義的預設動作不相符,則規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保預設的 Amazon Relational Database Service (Amazon RDS) 資料庫安全群組為 。如果有任何資料庫安全群組不是預設資料庫安全群組,則規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Amazon Redshift 叢集已啟用 'enhancedVpcRouting'。如果未啟用 'enhancedVpcRouting' 或 configuration.enhancedVpcRouting field 為 'false',則規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Amazon Elastic Compute Cloud (Amazon EC2) Transit Gateways 未啟用 'AutoAcceptSharedAttachments'。如果 '' 設定為 'enableAutoAcceptSharedAttachments',則 Transit Gateway 的規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 端點不可公開存取。如果端點可公開存取,則規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (INCOMING_SSH_DISABLED) 和規則名稱 (限制 SSH) 不同。確保可存取安全群組的傳入SSH流量。規則是COMPLIANT如果安全群組中傳入SSH流量的 IP 地址受到限制 (CIDR 0.0.0.0/0 或 ::/0 除外)。否則,NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 AWS AppSync APIs與 AWS WAFv2 Web 存取控制清單 () 相關聯ACLs。如果規則未與 Web 建立關聯,則規則為 NON_COMPLIANT AWS AppSync APIACL。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Amazon DocumentDB 手動叢集快照不是公開的。如果任何 Amazon DocumentDB 手動叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Bitbucket 來源儲存庫是否URLDOESNOT包含登入憑證。如果 URL包含任何登入資訊,而COMPLIANT如果 不包含,則規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Amazon 帳戶EMR已啟用封鎖公有存取設定。NON如果為 false,或者如果 BlockPublicSecurityGroupRules 為 true,則COMPLIANT連接埠 22 以外的連接埠會列在 中 PermittedPublicSecurityGroupRuleRanges。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保網路存取控制清單 (NACLs) SSH/RDP 輸入流量的預設連接埠受到限制。如果NACL傳入項目允許連接埠 22 TCP或 3389 的來源或UDPCIDR區塊,則規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保WAF全域 Web ACL包含一些WAF規則或規則群組。如果 Web ACL 不包含任何WAF規則或規則群組,則此規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Classic AWS WAF規則群組包含一些規則。如果規則群組中沒有規則,則規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 AWS WAF全域規則包含一些條件。如果WAF全域規則中沒有條件,則規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 AWS 用戶端VPN授權規則不會授權所有用戶端的連線存取。如果 'AccessAll' 存在並設為 true,則規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確定網際網路閘道已連接至授權的虛擬私有雲端 (Amazon VPC)。如果網際網路閘道連接到未經授權的 ,則規則為 NON_COMPLIANTVPC。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Amazon S3 存取點已啟用封鎖公有存取設定。如果 S3 存取點未啟用區塊公有存取設定,則規則為 NON_COMPLIANT。 | |
| 1.4.2 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保從帳戶層級設定必要的公有存取區塊設定。只有在下列設定的欄位與組態項目中的對應欄位不相符時,規則才為 NON_COMPLIANT。 | |
| 1.4.3 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保使用使用者定義的無狀態預設動作設定 AWS Network Firewall 政策,以用於分段封包。如果分段封包的無狀態預設動作與使用者定義的預設動作不相符,則規則為 NON_COMPLIANT。 | |
| 1.4.3 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保使用使用者定義的無狀態預設動作設定 AWS Network Firewall 政策,以用於分段封包。如果分段封包的無狀態預設動作與使用者定義的預設動作不相符,則規則為 NON_COMPLIANT。 | |
| 1.4.3 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保使用使用者為完整封包定義的預設無狀態動作設定 AWS Network Firewall 政策。如果完整封包的預設無狀態動作與使用者定義的預設無狀態動作不相符,則此規則為 NON_COMPLIANT。 | |
| 1.4.4 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Amazon API Gateway APIs 屬於規則參數 'endpointConfigurationType' 中指定的類型。如果 REST API 與規則參數中設定的端點類型不相符,則規則會傳回 NON_COMPLIANT。 | |
| 1.4.4 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Amazon Redshift 叢集已啟用 'enhancedVpcRouting'。如果未啟用 'enhancedVpcRouting' 或 configuration.enhancedVpcRouting field 為 'false',則規則為 NON_COMPLIANT。 | |
| 1.4.4 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確定網際網路閘道已連接至授權的虛擬私有雲端 (Amazon VPC)。如果網際網路閘道連接到未經授權的 ,則規則為 NON_COMPLIANTVPC。 | |
| 1.4.5 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 ECSTaskDefinitions 設定為與其 Amazon Elastic Container Service (Amazon ECS) 容器共用主機的程序命名空間。如果 pidMode 參數設定為「主機」,則規則為 NON_COMPLIANT。 | |
| 1.4.5 | 受信任和不受信任網路之間的網路連線受到控制。(PCI-DSS-v4.0) | 確保 Amazon EC2 Launch Templates 未設定為將公有 IP 地址指派給網路介面。如果EC2啟動範本的預設版本具有至少 1 個網路介面,且 'AssociatePublicIpAddress' 設定為 'true',則規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保 Amazon API Gateway APIs 屬於規則參數 'endpointConfigurationType' 中指定的類型。如果 REST API 與規則參數中設定的端點類型不相符,則規則會傳回 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈與 Web 應用程式防火牆 (WAF) 或 WAFv2 Web 存取控制清單 () 相關聯ACLs。如果 CloudFront 分佈未與 WAF Web 相關聯,則規則為 NON_COMPLIANTACL。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保使用使用者定義的無狀態預設動作設定 AWS Network Firewall 政策,以用於分段封包。如果分段封包的無狀態預設動作與使用者定義的預設動作不相符,則規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保預設的 Amazon Relational Database Service (Amazon RDS) 資料庫安全群組為 。如果有任何資料庫安全群組不是預設資料庫安全群組,則規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保 Amazon Elastic Compute Cloud (Amazon EC2) Transit Gateways 未啟用 'AutoAcceptSharedAttachments'。如果 '' 設定為 'enableAutoAcceptSharedAttachments',則 Transit Gateway 的規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 端點不可公開存取。如果端點可公開存取,則規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (INCOMING_SSH_DISABLED) 和規則名稱 (限制 SSH) 不同。確保可存取安全群組的傳入SSH流量。規則是COMPLIANT如果安全群組中傳入SSH流量的 IP 地址受到限制 (CIDR 0.0.0.0/0 或 ::/0 除外)。否則,NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保 AWS AppSync APIs與 AWS WAFv2 Web 存取控制清單 () 相關聯ACLs。如果規則未與 Web 建立關聯,則規則為 NON_COMPLIANT AWS AppSync APIACL。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保 Amazon DocumentDB 手動叢集快照不是公開的。如果任何 Amazon DocumentDB 手動叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保 Bitbucket 來源儲存庫是否URLDOESNOT包含登入憑證。如果 URL包含任何登入資訊,而COMPLIANT如果 不包含,則規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保 Amazon 帳戶EMR已啟用封鎖公有存取設定。NON如果為 false,或者如果 BlockPublicSecurityGroupRules 為 true,則COMPLIANT連接埠 22 以外的連接埠會列在 中 PermittedPublicSecurityGroupRuleRanges。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保網路存取控制清單 (NACLs) SSH/RDP 輸入流量的預設連接埠受到限制。如果NACL傳入項目允許連接埠 22 TCP或 3389 的來源或UDPCIDR區塊,則規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保WAF全域 Web ACL包含一些WAF規則或規則群組。如果 Web ACL 不包含任何WAF規則或規則群組,則此規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的運算裝置CDE對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保 Classic AWS WAF規則群組包含一些規則。如果規則群組中沒有規則,則規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的CDE運算裝置對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保 AWS WAF全域規則包含一些條件。如果WAF全域規則中沒有條件,則規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的CDE運算裝置對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保 AWS 用戶端VPN授權規則不會授權所有用戶端的連線存取。如果 'AccessAll' 存在並設為 true,則規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的CDE運算裝置對 的風險CDE會降低。(PCI-DSS-v4.0) | 確定網際網路閘道已連接至授權的虛擬私有雲端 (Amazon VPC)。如果網際網路閘道連接到未經授權的 ,則規則為 NON_COMPLIANTVPC。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的CDE運算裝置對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保 Amazon S3 存取點已啟用封鎖公有存取設定。如果 S3 存取點未啟用區塊公開存取設定,則規則為 NON_COMPLIANT。 | |
| 1.5.1 | 可同時連線至不受信任網路和 的CDE運算裝置對 的風險CDE會降低。(PCI-DSS-v4.0) | 確保從帳戶層級設定必要的公有存取區塊設定。只有在下列設定的欄位與組態項目中的對應欄位不相符時,規則才為 NON_COMPLIANT。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon API Gateway V2 階段已啟用存取記錄。如果階段組態中不存在 'accessLogSettings',則規則為 NON_COMPLIANT。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否已啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈設定為將存取日誌傳遞至 Amazon S3 儲存貯體。如果 CloudFront 分佈未設定記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已針對稽核 CloudWatch 日誌啟用日誌匯出。如果 Neptune 叢集未針對稽核日誌啟用 CloudWatch 日誌匯出,則規則為 NON_COMPLIANT。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 logConfiguration 已在作用中ECS任務定義上設定 。如果作用中 ECSTaskDefinition未在至少一個容器定義中定義 logConfiguration 資源,或 的值 logConfiguration 為 null,則此規則為 NON_COMPLIANT。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (CLOUD_TRAIL_ENABLED) 和規則名稱 (啟用雲端) 不同。確保 AWS 已在您的帳戶中啟用 AWS CloudTrail 追蹤。如果未啟用追蹤,則規則為 NON_COMPLIANT。或者,規則會檢查特定 S3 儲存貯體、Amazon Simple Notification Service (AmazonSNS) 主題和 CloudWatch 日誌群組。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (MULTI_REGION_CLOUD_TRAIL_ENABLED) 和規則名稱 (multi-region-cloudtrail-enabled) 不同。確保至少有一個多區域 AWS CloudTrail。如果追蹤不符合輸入參數,則規則為 NON_COMPLIANT。如果 ExcludeManagementEventSources 欄位不是空的,或者 AWS CloudTrail 設定為排除事件或 Amazon RDS Data 事件等 AWS KMS管理API事件,則規則為 NON_COMPLIANT。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確定 AWS AppSync API已啟用記錄。如果未啟用記錄,則規則為 NON_COMPLIANT,或者 'fieldLogLevel' 既不是 ERROR也不是 ALL。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在傳統全域 Web 存取控制清單 (web ACLs) 上 AWS WAF啟用記錄。如果尚未啟用記錄ACL,則全域 Web 的規則為 NON_COMPLIANT。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 Amazon CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集已設定為啟用記錄。如果未針對所有日誌類型啟用 Amazon EKS叢集的日誌記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Elastic Beanstalk 環境設定為將日誌傳送至 Amazon CloudWatch Logs。如果 `StreamLogs` 的值為 false,則規則為 NON_COMPLIANT。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Step Functions 機器已啟用記錄。如果狀態機器未啟用日誌記錄,或日誌記錄組態未處於提供的最低層級,則規則為 NON_COMPLIANT。 | |
| 10.2.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Network Firewall 防火牆已啟用記錄功能。如果未設定記錄類型,則規則為 NON_COMPLIANT。您可以指定要規則檢查的日誌記錄類型。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon API Gateway V2 階段已啟用存取記錄。如果階段組態中不存在 'accessLogSettings',則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈設定為將存取日誌傳遞至 Amazon S3 儲存貯體。如果 CloudFront 分佈未設定記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已針對稽核 CloudWatch 日誌啟用日誌匯出。如果 Neptune 叢集未針對稽核日誌啟用 CloudWatch 日誌匯出,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已啟用EC2執行個體的詳細監控。如果未啟用詳細監控,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 logConfiguration 已在作用中ECS任務定義上設定 。如果作用中 ECSTaskDefinition未在至少一個容器定義中定義 logConfiguration 資源,或 的值 logConfiguration 為 null,則此規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保資源類型具有具名指標的 CloudWatch 警示。對於資源類型,您可以指定EBS磁碟區、EC2執行個體、Amazon RDS叢集或 S3 儲存貯體。規則是COMPLIANT命名指標是否具有資源 ID 和 CloudWatch 警示。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (CLOUD_TRAIL_ENABLED) 和規則名稱 (啟用雲端) 不同。確保 AWS 已在您的帳戶中啟用 AWS CloudTrail 追蹤。如果未啟用追蹤,則規則為 NON_COMPLIANT。或者,規則會檢查特定 S3 儲存貯體、Amazon Simple Notification Service (AmazonSNS) 主題和 CloudWatch 日誌群組。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (MULTI_REGION_CLOUD_TRAIL_ENABLED) 和規則名稱 (multi-region-cloudtrail-enabled) 不同。確保至少有一個多區域 AWS CloudTrail。如果追蹤不符合輸入參數,則規則為 NON_COMPLIANT。如果 ExcludeManagementEventSources 欄位不是空的,或者 AWS CloudTrail 設定為排除事件或 Amazon RDS Data 事件等 AWS KMS管理API事件,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確定 AWS AppSync API已啟用記錄。如果未啟用記錄,則規則為 NON_COMPLIANT,或者 'fieldLogLevel' 既不是 ERROR也不是 ALL。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在傳統全域 Web 存取控制清單 (web ACLs) 上 AWS WAF啟用記錄。如果尚未啟用記錄ACL,則全域 Web 的規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 Amazon CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集已設定為啟用記錄。如果未針對所有日誌類型啟用 Amazon EKS叢集的日誌記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Elastic Beanstalk 環境設定為將日誌傳送至 Amazon CloudWatch Logs。如果 `StreamLogs` 的值為 false,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保規則群組上的 AWS WAFv2 Amazon CloudWatch 安全指標集合已啟用。如果 'VisibilityConfig.CloudWatchMetricsEnabled' 欄位設定為 false,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已啟用 Amazon Simple Notification Service (SNS) 記錄,以取得傳送至端點主題的通知訊息交付狀態。如果未啟用訊息的交付狀態通知,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Step Functions 機器已啟用記錄。如果狀態機器未啟用日誌記錄,或日誌記錄組態未處於提供的最低層級,則規則為 NON_COMPLIANT。 | |
| 10.2.1.1 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Network Firewall 防火牆已啟用記錄。如果未設定記錄類型,則規則為 NON_COMPLIANT。您可以指定要規則檢查的日誌記錄類型。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon API Gateway V2 階段已啟用存取記錄。如果階段組態中不存在 'accessLogSettings',則規則為 NON_COMPLIANT。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈設定為將存取日誌傳遞至 Amazon S3 儲存貯體。如果 CloudFront 分佈未設定記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已針對稽核 CloudWatch 日誌啟用日誌匯出。如果 Neptune 叢集未針對稽核日誌啟用 CloudWatch 日誌匯出,則規則為 NON_COMPLIANT。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 logConfiguration 已在作用中ECS任務定義上設定 。如果作用中 ECSTaskDefinition未在至少一個容器定義中定義 logConfiguration 資源,或 的值 logConfiguration 為 null,則此規則為 NON_COMPLIANT。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (CLOUD_TRAIL_ENABLED) 和規則名稱 (啟用雲端) 不同。確保 AWS 已在您的帳戶中啟用 AWS CloudTrail 追蹤。如果未啟用追蹤,則規則為 NON_COMPLIANT。或者,規則會檢查特定 S3 儲存貯體、Amazon Simple Notification Service (AmazonSNS) 主題和 CloudWatch 日誌群組。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (MULTI_REGION_CLOUD_TRAIL_ENABLED) 和規則名稱 (multi-region-cloudtrail-enabled) 不同。確保至少有一個多區域 AWS CloudTrail。如果追蹤不符合輸入參數,則規則為 NON_COMPLIANT。如果 ExcludeManagementEventSources 欄位不是空的,或者 AWS CloudTrail 設定為排除事件或 Amazon RDS Data 事件等 AWS KMS管理API事件,則規則為 NON_COMPLIANT。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確定 AWS AppSync API已啟用記錄。如果未啟用記錄,則規則為 NON_COMPLIANT,或者 'fieldLogLevel' 既不是 ERROR也不是 ALL。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在傳統全域 Web 存取控制清單 (web ACLs) 上 AWS WAF啟用記錄。如果尚未啟用記錄ACL,則全域 Web 的規則為 NON_COMPLIANT。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 Amazon CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集已設定為啟用記錄。如果未針對所有日誌類型啟用 Amazon EKS叢集的日誌記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Elastic Beanstalk 環境設定為將日誌傳送至 Amazon CloudWatch Logs。如果 `StreamLogs` 的值為 false,則規則為 NON_COMPLIANT。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Step Functions 機器已啟用記錄。如果狀態機器未啟用日誌記錄,或日誌記錄組態未處於提供的最低層級,則規則為 NON_COMPLIANT。 | |
| 10.2.1.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Network Firewall 防火牆已啟用記錄。如果未設定記錄類型,則規則為 NON_COMPLIANT。您可以指定要規則檢查的日誌記錄類型。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon API Gateway V2 階段已啟用存取記錄。如果階段組態中不存在 'accessLogSettings',則規則為 NON_COMPLIANT。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否已啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈設定為將存取日誌傳遞至 Amazon S3 儲存貯體。如果 CloudFront 分佈未設定記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已針對稽核 CloudWatch 日誌啟用日誌匯出。如果 Neptune 叢集未針對稽核日誌啟用 CloudWatch 日誌匯出,則規則為 NON_COMPLIANT。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 logConfiguration 已在作用中ECS任務定義上設定 。如果作用中 ECSTaskDefinition未在至少一個容器定義中定義 logConfiguration 資源,或 的值 logConfiguration 為 null,則此規則為 NON_COMPLIANT。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (CLOUD_TRAIL_ENABLED) 和規則名稱 (啟用雲端) 不同。確保 AWS 已在您的帳戶中啟用 AWS CloudTrail 追蹤。如果未啟用追蹤,則規則為 NON_COMPLIANT。或者,規則會檢查特定 S3 儲存貯體、Amazon Simple Notification Service (AmazonSNS) 主題和 CloudWatch 日誌群組。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (MULTI_REGION_CLOUD_TRAIL_ENABLED) 和規則名稱 (multi-region-cloudtrail-enabled) 不同。確保至少有一個多區域 AWS CloudTrail。如果追蹤不符合輸入參數,則規則為 NON_COMPLIANT。如果 ExcludeManagementEventSources 欄位不是空的,或者 AWS CloudTrail 設定為排除事件或 Amazon RDS Data 事件等 AWS KMS管理API事件,則規則為 NON_COMPLIANT。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確定 AWS AppSync API已啟用記錄。如果未啟用記錄,則規則為 NON_COMPLIANT,或者 'fieldLogLevel' 既不是 ERROR也不是 ALL。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在傳統全域 Web 存取控制清單 (web ACLs) 上 AWS WAF啟用記錄。如果尚未啟用記錄ACL,則全域 Web 的規則為 NON_COMPLIANT。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 Amazon CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集已設定為啟用記錄。如果未針對所有日誌類型啟用 Amazon EKS叢集的日誌記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Elastic Beanstalk 環境設定為將日誌傳送至 Amazon CloudWatch Logs。如果 `StreamLogs` 的值為 false,則規則為 NON_COMPLIANT。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Step Functions 機器已啟用記錄。如果狀態機器未啟用日誌記錄,或日誌記錄組態未處於提供的最低層級,則規則為 NON_COMPLIANT。 | |
| 10.2.1.3 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Network Firewall 防火牆已啟用記錄功能。如果未設定記錄類型,則規則為 NON_COMPLIANT。您可以指定要規則檢查的日誌記錄類型。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon API Gateway V2 階段已啟用存取記錄。如果階段組態中不存在 'accessLogSettings',則規則為 NON_COMPLIANT。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否已啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈設定為將存取日誌傳遞至 Amazon S3 儲存貯體。如果 CloudFront 分佈未設定記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已針對稽核 CloudWatch 日誌啟用日誌匯出。如果 Neptune 叢集未針對稽核日誌啟用 CloudWatch 日誌匯出,則規則為 NON_COMPLIANT。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 logConfiguration 已在作用中ECS任務定義上設定 。如果作用中 ECSTaskDefinition未在至少一個容器定義中定義 logConfiguration 資源,或 的值 logConfiguration 為 null,則此規則為 NON_COMPLIANT。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:在此規則中,規則識別符 (CLOUD_TRAIL_ENABLED) 和規則名稱 (啟用雲端) 不同。確保 AWS 已在您的帳戶中啟用 AWS CloudTrail 追蹤。如果未啟用追蹤,則規則為 NON_COMPLIANT。或者,規則會檢查特定 S3 儲存貯體、Amazon Simple Notification Service (Amazon SNS) 主題和 CloudWatch 日誌群組。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (MULTI_REGION_CLOUD_TRAIL_ENABLED) 和規則名稱 (multi-region-cloudtrail-enabled) 不同。確保至少有一個多區域 AWS CloudTrail。如果追蹤不符合輸入參數,則規則為 NON_COMPLIANT。如果 ExcludeManagementEventSources 欄位不是空的,或者 AWS CloudTrail 設定為排除事件或 Amazon RDS Data 事件等 AWS KMS管理API事件,則規則為 NON_COMPLIANT。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確定 AWS AppSync API已啟用記錄。如果未啟用記錄,則規則為 NON_COMPLIANT,或者 'fieldLogLevel' 既不是 ERROR也不是 ALL。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在傳統全域 Web 存取控制清單 (web ACLs) 上 AWS WAF啟用記錄。如果尚未啟用記錄ACL,則全域 Web 的規則為 NON_COMPLIANT。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 Amazon CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集已設定為啟用記錄。如果未針對所有日誌類型啟用 Amazon EKS叢集的日誌記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Elastic Beanstalk 環境設定為將日誌傳送至 Amazon CloudWatch Logs。如果 `StreamLogs` 的值為 false,則規則為 NON_COMPLIANT。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Step Functions 機器已啟用記錄。如果狀態機器未啟用日誌記錄,或日誌記錄組態未處於提供的最低層級,則規則為 NON_COMPLIANT。 | |
| 10.2.1.4 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Network Firewall 防火牆已啟用記錄功能。如果未設定記錄類型,則規則為 NON_COMPLIANT。您可以指定要規則檢查的日誌記錄類型。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon API Gateway V2 階段已啟用存取記錄。如果階段組態中不存在 'accessLogSettings',則規則為 NON_COMPLIANT。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否已啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈設定為將存取日誌傳遞至 Amazon S3 儲存貯體。如果 CloudFront 分佈未設定記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已針對稽核 CloudWatch 日誌啟用日誌匯出。如果 Neptune 叢集未針對稽核日誌啟用 CloudWatch 日誌匯出,則規則為 NON_COMPLIANT。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 logConfiguration 已在作用中ECS任務定義上設定 。如果作用中 ECSTaskDefinition未在至少一個容器定義中定義 logConfiguration 資源,或 的值 logConfiguration 為 null,則此規則為 NON_COMPLIANT。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:在此規則中,規則識別符 (CLOUD_TRAIL_ENABLED) 和規則名稱 (啟用雲端) 不同。確保 AWS 已在您的帳戶中啟用 AWS CloudTrail 追蹤。如果未啟用追蹤,則規則為 NON_COMPLIANT。或者,規則會檢查特定 S3 儲存貯體、Amazon Simple Notification Service (Amazon SNS) 主題和 CloudWatch 日誌群組。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (MULTI_REGION_CLOUD_TRAIL_ENABLED) 和規則名稱 (multi-region-cloudtrail-enabled) 不同。確保至少有一個多區域 AWS CloudTrail。如果追蹤不符合輸入參數,則規則為 NON_COMPLIANT。如果 ExcludeManagementEventSources 欄位不是空的,或者 AWS CloudTrail 設定為排除事件或 Amazon RDS Data 事件等 AWS KMS管理API事件,則規則為 NON_COMPLIANT。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確定 AWS AppSync API已啟用記錄。如果未啟用記錄,則規則為 NON_COMPLIANT,或者 'fieldLogLevel' 既不是 ERROR也不是 ALL。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在傳統全域 Web 存取控制清單 (web ACLs) 上 AWS WAF啟用記錄。如果尚未啟用記錄ACL,則全域 Web 的規則為 NON_COMPLIANT。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 Amazon CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集已設定為啟用記錄。如果未針對所有日誌類型啟用 Amazon EKS叢集的日誌記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Elastic Beanstalk 環境設定為將日誌傳送至 Amazon CloudWatch Logs。如果 `StreamLogs` 的值為 false,則規則為 NON_COMPLIANT。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Step Functions 機器已啟用記錄。如果狀態機器未啟用日誌記錄,或日誌記錄組態未處於提供的最低層級,則規則為 NON_COMPLIANT。 | |
| 10.2.1.5 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Network Firewall 防火牆已啟用記錄功能。如果未設定記錄類型,則規則為 NON_COMPLIANT。您可以指定要規則檢查的日誌記錄類型。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon API Gateway V2 階段已啟用存取記錄。如果階段組態中不存在 'accessLogSettings',則規則為 NON_COMPLIANT。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否已啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈設定為將存取日誌傳遞至 Amazon S3 儲存貯體。如果 CloudFront 分佈未設定記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已針對稽核 CloudWatch 日誌啟用日誌匯出。如果 Neptune 叢集未針對稽核日誌啟用 CloudWatch 日誌匯出,則規則為 NON_COMPLIANT。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 logConfiguration 已在作用中ECS任務定義上設定 。如果作用中 ECSTaskDefinition未在至少一個容器定義中定義 logConfiguration 資源,或 的值 logConfiguration 為 null,則此規則為 NON_COMPLIANT。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (CLOUD_TRAIL_ENABLED) 和規則名稱 (啟用雲端) 不同。確保 AWS 已在您的帳戶中啟用 AWS CloudTrail 追蹤。如果未啟用追蹤,則規則為 NON_COMPLIANT。或者,規則會檢查特定 S3 儲存貯體、Amazon Simple Notification Service (AmazonSNS) 主題和 CloudWatch 日誌群組。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (MULTI_REGION_CLOUD_TRAIL_ENABLED) 和規則名稱 (multi-region-cloudtrail-enabled) 不同。確保至少有一個多區域 AWS CloudTrail。如果追蹤不符合輸入參數,則規則為 NON_COMPLIANT。如果 ExcludeManagementEventSources 欄位不是空的,或者 AWS CloudTrail 設定為排除事件或 Amazon RDS Data 事件等 AWS KMS管理API事件,則規則為 NON_COMPLIANT。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確定 AWS AppSync API已啟用記錄。如果未啟用記錄,則規則為 NON_COMPLIANT,或者 'fieldLogLevel' 既不是 ERROR也不是 ALL。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在傳統全域 Web 存取控制清單 (web ACLs) 上 AWS WAF啟用記錄。如果尚未啟用記錄ACL,則全域 Web 的規則為 NON_COMPLIANT。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 Amazon CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集已設定為啟用記錄。如果未針對所有日誌類型啟用 Amazon EKS叢集的日誌記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Elastic Beanstalk 環境設定為將日誌傳送至 Amazon CloudWatch Logs。如果 `StreamLogs` 的值為 false,則規則為 NON_COMPLIANT。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Step Functions 機器已啟用記錄。如果狀態機器未啟用日誌記錄,或日誌記錄組態未處於提供的最低層級,則規則為 NON_COMPLIANT。 | |
| 10.2.1.6 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Network Firewall 防火牆已啟用記錄。如果未設定記錄類型,則規則為 NON_COMPLIANT。您可以指定要規則檢查的日誌記錄類型。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon API Gateway V2 階段已啟用存取記錄。如果階段組態中不存在 'accessLogSettings',則規則為 NON_COMPLIANT。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈設定為將存取日誌傳遞至 Amazon S3 儲存貯體。如果 CloudFront 分佈未設定記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已針對稽核 CloudWatch 日誌啟用日誌匯出。如果 Neptune 叢集未針對稽核日誌啟用 CloudWatch 日誌匯出,則規則為 NON_COMPLIANT。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 logConfiguration 已在作用中ECS任務定義上設定 。如果作用中 ECSTaskDefinition未在至少一個容器定義中定義 logConfiguration 資源,或 的值 logConfiguration 為 null,則此規則為 NON_COMPLIANT。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (CLOUD_TRAIL_ENABLED) 和規則名稱 (啟用雲端) 不同。確保 AWS 已在您的帳戶中啟用 AWS CloudTrail 追蹤。如果未啟用追蹤,則規則為 NON_COMPLIANT。或者,規則會檢查特定 S3 儲存貯體、Amazon Simple Notification Service (AmazonSNS) 主題和 CloudWatch 日誌群組。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (MULTI_REGION_CLOUD_TRAIL_ENABLED) 和規則名稱 (multi-region-cloudtrail-enabled) 不同。確保至少有一個多區域 AWS CloudTrail。如果追蹤不符合輸入參數,則規則為 NON_COMPLIANT。如果 ExcludeManagementEventSources 欄位不是空的,或者 AWS CloudTrail 設定為排除事件或 Amazon RDS Data 事件等 AWS KMS管理API事件,則規則為 NON_COMPLIANT。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確定 AWS AppSync API已啟用記錄。如果未啟用記錄,則規則為 NON_COMPLIANT,或者 'fieldLogLevel' 既不是 ERROR也不是 ALL。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在傳統全域 Web 存取控制清單 (web ACLs) 上 AWS WAF啟用記錄。如果尚未啟用記錄ACL,則全域 Web 的規則為 NON_COMPLIANT。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 Amazon CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集已設定為啟用記錄。如果未針對所有日誌類型啟用 Amazon EKS叢集的日誌記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Elastic Beanstalk 環境設定為將日誌傳送至 Amazon CloudWatch Logs。如果 `StreamLogs` 的值為 false,則規則為 NON_COMPLIANT。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Step Functions 機器已啟用記錄。如果狀態機器未啟用日誌記錄,或日誌記錄組態未處於提供的最低層級,則規則為 NON_COMPLIANT。 | |
| 10.2.1.7 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Network Firewall 防火牆已啟用記錄。如果未設定記錄類型,則規則為 NON_COMPLIANT。您可以指定要規則檢查的日誌記錄類型。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon API Gateway V2 階段已啟用存取記錄。如果階段組態中不存在 'accessLogSettings',則規則為 NON_COMPLIANT。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈設定為將存取日誌傳遞至 Amazon S3 儲存貯體。如果 CloudFront 分佈未設定記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已針對稽核 CloudWatch 日誌啟用日誌匯出。如果 Neptune 叢集未針對稽核日誌啟用 CloudWatch 日誌匯出,則規則為 NON_COMPLIANT。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 logConfiguration 已在作用中ECS任務定義上設定 。如果作用中 ECSTaskDefinition未在至少一個容器定義中定義 logConfiguration 資源,或 的值 logConfiguration 為 null,則此規則為 NON_COMPLIANT。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (CLOUD_TRAIL_ENABLED) 和規則名稱 (啟用雲端) 不同。確保 AWS 已在您的帳戶中啟用 AWS CloudTrail 追蹤。如果未啟用追蹤,則規則為 NON_COMPLIANT。或者,規則會檢查特定 S3 儲存貯體、Amazon Simple Notification Service (AmazonSNS) 主題和 CloudWatch 日誌群組。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (MULTI_REGION_CLOUD_TRAIL_ENABLED) 和規則名稱 (multi-region-cloudtrail-enabled) 不同。確保至少有一個多區域 AWS CloudTrail。如果追蹤不符合輸入參數,則規則為 NON_COMPLIANT。如果 ExcludeManagementEventSources 欄位不是空的,或者 AWS CloudTrail 設定為排除事件或 Amazon RDS Data 事件等 AWS KMS管理API事件,則規則為 NON_COMPLIANT。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確定 AWS AppSync API已啟用記錄。如果未啟用記錄,則規則為 NON_COMPLIANT,或者 'fieldLogLevel' 既不是 ERROR也不是 ALL。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保已在傳統全域 Web 存取控制清單 (web ACLs) 上 AWS WAF啟用記錄。如果尚未啟用記錄ACL,則全域 Web 的規則為 NON_COMPLIANT。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 Amazon CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集已設定為啟用記錄。如果未針對所有日誌類型啟用 Amazon EKS叢集的日誌記錄,則規則為 NON_COMPLIANT。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Elastic Beanstalk 環境設定為將日誌傳送至 Amazon CloudWatch Logs。如果 `StreamLogs` 的值為 false,則規則為 NON_COMPLIANT。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Step Functions 機器已啟用記錄。如果狀態機器未啟用日誌記錄,或日誌記錄組態未處於提供的最低層級,則規則為 NON_COMPLIANT。 | |
| 10.2.2 | 實作稽核日誌以支援偵測異常和可疑活動,以及對事件進行鑑識分析。(PCI-DSS-v4.0) | 確保 AWS Network Firewall 防火牆已啟用記錄。如果未設定記錄類型,則規則為 NON_COMPLIANT。您可以指定要規則檢查的日誌記錄類型。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon API Gateway V2 階段已啟用存取記錄。如果階段組態中不存在 'accessLogSettings',則規則為 NON_COMPLIANT。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈設定為將存取日誌傳遞至 Amazon S3 儲存貯體。如果 CloudFront 分佈未設定記錄,則規則為 NON_COMPLIANT。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已針對稽核 CloudWatch 日誌啟用日誌匯出。如果 Neptune 叢集未針對稽核日誌啟用 CloudWatch 日誌匯出,則規則為 NON_COMPLIANT。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 logConfiguration 已在作用中ECS任務定義上設定 。如果作用中 ECSTaskDefinition未在至少一個容器定義中定義 logConfiguration 資源,或 的值 logConfiguration 為 null,則此規則為 NON_COMPLIANT。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 注意:在此規則中,規則識別符 (CLOUD_TRAIL_ENABLED) 和規則名稱 (啟用雲端) 不同。確保 AWS 已在您的帳戶中啟用 AWS CloudTrail 追蹤。如果未啟用追蹤,則規則為 NON_COMPLIANT。或者,規則會檢查特定 S3 儲存貯體、Amazon Simple Notification Service (Amazon SNS) 主題和 CloudWatch 日誌群組。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (MULTI_REGION_CLOUD_TRAIL_ENABLED) 和規則名稱 (multi-region-cloudtrail-enabled) 不同。確保至少有一個多區域 AWS CloudTrail。如果追蹤不符合輸入參數,則規則為 NON_COMPLIANT。如果 ExcludeManagementEventSources 欄位不是空的,或者 AWS CloudTrail 設定為排除事件或 Amazon RDS Data 事件等 AWS KMS管理API事件,則規則為 NON_COMPLIANT。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確定 AWS AppSync API已啟用記錄。如果未啟用記錄,則規則為 NON_COMPLIANT,或者 'fieldLogLevel' 既不是 ERROR也不是 ALL。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保已在傳統全域 Web 存取控制清單 (web ACLs) 上 AWS WAF啟用記錄。如果尚未啟用記錄ACL,則全域 Web 的規則為 NON_COMPLIANT。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 Amazon CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集已設定為啟用記錄。如果未針對所有日誌類型啟用 Amazon EKS叢集的日誌記錄,則規則為 NON_COMPLIANT。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 AWS Elastic Beanstalk 環境設定為將日誌傳送至 Amazon CloudWatch Logs。如果 `StreamLogs` 的值為 false,則規則為 NON_COMPLIANT。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 AWS Step Functions 機器已啟用記錄。如果狀態機器未啟用日誌記錄,或日誌記錄組態未處於提供的最低層級,則規則為 NON_COMPLIANT。 | |
| 10.3.1 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 AWS Network Firewall 防火牆已啟用記錄功能。如果未設定記錄類型,則規則為 NON_COMPLIANT。您可以指定要規則檢查的日誌記錄類型。 | |
| 10.3.2 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保至少有一個定義了安全最佳實務的 AWS CloudTrail 線索。如果至少有一個符合下列所有條件的線索,COMPLIANT則表示此規則: | |
| 10.3.2 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon Neptune 手動資料庫叢集快照不是公開的。如果任何現有和新的 Neptune 叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| 10.3.2 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon DocumentDB 手動叢集快照不是公開的。如果任何 Amazon DocumentDB 手動叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| 10.3.2 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保備份保存庫具有連接的資源型政策,以防止刪除復原點。如果 Backup Vault 沒有資源型政策,或沒有適當的「Deny」陳述式 (包含備份的陳述式:DeleteRecoveryPoint、備份:UpdateRecoveryPointLifecycle和備份:PutBackupVaultAccessPolicy 許可) 的政策,則規則為 NON_COMPLIANT。 | |
| 10.3.2 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon 帳戶EMR已啟用封鎖公有存取設定。NON如果為 false,或者如果 BlockPublicSecurityGroupRules 為 true,則COMPLIANT連接埠 22 以外的連接埠會列在 中 PermittedPublicSecurityGroupRuleRanges。 | |
| 10.3.2 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon S3 存取點已啟用封鎖公有存取設定。如果 S3 存取點未啟用區塊公有存取設定,則規則為 NON_COMPLIANT。 | |
| 10.3.2 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保從帳戶層級設定必要的公有存取區塊設定。只有在下列設定的欄位與組態項目中的對應欄位不相符時,規則才為 NON_COMPLIANT。 | |
| 10.3.2 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確定已在 Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制組態中啟用 MFA Delete。如果未啟用MFA刪除,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon Aurora 資料庫叢集受到備份計劃的保護。如果 Amazon Relational Database Service (Amazon RDS) 資料庫叢集不受備份計劃保護,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保RDS資料庫執行個體已啟用備份。規則會選擇性檢查備份保留期間和備份時間。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 AWS Backup Plans 中存在 Amazon DynamoDB 資料表。如果任何 AWS 備份計劃中沒有 Amazon DynamoDB 資料表,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon DynamoDB 資料表受到備份計劃的保護。如果備份計畫未涵蓋 DynamoDB 資料表,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保備份計劃的 Amazon Elastic Block Store (Amazon EBS) 磁碟區已新增 AWS 。如果備份計劃中不包含 Amazon EBS磁碟區,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon Elastic Block Store (Amazon EBS) 磁碟區受到備份計劃的保護。如果備份計劃未涵蓋 Amazon EBS磁碟區,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體受到備份計劃的保護。如果備份計畫未涵蓋 Amazon EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon Elastic File System (Amazon EFS) 檔案系統已新增至 AWS Backup 的備份計劃中。如果備份計劃中不包含EFS檔案系統,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon Elastic File System (Amazon EFS) 檔案系統受到備份計劃的保護。如果備份計劃未涵蓋EFS檔案系統,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 檢查 Amazon ElastiCache Redis 叢集是否已開啟自動備份。如果 SnapshotRetentionLimit 適用於 Redis 叢集的 小於 SnapshotRetentionPeriod 參數,則規則為 NON_COMPLIANT。例如:如果 參數是 15,則如果 介於 0-15 之間 snapshotRetentionPeriod ,則規則不合規。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon FSx File Systems 受到備份計劃的保護。如果備份計劃未涵蓋 Amazon FSx File System,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon Neptune 資料庫叢集保留期設定為特定天數。如果保留期小於 參數指定的值,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 AWS 備份計劃中存在 Amazon Relational Database Service (Amazon RDS) 資料庫。如果任何 AWS 備份計劃中不包含 Amazon RDS 資料庫,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體受到備份計劃的保護。如果備份計畫未涵蓋 Amazon RDS 資料庫執行個體,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保叢集已啟用 Amazon Redshift 自動化快照。如果 automatedSnapshotRetention期間的值大於或等於 MaxRetentionPeriod 或值為 0 MinRetentionPeriod ,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體受到備份計劃的保護。如果備份計劃未涵蓋 Amazon S3 儲存貯體,則規則為 NON_COMPLIANT。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保至少有一個定義了安全最佳實務的 AWS CloudTrail 線索。如果至少有一個符合下列所有條件的線索,COMPLIANT則表示此規則: | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保RDS資料庫執行個體已啟用備份。規則會選擇性檢查備份保留期間和備份時間。 | |
| 10.3.3 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保 point-in-time已為 Amazon DynamoDB 資料表啟用復原 (PITR)。如果PITR未針對 DynamoDB 資料表啟用 ,則規則為 NON_COMPLIANT。 | |
| 10.3.4 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保具有 Amazon S3 Origin 類型的 CloudFront 分佈已設定原始伺服器存取身分 (OAI)。如果 CloudFront 分佈由 S3 支援,且未OAI設定任何原始伺服器類型,或原始伺服器不是 S3 儲存貯體,則規則為 NON_COMPLIANT。 | |
| 10.3.4 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保具有 Amazon Simple Storage Service (Amazon S3) 原始伺服器類型的 Amazon CloudFront 分佈已啟用原始伺服器存取控制 (OAC)。對於具有未OAC啟用之 Amazon S3 原始伺服器的 CloudFront 分佈,規則為 NON_COMPLIANT。 | |
| 10.3.4 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 根據預設,確保 S3 儲存貯體已啟用鎖定。如果未啟用鎖定,則規則為 NON_COMPLIANT。 | |
| 10.3.4 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保已為您的 S3 儲存貯體啟用版本控制。或者,規則會檢查您的 S3 儲存貯體是否已啟用MFA刪除。 | |
| 10.3.4 | 稽核日誌受到保護,不會遭到破壞和未經授權的修改。(PCI-DSS-v4.0) | 確保至少有一個定義了安全最佳實務的 AWS CloudTrail 線索。COMPLIANT 如果至少有一個追蹤符合下列所有條件,則表示此規則: | |
| 10.4.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.4.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保已啟用EC2執行個體的詳細監控。如果未啟用詳細監控,則規則為 NON_COMPLIANT。 | |
| 10.4.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.4.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.4.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.4.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保資源類型具有具名指標的 CloudWatch 警示。對於資源類型,您可以指定EBS磁碟區、EC2執行個體、Amazon RDS叢集或 S3 儲存貯體。規則是COMPLIANT命名指標是否具有資源 ID 和 CloudWatch 警示。 | |
| 10.4.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保規則群組上的 AWS WAFv2 Amazon CloudWatch 安全指標集合已啟用。如果 'VisibilityConfig.CloudWatchMetricsEnabled' 欄位設定為 false,則規則為 NON_COMPLIANT。 | |
| 10.4.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保已啟用 Amazon Simple Notification Service (SNS) 記錄,以取得傳送至端點主題的通知訊息交付狀態。如果未啟用訊息的交付狀態通知,則規則為 NON_COMPLIANT。 | |
| 10.4.1.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.4.1.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保已啟用EC2執行個體的詳細監控。如果未啟用詳細監控,則規則為 NON_COMPLIANT。 | |
| 10.4.1.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.4.1.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.4.1.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.4.1.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保資源類型具有具名指標的 CloudWatch 警示。對於資源類型,您可以指定EBS磁碟區、EC2執行個體、Amazon RDS叢集或 S3 儲存貯體。規則是COMPLIANT命名指標是否具有資源 ID 和 CloudWatch 警示。 | |
| 10.4.1.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保規則群組上的 AWS WAFv2 Amazon CloudWatch 安全指標集合已啟用。如果 'VisibilityConfig.CloudWatchMetricsEnabled' 欄位設定為 false,則規則為 NON_COMPLIANT。 | |
| 10.4.1.1 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保已啟用 Amazon Simple Notification Service (SNS) 記錄,以取得傳送至端點主題的通知訊息交付狀態。如果未啟用訊息的交付狀態通知,則規則為 NON_COMPLIANT。 | |
| 10.4.2 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否已啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.4.2 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保已針對EC2執行個體啟用詳細的監控。如果未啟用詳細監控,則規則為 NON_COMPLIANT。 | |
| 10.4.2 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.4.2 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.4.2 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.4.2 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保資源類型具有具名指標的 CloudWatch 警示。對於資源類型,您可以指定EBS磁碟區、EC2執行個體、Amazon RDS叢集或 S3 儲存貯體。規則是COMPLIANT命名指標是否具有資源 ID 和 CloudWatch 警示。 | |
| 10.4.2 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保規則群組上的 AWS WAFv2 Amazon CloudWatch 安全指標集合已啟用。如果 'VisibilityConfig.CloudWatchMetricsEnabled' 欄位設定為 false,則規則為 NON_COMPLIANT。 | |
| 10.4.2 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保已啟用 Amazon Simple Notification Service (SNS) 記錄,以取得傳送至端點主題的通知訊息交付狀態。如果未啟用訊息的交付狀態通知,則規則為 NON_COMPLIANT。 | |
| 10.4.3 | 會檢閱稽核日誌,以識別異常或可疑活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.5.1 | 稽核日誌歷史記錄會保留並可供分析。(PCI-DSS-v4.0) | 確保至少有一個定義了安全最佳實務的 AWS CloudTrail 線索。COMPLIANT 如果至少有一個追蹤符合下列所有條件,則表示此規則: | |
| 10.5.1 | 稽核日誌歷史記錄會保留並可供分析。(PCI-DSS-v4.0) | 確定EBS磁碟區已連接至EC2執行個體。選擇性地確保磁碟EBS區在執行個體終止時標記為刪除。 | |
| 10.5.1 | 稽核日誌歷史記錄會保留並可供分析。(PCI-DSS-v4.0) | 確保私有 Amazon Elastic Container Registry (ECR) 儲存庫至少設定了一個生命週期政策。如果未為ECR私有儲存庫設定生命週期政策,則規則為 NON_COMPLIANT。 | |
| 10.5.1 | 稽核日誌歷史記錄會保留並可供分析。(PCI-DSS-v4.0) | 確保 point-in-time已為 Amazon DynamoDB 資料表啟用復原 (PITR)。如果PITR未針對 DynamoDB 資料表啟用 ,則規則為 NON_COMPLIANT。 | |
| 10.5.1 | 稽核日誌歷史記錄會保留並可供分析。(PCI-DSS-v4.0) | 確保 Amazon CloudWatch LogGroup 保留期設定為超過 365 天,否則設定為指定的保留期。如果保留期小於 MinRetentionTime、指定,否則為 365 天,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援所有系統之間的一致時間設定。(PCI-DSS-v4.0) | 確保 Amazon API Gateway V2 階段已啟用存取記錄。如果階段組態中不存在 'accessLogSettings',則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援所有系統之間的一致時間設定。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否已啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援所有系統之間的一致時間設定。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈設定為將存取日誌傳遞至 Amazon S3 儲存貯體。如果 CloudFront 分佈未設定記錄,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援所有系統之間的一致時間設定。(PCI-DSS-v4.0) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策不允許其他 AWS 帳戶的主體對儲存貯體中的資源進行封鎖清單的儲存貯體層級和物件層級動作。例如,規則會檢查 Amazon S3 儲存貯體政策是否不允許另一個 AWS 帳戶在儲存貯體中的任何DeleteObject 物件上執行任何 s3:GetBucket* 動作和 s3:。如果 Amazon S3 儲存貯體政策允許任何封鎖清單動作,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援所有系統之間的一致時間設定。(PCI-DSS-v4.0) | 請確定您的 Amazon Simple Storage Service (S3) 儲存貯體政策不允許您提供的控制項 Amazon S3 儲存貯體政策以外的其他帳戶間許可。 | |
| 10.6.3 | 時間同步機制支援所有系統之間的一致時間設定。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已針對稽核 CloudWatch 日誌啟用日誌匯出。如果 Neptune 叢集未針對稽核日誌啟用 CloudWatch 日誌匯出,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保已啟用EC2執行個體的詳細監控。如果未啟用詳細監控,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保 logConfiguration 已在作用中ECS任務定義上設定 。如果作用中 ECSTaskDefinition未在至少一個容器定義中定義 logConfiguration 資源,或 的值 logConfiguration 為 null,則此規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保資源類型具有具名指標的 CloudWatch 警示。對於資源類型,您可以指定EBS磁碟區、EC2執行個體、Amazon RDS叢集或 S3 儲存貯體。規則是COMPLIANT命名指標是否具有資源 ID 和 CloudWatch 警示。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 注意:在此規則中,規則識別符 (CLOUD_TRAIL_ENABLED) 和規則名稱 (啟用雲端) 不同。確保 AWS 已在您的帳戶中啟用 AWS CloudTrail 追蹤。如果未啟用追蹤,則規則為 NON_COMPLIANT。或者,規則會檢查特定 S3 儲存貯體、Amazon Simple Notification Service (Amazon SNS) 主題和 CloudWatch 日誌群組。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (MULTI_REGION_CLOUD_TRAIL_ENABLED) 和規則名稱 (multi-region-cloudtrail-enabled) 不同。確保至少有一個多區域 AWS CloudTrail。如果追蹤不符合輸入參數,則規則為 NON_COMPLIANT。如果 ExcludeManagementEventSources 欄位不是空的,或者 AWS CloudTrail 設定為排除事件或 Amazon RDS Data 事件等 AWS KMS管理API事件,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確定 AWS AppSync API已啟用記錄。如果未啟用記錄,則規則為 NON_COMPLIANT,或者 'fieldLogLevel' 既不是 ERROR也不是 ALL。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保已在傳統全域 Web 存取控制清單 (web ACLs) 上 AWS WAF啟用記錄。如果尚未啟用記錄ACL,則全域 Web 的規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 Amazon CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集已設定為啟用記錄。如果未針對所有日誌類型啟用 Amazon EKS叢集的日誌記錄,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保 AWS Elastic Beanstalk 環境設定為將日誌傳送至 Amazon CloudWatch Logs。如果 `StreamLogs` 的值為 false,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保規則群組上的 AWS WAFv2 Amazon CloudWatch 安全性指標集合已啟用。如果 'VisibilityConfig.CloudWatchMetricsEnabled' 欄位設定為 false,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保已啟用 Amazon Simple Notification Service (SNS) 記錄,以取得傳送至端點主題的通知訊息交付狀態。如果未啟用訊息的交付狀態通知,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保 AWS Step Functions 機器已啟用記錄。如果狀態機器未啟用日誌記錄,或日誌記錄組態未處於提供的最低層級,則規則為 NON_COMPLIANT。 | |
| 10.6.3 | 時間同步機制支援跨所有系統一致的時間設定。(PCI-DSS-v4.0) | 確保 AWS Network Firewall 防火牆已啟用記錄功能。如果未設定記錄類型,則規則為 NON_COMPLIANT。您可以指定要規則檢查的日誌記錄類型。 | |
| 10.7.1 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.7.1 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保您的 CloudFormation 堆疊將事件通知傳送至 Amazon SNS主題。選擇性地確保使用指定的 Amazon SNS主題。如果 CloudFormation 堆疊未傳送通知,則規則為 NON_COMPLIANT。 | |
| 10.7.1 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保已啟用EC2執行個體的詳細監控。如果未啟用詳細監控,則規則為 NON_COMPLIANT。 | |
| 10.7.1 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.7.1 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.7.1 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.7.1 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保資源類型具有具名指標的 CloudWatch 警示。對於資源類型,您可以指定EBS磁碟區、EC2執行個體、Amazon RDS叢集或 S3 儲存貯體。規則是COMPLIANT命名指標是否具有資源 ID 和 CloudWatch 警示。 | |
| 10.7.1 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保規則群組上的 AWS WAFv2 Amazon CloudWatch 安全指標集合已啟用。如果 'VisibilityConfig.CloudWatchMetricsEnabled' 欄位設定為 false,則規則為 NON_COMPLIANT。 | |
| 10.7.1 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保已啟用 Amazon Simple Notification Service (SNS) 記錄,以取得傳送至端點主題的通知訊息交付狀態。如果未啟用訊息的交付狀態通知,則規則為 NON_COMPLIANT。 | |
| 10.7.2 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 10.7.2 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保您的 CloudFormation 堆疊將事件通知傳送至 Amazon SNS主題。選擇性地確保使用指定的 Amazon SNS主題。如果 CloudFormation 堆疊未傳送通知,則規則為 NON_COMPLIANT。 | |
| 10.7.2 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保已啟用EC2執行個體的詳細監控。如果未啟用詳細監控,則規則為 NON_COMPLIANT。 | |
| 10.7.2 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.7.2 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.7.2 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 10.7.2 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保資源類型具有具名指標的 CloudWatch 警示。對於資源類型,您可以指定EBS磁碟區、EC2執行個體、Amazon RDS叢集或 S3 儲存貯體。規則是COMPLIANT命名指標是否具有資源 ID 和 CloudWatch 警示。 | |
| 10.7.2 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保規則群組上的 AWS WAFv2 Amazon CloudWatch 安全指標集合已啟用。如果 'VisibilityConfig.CloudWatchMetricsEnabled' 欄位設定為 false,則規則為 NON_COMPLIANT。 | |
| 10.7.2 | 系統會立即偵測、報告和回應關鍵安全控制系統的故障。(PCI-DSS-v4.0) | 確保已啟用 Amazon Simple Notification Service (SNS) 記錄,以取得傳送至端點主題的通知訊息交付狀態。如果未啟用訊息的交付狀態通知,則規則為 NON_COMPLIANT。 | |
| 11.5.2 | 偵測到並回應網路入侵和非預期的檔案變更。(PCI-DSS-v4.0) | 確保您的 CloudFormation 堆疊將事件通知傳送至 Amazon SNS主題。選擇性地確保使用指定的 Amazon SNS主題。如果 CloudFormation 堆疊未傳送通知,則規則為 NON_COMPLIANT。 | |
| 11.5.2 | 偵測到並回應網路入侵和非預期的檔案變更。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 11.5.2 | 偵測到並回應網路入侵和非預期的檔案變更。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 11.5.2 | 偵測到並回應網路入侵和非預期的檔案變更。(PCI-DSS-v4.0) | 確保具有指定指標名稱的 CloudWatch 警示具有指定的設定。 | |
| 11.5.2 | 偵測到並回應網路入侵和非預期的檔案變更。(PCI-DSS-v4.0) | 確保已啟用 Amazon Simple Notification Service (SNS) 記錄,以取得傳送至端點主題的通知訊息交付狀態。如果未啟用訊息的交付狀態通知,則規則為 NON_COMPLIANT。 | |
| 11.6.1 | 在付款頁面上偵測到並回應未經授權的變更。(PCI-DSS-v4.0) | 確保您的 CloudFormation 堆疊將事件通知傳送至 Amazon SNS主題。選擇性地確保使用指定的 Amazon SNS主題。如果 CloudFormation 堆疊未傳送通知,則規則為 NON_COMPLIANT。 | |
| 11.6.1 | 在付款頁面上偵測到並回應未經授權的變更。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 11.6.1 | 在付款頁面上偵測到並回應未經授權的變更。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 11.6.1 | 在付款頁面上偵測到並回應未經授權的變更。(PCI-DSS-v4.0) | 確保具有指定指標名稱的 CloudWatch 警示具有指定的設定。 | |
| 11.6.1 | 在付款頁面上偵測到並回應未經授權的變更。(PCI-DSS-v4.0) | 確保已啟用 Amazon Simple Notification Service (SNS) 記錄,以取得傳送至端點主題的通知訊息交付狀態。如果未啟用訊息的交付狀態通知,則規則為 NON_COMPLIANT。 | |
| 12.10.5 | 可能影響 的疑似和已確認安全事件CDE會立即回應。(PCI-DSS-v4.0) | 確保您的 CloudFormation 堆疊將事件通知傳送至 Amazon SNS主題。選擇性地確保使用指定的 Amazon SNS主題。如果 CloudFormation 堆疊未傳送通知,則規則為 NON_COMPLIANT。 | |
| 12.10.5 | 可能影響 的疑似和已確認安全事件CDE會立即回應。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 12.10.5 | 可能影響 的疑似和已確認安全事件CDE會立即回應。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| 12.10.5 | 可能影響 的疑似和已確認安全事件CDE會立即回應。(PCI-DSS-v4.0) | 確保具有指定指標名稱的 CloudWatch 警示具有指定的設定。 | |
| 12.10.5 | 可能影響 的疑似和已確認安全事件CDE會立即回應。(PCI-DSS-v4.0) | 確保已啟用 Amazon Simple Notification Service (SNS) 記錄,以取得傳送至端點主題的通知訊息交付狀態。如果未啟用訊息的交付狀態通知,則規則為 NON_COMPLIANT。 | |
| 12.4.2.1 | PCI DSS 合規受到管理。(PCI-DSS-v4.0) | 確保 AWS Service Catalog 在啟用與 Organizations 的整合時,將產品組合分享給 AWS 組織 (視為單一單位 AWS 的帳戶集合)。如果共用的 `Type` 值為 `ACCOUNT`,則規則為 NON_COMPLIANT。 | |
| 2.2.5 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈使用最低安全政策和 TLSv1.2 或更高的密碼套件進行檢視器連線。如果 低於 TLSv1.2_2018,則 CloudFront 分發的規則 minimumProtocolVersion 為 NON_COMPLIANT。 | |
| 2.2.5 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈使用自訂SSL憑證,並設定為使用 SNI 來提供HTTPS請求。如果自訂SSL憑證相關聯,但SSL支援方法為專用 IP 地址,則規則為 NON_COMPLIANT。 | |
| 2.2.5 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保使用 AWS Transfer Family 建立的伺服器不會FTP用於端點連線。如果端點連線的伺服器通訊協定FTP已啟用 ,則規則為 NON_COMPLIANT。 | |
| 2.2.5 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保 CloudFront 分發未使用已棄用SSL通訊協定在 CloudFront 邊緣位置和自訂原始伺服器之間進行HTTPS通訊。如果有任何'OriginSslProtocols' 包含'',則此規則為 CloudFront 分佈SSLv3的 NON_COMPLIANT。 | |
| 2.2.5 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈正在加密流量到自訂原始伺服器。規則為 NON_COMPLIANT if'OriginProtocolPolicy' is'http-only' or ifOriginProtocolPolicy' is'match-viewer' and'ViewerProtocolPolicy' is'allow-all'。 | |
| 2.2.5 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保您的 Amazon CloudFront 分佈使用 HTTPS(直接或透過重新導向)。如果 或 的值 ViewerProtocolPolicy 設定為「允許全部」 DefaultCacheBehavior ,則規則為 NON_COMPLIANT CacheBehaviors。 | |
| 2.2.7 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保 Redis 資料存放區的 AWS 資料庫遷移服務 (AWS DMS) 端點已啟用與其他端點通訊的資料TLS/SSL加密。如果未啟用 TLS/SSL 加密,則規則為 NON_COMPLIANT。 | |
| 2.2.7 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保 CloudFront 分發未使用已棄用SSL通訊協定在 CloudFront 邊緣位置和自訂原始伺服器之間進行HTTPS通訊。如果有任何'OriginSslProtocols' 包含'',則此規則為 CloudFront 分佈SSLv3的 NON_COMPLIANT。 | |
| 2.2.7 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈正在加密流量到自訂原始伺服器。規則為 NON_COMPLIANT if'OriginProtocolPolicy' is'http-only' or ifOriginProtocolPolicy' is'match-viewer' and'ViewerProtocolPolicy' is'allow-all'。 | |
| 2.2.7 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保您的 Amazon CloudFront 分佈使用 HTTPS(直接或透過重新導向)。如果 或 的值 ViewerProtocolPolicy 設定為「允許全部」 DefaultCacheBehavior ,則規則為 NON_COMPLIANT CacheBehaviors。 | |
| 2.2.7 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 2.2.7 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保您的 Amazon DynamoDB Accelerator (DAX) 叢集已 ClusterEndpointEncryptionType 設定為 TLS。如果DAX叢集未由傳輸層安全性加密 (),則規則為 NON_COMPLIANTTLS。 | |
| 2.2.7 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保 Amazon MSK叢集使用 HTTPS(TLS) 與叢集的代理程式節點強制執行傳輸中的加密。如果叢集內代理程式節點連線已啟用純文字通訊,則規則為 NON_COMPLIANT。 | |
| 2.2.7 | 系統會安全地設定和管理系統元件。(PCI-DSS-v4.0) | 確保 AWS 資料庫遷移服務 (AWS DMS) 端點已設定SSL連線。如果 AWS DMS未設定SSL連線,則規則為 NON_COMPLIANT。 | |
| 3.2.1 | 帳戶資料的儲存會保持在最低限度。(PCI-DSS-v4.0) | 確定EBS磁碟區已連接至EC2執行個體。選擇性地確保磁碟EBS區在執行個體終止時標記為刪除。 | |
| 3.2.1 | 帳戶資料的儲存會保持在最低限度。(PCI-DSS-v4.0) | 確保私有 Amazon Elastic Container Registry (ECR) 儲存庫至少已設定一個生命週期政策。如果未為ECR私有儲存庫設定生命週期政策,則規則為 NON_COMPLIANT。 | |
| 3.2.1 | 帳戶資料的儲存會保持在最低限度。(PCI-DSS-v4.0) | 確保 point-in-time已為 Amazon DynamoDB 資料表啟用復原 (PITR)。如果PITR未針對 DynamoDB 資料表啟用 ,則規則為 NON_COMPLIANT。 | |
| 3.2.1 | 帳戶資料的儲存會保持在最低限度。(PCI-DSS-v4.0) | 確保 Amazon CloudWatch LogGroup 保留期設定為大於 365 天,否則設定為指定的保留期。如果保留期小於 MinRetentionTime、指定,否則為 365 天,則規則為 NON_COMPLIANT。 | |
| 3.3.1.1 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確定EBS磁碟區已連接至EC2執行個體。選擇性地確保磁碟EBS區在執行個體終止時標記為刪除。 | |
| 3.3.1.1 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確保私有 Amazon Elastic Container Registry (ECR) 儲存庫至少已設定一個生命週期政策。如果未為ECR私有儲存庫設定生命週期政策,則規則為 NON_COMPLIANT。 | |
| 3.3.1.1 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確保 point-in-time已為 Amazon DynamoDB 資料表啟用復原 (PITR)。如果PITR未針對 DynamoDB 資料表啟用 ,則規則為 NON_COMPLIANT。 | |
| 3.3.1.1 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確保 Amazon CloudWatch LogGroup 保留期設定為大於 365 天,否則設定為指定的保留期。如果保留期小於 MinRetentionTime、指定,否則為 365 天,則規則為 NON_COMPLIANT。 | |
| 3.3.1.3 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確定EBS磁碟區已連接至EC2執行個體。選擇性地確保磁碟EBS區在執行個體終止時標記為刪除。 | |
| 3.3.1.3 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確保私有 Amazon Elastic Container Registry (ECR) 儲存庫至少已設定一個生命週期政策。如果未為ECR私有儲存庫設定生命週期政策,則規則為 NON_COMPLIANT。 | |
| 3.3.1.3 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確保 point-in-time已為 Amazon DynamoDB 資料表啟用復原 (PITR)。如果PITR未針對 DynamoDB 資料表啟用 ,則規則為 NON_COMPLIANT。 | |
| 3.3.1.3 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確保 Amazon CloudWatch LogGroup 保留期設定為大於 365 天,否則設定為指定的保留期。如果保留期小於 MinRetentionTime、指定,否則為 365 天,則規則為 NON_COMPLIANT。 | |
| 3.3.2 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確定EBS磁碟區已連接至EC2執行個體。選擇性地確保磁碟EBS區在執行個體終止時標記為刪除。 | |
| 3.3.2 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確保私有 Amazon Elastic Container Registry (ECR) 儲存庫至少已設定一個生命週期政策。如果沒有為ECR私有儲存庫設定生命週期政策,則規則為 NON_COMPLIANT。 | |
| 3.3.2 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確保 point-in-time已為 Amazon DynamoDB 資料表啟用復原 (PITR)。如果PITR未針對 DynamoDB 資料表啟用 ,則規則為 NON_COMPLIANT。 | |
| 3.3.2 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確保 Amazon CloudWatch LogGroup 保留期設定為超過 365 天,否則設定為指定的保留期。如果保留期小於 MinRetentionTime、指定,否則為 365 天,則規則為 NON_COMPLIANT。 | |
| 3.3.3 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確定EBS磁碟區已連接至EC2執行個體。選擇性地確保磁碟EBS區在執行個體終止時標記為刪除。 | |
| 3.3.3 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確保私有 Amazon Elastic Container Registry (ECR) 儲存庫至少已設定一個生命週期政策。如果沒有為ECR私有儲存庫設定生命週期政策,則規則為 NON_COMPLIANT。 | |
| 3.3.3 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確保 point-in-time已為 Amazon DynamoDB 資料表啟用復原 (PITR)。如果PITR未針對 DynamoDB 資料表啟用 ,則規則為 NON_COMPLIANT。 | |
| 3.3.3 | 敏感身分驗證資料 (SAD) 不會在授權後儲存。(PCI-DSS-v4.0) | 確保 Amazon CloudWatch LogGroup 保留期設定為超過 365 天,否則設定為指定的保留期。如果保留期小於 MinRetentionTime、指定,否則為 365 天,則規則為 NON_COMPLIANT。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Amazon Athena 工作群組靜態加密。如果 Athena 工作群組未啟用靜態資料加密,則規則為 NON_COMPLIANT。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Amazon Neptune 資料庫叢集已加密快照。如果 Neptune 叢集未加密快照,則規則為 NON_COMPLIANT。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Amazon Redshift 叢集使用指定的 AWS 金鑰管理服務 (AWS KMS) 金鑰進行加密。規則是COMPLIANT啟用加密,且叢集使用 kmsKeyArn 參數中提供的金鑰加密。如果叢集未加密或使用其他金鑰加密,則規則為 NON_COMPLIANT。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 AWS CodeBuild 專案已為其所有成品啟用加密。對於任何主要或次要 (如果有) 成品組態,如果 'encryptionDisabled' 設定為 'true',則規則為 NON_COMPLIANT。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保使用 Amazon S3 Logs 設定的 AWS CodeBuild 專案已為其日誌啟用加密。在 CodeBuild 專案的 S3LogsConfig 中,規則為 NON_COMPLIANT ifencryptionDisabled'' 設為「true」。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Amazon DynamoDB Accelerator (DAX) 叢集已加密。如果DAX叢集未加密,則規則為 NON_COMPLIANT。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service 叢集設定為使用 AWS Key Management Service (KMS) 金鑰加密 Kubernetes 秘密。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Amazon API Gateway 階段中的所有方法都已啟用快取並加密快取。如果 Amazon API Gateway 階段中的任何方法未設定為快取或快取未加密,則規則為 NON_COMPLIANT。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 請確定已為您的 Amazon DocumentDB (與 MongoDB 相容) 叢集啟用儲存加密。如果未啟用儲存加密,則規則為 NON_COMPLIANT。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確定 Amazon DynamoDB 資料表已使用 AWS Key Management Service () 加密KMS。如果 Amazon DynamoDB 資料表未加密,則規則為 NON_COMPLIANT AWS KMS。如果加密 AWS KMS的金鑰不存在於 kmsKeyArns 輸入參數中,則規則也是 NON_COMPLIANT。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Amazon DynamoDB 資料表已加密並檢查其狀態。規則是COMPLIANT是否已啟用或啟用 狀態。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保專案DOESNOT包含環境變數 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY。當專案環境變數包含純文字憑證時,規則為 NON_COMPLIANT。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Amazon EKS叢集未設定為使用 加密 Kubernetes 秘密 AWS KMS。如果EKS叢集沒有 encryptionConfig 資源,或 encryptionConfig 沒有將秘密命名為資源,則規則為 NON_COMPLIANT。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Amazon Kinesis 串流使用伺服器端加密進行靜態加密。如果 'StreamEncryption' 不存在,則 Kinesis 串流的規則為 NON_COMPLIANT。 | |
| 3.5.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 請確定您的 Amazon Neptune 資料庫叢集已啟用儲存加密。如果未啟用儲存加密,則規則為 NON_COMPLIANT。 | |
| 3.5.1.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 AWS 私有憑證授權機構 (AWS 私有 CA) 具有已停用的根 CA。狀態CAs不是 的根 規則為 NON_COMPLIANTDISABLED。 | |
| 3.5.1.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 3.5.1.1 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 3.5.1.3 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 AWS 私有憑證授權機構 (AWS 私有 CA) 具有已停用的根 CA。狀態CAs不是 的根 規則為 NON_COMPLIANTDISABLED。 | |
| 3.5.1.3 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 3.5.1.3 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Amazon Neptune 手動資料庫叢集快照不是公開的。如果任何現有和新的 Neptune 叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| 3.5.1.3 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Amazon DocumentDB 手動叢集快照不是公開的。如果任何 Amazon DocumentDB 手動叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| 3.5.1.3 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保備份保存庫具有連接的資源型政策,以防止刪除復原點。如果 Backup Vault 沒有資源型政策,或具有沒有適當 'Deny' 陳述式 (具有備份:DeleteRecoveryPoint、備份: 和備份:PutBackupVaultAccessPolicy 許可的陳述式) 的政策UpdateRecoveryPointLifecycle,則規則為 NON_COMPLIANT。 | |
| 3.5.1.3 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 3.5.1.3 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Amazon 帳戶EMR已啟用封鎖公有存取設定。NON如果為 false,或者如果 BlockPublicSecurityGroupRules 為 true,則COMPLIANT連接埠 22 以外的連接埠會列在 中 PermittedPublicSecurityGroupRuleRanges。 | |
| 3.5.1.3 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保 Amazon S3 存取點已啟用封鎖公有存取設定。如果 S3 存取點未啟用區塊公有存取設定,則規則為 NON_COMPLIANT。 | |
| 3.5.1.3 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確保從帳戶層級設定必要的公有存取區塊設定。只有在下列設定的欄位與組態項目中的對應欄位不相符時,規則才為 NON_COMPLIANT。 | |
| 3.5.1.3 | 主要帳戶號碼 (PAN) 會在存放的地方受到保護。(PCI-DSS-v4.0) | 確定已在 Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制組態中啟用 MFA Delete。如果未啟用MFA刪除,則規則為 NON_COMPLIANT。 | |
| 3.6.1 | 用於保護儲存帳戶資料的密碼編譯金鑰會受到保護。(PCI-DSS-v4.0) | 確保 AWS 私有憑證授權機構 (AWS 私有 CA) 具有已停用的根 CA。狀態CAs不是 的根 規則為 NON_COMPLIANTDISABLED。 | |
| 3.6.1 | 用於保護儲存帳戶資料的密碼編譯金鑰會受到保護。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 3.6.1 | 用於保護儲存帳戶資料的密碼編譯金鑰會受到保護。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 3.6.1.2 | 用於保護儲存帳戶資料的密碼編譯金鑰會受到保護。(PCI-DSS-v4.0) | 確保 AWS 私有憑證授權機構 (AWS 私有 CA) 具有已停用的根 CA。狀態CAs不是 的根 規則為 NON_COMPLIANTDISABLED。 | |
| 3.6.1.2 | 用於保護儲存帳戶資料的密碼編譯金鑰會受到保護。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 3.6.1.2 | 用於保護儲存帳戶資料的密碼編譯金鑰會受到保護。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 3.6.1.3 | 用於保護儲存帳戶資料的密碼編譯金鑰會受到保護。(PCI-DSS-v4.0) | 確保 AWS 私有憑證授權機構 (AWS 私有 CA) 具有已停用的根 CA。狀態CAs不是 的根 規則為 NON_COMPLIANTDISABLED。 | |
| 3.6.1.3 | 用於保護儲存帳戶資料的密碼編譯金鑰會受到保護。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 3.6.1.3 | 用於保護儲存帳戶資料的密碼編譯金鑰會受到保護。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 3.6.1.4 | 用於保護儲存帳戶資料的密碼編譯金鑰會受到保護。(PCI-DSS-v4.0) | 確保 AWS 私有憑證授權機構 (AWS 私有 CA) 具有已停用的根 CA。狀態CAs不是 的根 規則為 NON_COMPLIANTDISABLED。 | |
| 3.6.1.4 | 用於保護儲存帳戶資料的密碼編譯金鑰會受到保護。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 3.6.1.4 | 用於保護儲存帳戶資料的密碼編譯金鑰會受到保護。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 3.7.1 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保 AWS Certificate Manager (ACM) 管理的RSA憑證的金鑰長度至少為 '2048' 位元。如果金鑰長度下限小於 2048 位元,則規則為 NON_COMPLIANT。 | |
| 3.7.1 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保 AWS 私有憑證授權機構 (AWS 私有 CA) 具有已停用的根 CA。狀態CAs不是 的根 規則為 NON_COMPLIANTDISABLED。 | |
| 3.7.1 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 3.7.1 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 3.7.2 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保 AWS 私有憑證授權機構 (AWS 私有 CA) 具有已停用的根 CA。狀態CAs不是 的根 規則為 NON_COMPLIANTDISABLED。 | |
| 3.7.2 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 3.7.2 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 3.7.4 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保 AWS 私有憑證授權機構 (AWS 私有 CA) 具有已停用的根 CA。狀態CAs不是 的根 規則為 NON_COMPLIANTDISABLED。 | |
| 3.7.4 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 3.7.4 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 3.7.6 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保 AWS 私有憑證授權機構 (AWS 私有 CA) 具有已停用的根 CA。狀態CAs不是 的根 規則為 NON_COMPLIANTDISABLED。 | |
| 3.7.6 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 3.7.6 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 3.7.7 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保 AWS 私有憑證授權機構 (AWS 私有 CA) 具有已停用的根 CA。狀態CAs不是 的根 規則為 NON_COMPLIANTDISABLED。 | |
| 3.7.7 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 3.7.7 | 使用密碼編譯保護儲存的帳戶資料時,會定義並實作涵蓋金鑰生命週期所有層面的金鑰管理程序。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 4.2.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保 Redis 資料存放區的 AWS 資料庫遷移服務 (AWS DMS) 端點已啟用與其他端點通訊的資料TLS/SSL加密。如果未啟用 TLS/SSL 加密,則規則為 NON_COMPLIANT。 | |
| 4.2.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保 CloudFront 分發未使用已棄用SSL通訊協定在 CloudFront 邊緣位置和自訂原始伺服器之間進行HTTPS通訊。如果有任何'OriginSslProtocols' 包含'',則此規則為 CloudFront 分佈SSLv3的 NON_COMPLIANT。 | |
| 4.2.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈正在加密流量到自訂原始伺服器。規則為 NON_COMPLIANT if'OriginProtocolPolicy' is'http-only' or ifOriginProtocolPolicy' is'match-viewer' and'ViewerProtocolPolicy' is'allow-all'。 | |
| 4.2.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保您的 Amazon CloudFront 分佈使用 HTTPS(直接或透過重新導向)。如果 或 的值 ViewerProtocolPolicy 設定為「允許全部」 DefaultCacheBehavior ,則規則為 NON_COMPLIANT CacheBehaviors。 | |
| 4.2.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 4.2.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保您的 Amazon DynamoDB Accelerator (DAX) 叢集已 ClusterEndpointEncryptionType 設定為 TLS。如果DAX叢集未由傳輸層安全性加密 (),則規則為 NON_COMPLIANTTLS。 | |
| 4.2.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保 Amazon MSK叢集使用 HTTPS(TLS) 與叢集的代理程式節點強制執行傳輸中的加密。如果叢集內代理程式節點連線已啟用純文字通訊,則規則為 NON_COMPLIANT。 | |
| 4.2.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保 AWS 資料庫遷移服務 (AWS DMS) 端點已設定SSL連線。如果 AWS DMS未設定SSL連線,則規則為 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保 AWS 私有憑證授權機構 (AWS 私有 CA) 具有已停用的根 CA。狀態CAs不是 的根 規則為 NON_COMPLIANTDISABLED。 | |
| 4.2.1.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保 Redis 資料存放區的 AWS 資料庫遷移服務 (AWS DMS) 端點已啟用與其他端點通訊的資料TLS/SSL加密。如果未啟用 TLS/SSL 加密,則規則為 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保 CloudFront 分發未使用已棄用SSL通訊協定在 CloudFront 邊緣位置和自訂原始伺服器之間進行HTTPS通訊。如果有任何'OriginSslProtocols' 包含'',則此規則為 CloudFront 分佈SSLv3的 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈正在加密流量到自訂原始伺服器。規則為 NON_COMPLIANT if'OriginProtocolPolicy' is'http-only' or ifOriginProtocolPolicy' is'match-viewer' and'ViewerProtocolPolicy' is'allow-all'。 | |
| 4.2.1.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保您的 Amazon CloudFront 分佈使用 HTTPS(直接或透過重新導向)。如果 或 的值 ViewerProtocolPolicy 設定為「允許全部」 DefaultCacheBehavior ,則規則為 NON_COMPLIANT CacheBehaviors。 | |
| 4.2.1.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 4.2.1.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保您的 Amazon DynamoDB Accelerator (DAX) 叢集已 ClusterEndpointEncryptionType 設定為 TLS。如果DAX叢集未由傳輸層安全性加密 (),則規則為 NON_COMPLIANTTLS。 | |
| 4.2.1.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保 Amazon MSK叢集使用 HTTPS(TLS) 與叢集的代理程式節點強制執行傳輸中的加密。如果叢集內代理程式節點連線已啟用純文字通訊,則規則為 NON_COMPLIANT。 | |
| 4.2.1.1 | PAN 會在傳輸期間以強式密碼編譯保護。(PCI-DSS-v4.0) | 確保 AWS 資料庫遷移服務 (AWS DMS) 端點已設定SSL連線。如果 AWS DMS未設定SSL連線,則規則為 NON_COMPLIANT。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保 Amazon API Gateway V2 階段已啟用存取記錄。如果階段組態中不存在 'accessLogSettings',則規則為 NON_COMPLIANT。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否已啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈設定為將存取日誌傳遞至 Amazon S3 儲存貯體。如果 CloudFront 分佈未設定記錄,則規則為 NON_COMPLIANT。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保至少有一個定義了安全最佳實務的 AWS CloudTrail 線索。如果至少有一個符合下列所有條件的線索,COMPLIANT則表示此規則: | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已針對稽核 CloudWatch 日誌啟用日誌匯出。如果 Neptune 叢集未針對稽核日誌啟用 CloudWatch 日誌匯出,則規則為 NON_COMPLIANT。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保 logConfiguration 已在作用中ECS任務定義上設定 。如果作用中 ECSTaskDefinition未在至少一個容器定義中定義 logConfiguration 資源,或 的值 logConfiguration 為 null,則此規則為 NON_COMPLIANT。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 注意:在此規則中,規則識別符 (CLOUD_TRAIL_ENABLED) 和規則名稱 (啟用雲端) 不同。確保 AWS 已在您的帳戶中啟用 AWS CloudTrail 追蹤。如果未啟用追蹤,則規則為 NON_COMPLIANT。或者,規則會檢查特定 S3 儲存貯體、Amazon Simple Notification Service (Amazon SNS) 主題和 CloudWatch 日誌群組。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (MULTI_REGION_CLOUD_TRAIL_ENABLED) 和規則名稱 (multi-region-cloudtrail-enabled) 不同。確保至少有一個多區域 AWS CloudTrail。如果追蹤不符合輸入參數,則規則為 NON_COMPLIANT。如果 ExcludeManagementEventSources 欄位不是空的,或者 AWS CloudTrail 設定為排除事件或 Amazon RDS Data 事件等 AWS KMS管理API事件,則規則為 NON_COMPLIANT。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確定 AWS AppSync API已啟用記錄。如果未啟用記錄,則規則為 NON_COMPLIANT,或者 'fieldLogLevel' 既不是 ERROR也不是 ALL。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保已在傳統全域 Web 存取控制清單 (web ACLs) 上 AWS WAF啟用記錄。如果尚未啟用記錄ACL,則全域 Web 的規則為 NON_COMPLIANT。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 Amazon CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集已設定為啟用記錄。如果未針對所有日誌類型啟用 Amazon EKS叢集的日誌記錄,則規則為 NON_COMPLIANT。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保 AWS Elastic Beanstalk 環境設定為將日誌傳送至 Amazon CloudWatch Logs。如果 `StreamLogs` 的值為 false,則規則為 NON_COMPLIANT。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保 AWS Step Functions 機器已啟用記錄。如果狀態機器未啟用日誌記錄,或日誌記錄組態未處於提供的最低層級,則規則為 NON_COMPLIANT。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保 AWS Network Firewall 防火牆已啟用記錄功能。如果未設定記錄類型,則規則為 NON_COMPLIANT。您可以指定要規則檢查的日誌記錄類型。 | |
| 5.3.4 | 反惡意軟體機制和程序會處於作用中狀態、受到維護和監控。(PCI-DSS-v4.0) | 確保 Amazon CloudWatch LogGroup 保留期設定為超過 365 天,否則設定為指定的保留期。如果保留期小於 MinRetentionTime、指定,否則為 365 天,則規則為 NON_COMPLIANT。 | |
| 6.3.3 | 識別並解決安全漏洞。(PCI-DSS-v4.0) | 確定執行時間、角色、逾時和記憶體大小的 AWS Lambda 函數設定符合預期值。此規則會忽略具有「映像」套件類型的函數,以及將執行時間設定為「僅限作業系統執行時間」的函數。如果 Lambda 函數設定與預期的值不相符,則規則為 NON_COMPLIANT。 | |
| 6.3.3 | 識別並解決安全漏洞。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (EKS) 叢集未執行最舊的支援版本。如果EKS叢集執行最舊支援的版本 (等於 參數 'oldestVersionSupported'),則規則為 NON_COMPLIANT。 | |
| 6.4.1 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈與 Web 應用程式防火牆 (WAF) 或 WAFv2 Web 存取控制清單 () 相關聯ACLs。如果 CloudFront 分佈未與 WAF Web 相關聯,則規則為 NON_COMPLIANTACL。 | |
| 6.4.1 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保 AWS AppSync APIs與 AWS WAFv2 Web 存取控制清單 () 相關聯ACLs。如果規則未與 Web 建立關聯,則規則為 NON_COMPLIANT AWS AppSync APIACL。 | |
| 6.4.1 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保 WAFv2 Web ACL包含任何WAF規則或WAF規則群組。如果 Web ACL 不包含任何WAF規則或WAF規則群組,則此規則為 NON_COMPLIANT。 | |
| 6.4.1 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保WAFv2規則群組包含規則。如果規則群組中沒有規則,則WAFv2規則為 NON_COMPLIANT。 | |
| 6.4.1 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保WAF全域 Web ACL包含一些WAF規則或規則群組。如果 Web ACL 不包含任何WAF規則或規則群組,則此規則為 NON_COMPLIANT。 | |
| 6.4.1 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保 Classic AWS WAF規則群組包含一些規則。如果規則群組中沒有規則,則規則為 NON_COMPLIANT。 | |
| 6.4.1 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保 Classic AWS WAF規則群組包含一些規則。如果規則群組中沒有規則,則規則為 NON_COMPLIANT。 | |
| 6.4.1 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保 AWS WAF全域規則包含一些條件。如果WAF全域規則中沒有條件,則規則為 NON_COMPLIANT。 | |
| 6.4.2 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈與 Web 應用程式防火牆 (WAF) 或 WAFv2 Web 存取控制清單 () 相關聯ACLs。如果 CloudFront 分佈未與 WAF Web 相關聯,則規則為 NON_COMPLIANTACL。 | |
| 6.4.2 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保 AWS AppSync APIs與 AWS WAFv2 Web 存取控制清單 () 相關聯ACLs。如果規則未與 Web 建立關聯,則規則為 NON_COMPLIANT AWS AppSync APIACL。 | |
| 6.4.2 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保 WAFv2 Web ACL包含任何WAF規則或WAF規則群組。如果 Web ACL 不包含任何WAF規則或WAF規則群組,則此規則為 NON_COMPLIANT。 | |
| 6.4.2 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保WAFv2規則群組包含規則。如果規則群組中沒有規則,則WAFv2規則為 NON_COMPLIANT。 | |
| 6.4.2 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保WAF全域 Web ACL包含一些WAF規則或規則群組。如果 Web ACL 不包含任何WAF規則或規則群組,則此規則為 NON_COMPLIANT。 | |
| 6.4.2 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保 Classic AWS WAF規則群組包含一些規則。如果規則群組中沒有規則,則規則為 NON_COMPLIANT。 | |
| 6.4.2 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保 Classic AWS WAF規則群組包含一些規則。如果規則群組中沒有規則,則規則為 NON_COMPLIANT。 | |
| 6.4.2 | 面向公有的 Web 應用程式可防範攻擊。(PCI-DSS-v4.0) | 確保 AWS WAF全域規則包含一些條件。如果WAF全域規則中沒有條件,則規則為 NON_COMPLIANT。 | |
| 6.5.5 | 所有系統元件的變更都會受到安全管理。(PCI-DSS-v4.0) | 確保 Lambda Compute Platform 的部署群組未使用預設部署組態。如果部署群組使用部署組態 'CodeDeployDefault.LambdaAllAtOnce',則規則為 NON_COMPLIANT。 | |
| 6.5.5 | 所有系統元件的變更都會受到安全管理。(PCI-DSS-v4.0) | 確保 的第一個部署階段至少 AWS CodePipeline 執行一次部署。這是為了監控持續部署活動,確保定期更新並識別非作用中或未充分利用的管道,這些管道可能會發出開發或部署過程中的問題訊號。選擇性地確保每個後續剩餘的階段部署到超過指定的部署數量 (deploymentLimit)。 | |
| 6.5.6 | 所有系統元件的變更都會受到安全管理。(PCI-DSS-v4.0) | 確保 Lambda Compute Platform 的部署群組未使用預設部署組態。如果部署群組使用部署組態 'CodeDeployDefault.LambdaAllAtOnce',則規則為 NON_COMPLIANT。 | |
| 6.5.6 | 所有系統元件的變更都會受到安全管理。(PCI-DSS-v4.0) | 確保 的第一個部署階段至少 AWS CodePipeline 執行一次部署。這是為了監控持續部署活動,確保定期更新並識別非作用中或未充分利用的管道,這些管道可能會發出開發或部署過程中的問題訊號。選擇性地確保每個後續剩餘的階段部署到超過指定的部署數量 (deploymentLimit)。 | |
| 7.2.1 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策不允許其他 AWS 帳戶的主體對儲存貯體中的資源進行封鎖清單的儲存貯體層級和物件層級動作。例如,規則會檢查 Amazon S3 儲存貯體政策是否不允許另一個 AWS 帳戶在儲存貯體中的任何物件DeleteObject 上執行任何 s3:GetBucket* 動作和 s3:。如果 Amazon S3 儲存貯體政策允許任何封鎖清單動作,則規則為 NON_COMPLIANT。 | |
| 7.2.1 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 請確定您的 Amazon Simple Storage Service (S3) 儲存貯體政策不允許您提供的控制項 Amazon S3 儲存貯體政策以外的其他帳戶間許可。 | |
| 7.2.1 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Shield Response Team (SRT) 可以存取 AWS 您的帳戶。如果已啟用 AWS Shield Advanced,但未設定SRT存取角色,則規則為 NON_COMPLIANT。 | |
| 7.2.1 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個受信任實體IAM的角色。 | |
| 7.2.1 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已啟用 AWS Identity and Access Management (IAM) 資料庫身分驗證。如果 Amazon Neptune 叢集未啟用IAM資料庫身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.2.1 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 叢集已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS叢集未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.2.1 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保EC2執行個體已連接 AWS Identity and Access Management (IAM) 設定檔。如果沒有IAM設定檔連接到EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 7.2.1 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保備份保存庫具有連接的資源型政策,以防止刪除復原點。如果 Backup Vault 沒有資源型政策,或沒有適當的「Deny」陳述式 (包含備份的陳述式:DeleteRecoveryPoint、備份:UpdateRecoveryPointLifecycle和備份:PutBackupVaultAccessPolicy 許可) 的政策,則規則為 NON_COMPLIANT。 | |
| 7.2.1 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS執行個體未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.2.2 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策不允許其他 AWS 帳戶的主體對儲存貯體中的資源進行封鎖清單的儲存貯體層級和物件層級動作。例如,規則會檢查 Amazon S3 儲存貯體政策是否不允許另一個 AWS 帳戶在儲存貯體中的任何物件DeleteObject 上執行任何 s3:GetBucket* 動作和 s3:。如果 Amazon S3 儲存貯體政策允許任何封鎖清單動作,則規則為 NON_COMPLIANT。 | |
| 7.2.2 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 請確定您的 Amazon Simple Storage Service (S3) 儲存貯體政策不允許您提供的控制項 Amazon S3 儲存貯體政策以外的其他帳戶間許可。 | |
| 7.2.2 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Shield Response Team (SRT) 可以存取 AWS 您的帳戶。如果已啟用 AWS Shield Advanced,但未設定SRT存取角色,則規則為 NON_COMPLIANT。 | |
| 7.2.2 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個受信任實體IAM的角色。 | |
| 7.2.2 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已啟用 AWS Identity and Access Management (IAM) 資料庫身分驗證。如果 Amazon Neptune 叢集未啟用IAM資料庫身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.2.2 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 叢集已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS叢集未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.2.2 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保EC2執行個體已連接 AWS Identity and Access Management (IAM) 設定檔。如果沒有IAM設定檔連接到EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 7.2.2 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保備份保存庫具有連接的資源型政策,以防止刪除復原點。如果 Backup Vault 沒有資源型政策,或沒有適當的「Deny」陳述式 (包含備份的陳述式:DeleteRecoveryPoint、備份:UpdateRecoveryPointLifecycle和備份:PutBackupVaultAccessPolicy 許可) 的政策,則規則為 NON_COMPLIANT。 | |
| 7.2.2 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS執行個體未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.2.4 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保已在指定的天數內存取 AWS Secrets Manager 秘密。如果未在 'unusedForDays' 天數內存取秘密,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 7.2.5 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策不允許其他 AWS 帳戶的主體對儲存貯體中的資源進行封鎖清單的儲存貯體層級和物件層級動作。例如,規則會檢查 Amazon S3 儲存貯體政策是否不允許另一個 AWS 帳戶在儲存貯體中的任何物件DeleteObject 上執行任何 s3:GetBucket* 動作和 s3:。如果 Amazon S3 儲存貯體政策允許任何封鎖清單動作,則規則為 NON_COMPLIANT。 | |
| 7.2.5 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 請確定您的 Amazon Simple Storage Service (S3) 儲存貯體政策不允許您提供的控制項 Amazon S3 儲存貯體政策以外的其他帳戶間許可。 | |
| 7.2.5 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Shield Response Team (SRT) 可以存取 AWS 您的帳戶。如果已啟用 AWS Shield Advanced,但未設定SRT存取角色,則規則為 NON_COMPLIANT。 | |
| 7.2.5 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個受信任實體IAM的角色。 | |
| 7.2.5 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已啟用 AWS Identity and Access Management (IAM) 資料庫身分驗證。如果 Amazon Neptune 叢集未啟用IAM資料庫身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.2.5 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 叢集已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS叢集未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.2.5 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保EC2執行個體已連接 AWS Identity and Access Management (IAM) 設定檔。如果沒有IAM設定檔連接到EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 7.2.5 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保備份保存庫具有連接的資源型政策,以防止刪除復原點。如果 Backup Vault 沒有資源型政策,或沒有適當的「Deny」陳述式 (包含備份的陳述式:DeleteRecoveryPoint、備份:UpdateRecoveryPointLifecycle和備份:PutBackupVaultAccessPolicy 許可) 的政策,則規則為 NON_COMPLIANT。 | |
| 7.2.5 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS執行個體未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.2.5.1 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保已在指定的天數內存取 AWS Secrets Manager 秘密。如果未在 'unusedForDays' 天數內存取秘密,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 7.2.6 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策不允許其他 AWS 帳戶的主體對儲存貯體中的資源進行封鎖清單的儲存貯體層級和物件層級動作。例如,規則會檢查 Amazon S3 儲存貯體政策是否不允許另一個 AWS 帳戶在儲存貯體中的任何物件DeleteObject 上執行任何 s3:GetBucket* 動作和 s3:。如果 Amazon S3 儲存貯體政策允許任何封鎖清單動作,則規則為 NON_COMPLIANT。 | |
| 7.2.6 | 系統元件和資料的存取權已適當定義和指派。(PCI-DSS-v4.0) | 請確定您的 Amazon Simple Storage Service (S3) 儲存貯體政策不允許您提供的控制項 Amazon S3 儲存貯體政策以外的其他帳戶間許可。 | |
| 7.3.1 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策不允許其他 AWS 帳戶的主體對儲存貯體中的資源進行封鎖清單的儲存貯體層級和物件層級動作。例如,規則會檢查 Amazon S3 儲存貯體政策是否不允許另一個 AWS 帳戶在儲存貯體中的任何物件DeleteObject 上執行任何 s3:GetBucket* 動作和 s3:。如果 Amazon S3 儲存貯體政策允許任何封鎖清單動作,則規則為 NON_COMPLIANT。 | |
| 7.3.1 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 請確定您的 Amazon Simple Storage Service (S3) 儲存貯體政策不允許您提供的控制項 Amazon S3 儲存貯體政策以外的其他帳戶間許可。 | |
| 7.3.1 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保 Shield Response Team (SRT) 可以存取 AWS 您的帳戶。如果已啟用 AWS Shield Advanced,但未設定SRT存取角色,則規則為 NON_COMPLIANT。 | |
| 7.3.1 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個受信任實體IAM的角色。 | |
| 7.3.1 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已啟用 AWS Identity and Access Management (IAM) 資料庫身分驗證。如果 Amazon Neptune 叢集未啟用IAM資料庫身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.3.1 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 叢集已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS叢集未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.3.1 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保EC2執行個體已連接 AWS Identity and Access Management (IAM) 設定檔。如果沒有IAM設定檔連接到EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 7.3.1 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保備份保存庫具有連接的資源型政策,以防止刪除復原點。如果 Backup Vault 沒有資源型政策,或沒有適當的「Deny」陳述式 (包含備份的陳述式:DeleteRecoveryPoint、備份:UpdateRecoveryPointLifecycle和備份:PutBackupVaultAccessPolicy 許可) 的政策,則規則為 NON_COMPLIANT。 | |
| 7.3.1 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS執行個體未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.3.2 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策不允許其他 AWS 帳戶的主體對儲存貯體中的資源進行封鎖清單的儲存貯體層級和物件層級動作。例如,規則會檢查 Amazon S3 儲存貯體政策是否不允許另一個 AWS 帳戶在儲存貯體中的任何物件DeleteObject 上執行任何 s3:GetBucket* 動作和 s3:。如果 Amazon S3 儲存貯體政策允許任何封鎖清單動作,則規則為 NON_COMPLIANT。 | |
| 7.3.2 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 請確定您的 Amazon Simple Storage Service (S3) 儲存貯體政策不允許您提供的控制項 Amazon S3 儲存貯體政策以外的其他帳戶間許可。 | |
| 7.3.2 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保 Shield Response Team (SRT) 可以存取 AWS 您的帳戶。如果已啟用 AWS Shield Advanced,但未設定SRT存取角色,則規則為 NON_COMPLIANT。 | |
| 7.3.2 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個受信任實體IAM的角色。 | |
| 7.3.2 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已啟用 AWS Identity and Access Management (IAM) 資料庫身分驗證。如果 Amazon Neptune 叢集未啟用IAM資料庫身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.3.2 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 叢集已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS叢集未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.3.2 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保EC2執行個體已連接 AWS Identity and Access Management (IAM) 設定檔。如果沒有IAM設定檔連接到EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 7.3.2 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 管理。(PCI-DSS-v4.0) | 確保備份保存庫具有連接的資源型政策,以防止刪除復原點。如果 Backup Vault 沒有資源型政策,或沒有適當的「Deny」陳述式 (包含備份的陳述式:DeleteRecoveryPoint、備份:UpdateRecoveryPointLifecycle和備份:PutBackupVaultAccessPolicy 許可) 的政策,則規則為 NON_COMPLIANT。 | |
| 7.3.2 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 進行管理。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS執行個體未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.3.3 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 進行管理。(PCI-DSS-v4.0) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策不允許其他 AWS 帳戶的主體對儲存貯體中的資源進行封鎖清單的儲存貯體層級和物件層級動作。例如,規則會檢查 Amazon S3 儲存貯體政策是否不允許另一個 AWS 帳戶在儲存貯體中的任何DeleteObject 物件上執行任何 s3:GetBucket* 動作和 s3:。如果 Amazon S3 儲存貯體政策允許任何封鎖清單動作,則規則為 NON_COMPLIANT。 | |
| 7.3.3 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 進行管理。(PCI-DSS-v4.0) | 請確定您的 Amazon Simple Storage Service (S3) 儲存貯體政策不允許您提供的控制項 Amazon S3 儲存貯體政策以外的其他帳戶間許可。 | |
| 7.3.3 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 進行管理。(PCI-DSS-v4.0) | 確保 Shield Response Team (SRT) 可以存取 AWS 您的帳戶。如果已啟用 AWS Shield Advanced,但未設定SRT存取角色,則規則為 NON_COMPLIANT。 | |
| 7.3.3 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 進行管理。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個信任實體IAM的角色。 | |
| 7.3.3 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 進行管理。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已啟用 AWS Identity and Access Management (IAM) 資料庫身分驗證。如果 Amazon Neptune 叢集未啟用IAM資料庫身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.3.3 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 進行管理。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 叢集已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS叢集未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 7.3.3 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 進行管理。(PCI-DSS-v4.0) | 確保EC2執行個體已連接 AWS Identity and Access Management (IAM) 設定檔。如果沒有IAM設定檔連接到EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 7.3.3 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 進行管理。(PCI-DSS-v4.0) | 確保備份保存庫具有連接的資源型政策,以防止刪除復原點。如果 Backup Vault 沒有資源型政策,或沒有適當的「Deny」陳述式 (包含備份的陳述式:DeleteRecoveryPoint、備份:UpdateRecoveryPointLifecycle和備份:PutBackupVaultAccessPolicy 許可) 的政策,則規則為 NON_COMPLIANT。 | |
| 7.3.3 | 對系統元件和資料的存取是透過存取控制系統 (存取控制) 進行管理。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS執行個體未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 8.2.1 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個信任實體IAM的角色。 | |
| 8.2.1 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保執行中的 Amazon Elastic Compute Cloud (EC2) 執行個體不會使用 amazon 金鑰對啟動。如果使用金鑰對啟動執行中的EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 8.2.2 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個信任實體IAM的角色。 | |
| 8.2.2 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保執行中的 Amazon Elastic Compute Cloud (EC2) 執行個體不會使用 amazon 金鑰對啟動。如果使用金鑰對啟動執行中的EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 8.2.2 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保專案DOESNOT包含環境變數 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY。當專案環境變數包含純文字憑證時,規則為 NON_COMPLIANT。 | |
| 8.2.2 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保 AWS Secrets Manager 秘密已根據輪換排程成功輪換。Secrets Manager 可計算輪換應該進行的日期。如果日期過去且秘密未輪換,則規則為 NON_COMPLIANT。 | |
| 8.2.2 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保 AWS Secrets Manager 秘密在過去指定的天數內輪換。如果秘密的輪換天數超過 maxDaysSince天,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 8.2.2 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保已在指定的天數內存取 AWS Secrets Manager 秘密。如果未在 'unusedForDays' 天數內存取秘密,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 8.2.4 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個信任實體IAM的角色。 | |
| 8.2.4 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保執行中的 Amazon Elastic Compute Cloud (EC2) 執行個體不會使用 amazon 金鑰對啟動。如果使用金鑰對啟動執行中的EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 8.2.5 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個信任實體IAM的角色。 | |
| 8.2.5 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保執行中的 Amazon Elastic Compute Cloud (EC2) 執行個體不會使用 amazon 金鑰對啟動。如果使用金鑰對啟動執行中的EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 8.2.6 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保已在指定的天數內存取 AWS Secrets Manager 秘密。如果未在 'unusedForDays' 天數內存取秘密,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 8.2.7 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策不允許其他 AWS 帳戶的主體對儲存貯體中的資源進行封鎖清單的儲存貯體層級和物件層級動作。例如,規則會檢查 Amazon S3 儲存貯體政策是否不允許另一個 AWS 帳戶在儲存貯體中的任何DeleteObject 物件上執行任何 s3:GetBucket* 動作和 s3:。如果 Amazon S3 儲存貯體政策允許任何封鎖清單動作,則規則為 NON_COMPLIANT。 | |
| 8.2.7 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 請確定您的 Amazon Simple Storage Service (S3) 儲存貯體政策不允許您提供的控制項 Amazon S3 儲存貯體政策以外的其他帳戶間許可。 | |
| 8.2.7 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保 Shield Response Team (SRT) 可以存取 AWS 您的帳戶。如果已啟用 AWS Shield Advanced,但未設定SRT存取角色,則規則為 NON_COMPLIANT。 | |
| 8.2.7 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個信任實體IAM的角色。 | |
| 8.2.7 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已啟用 AWS Identity and Access Management (IAM) 資料庫身分驗證。如果 Amazon Neptune 叢集未啟用IAM資料庫身分驗證,則規則為 NON_COMPLIANT。 | |
| 8.2.7 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 叢集已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS叢集未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 8.2.7 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保EC2執行個體已連接 AWS Identity and Access Management (IAM) 設定檔。如果沒有IAM設定檔連接到EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 8.2.7 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保備份保存庫具有連接的資源型政策,以防止刪除復原點。如果 Backup Vault 沒有資源型政策,或沒有適當的「Deny」陳述式 (包含備份的陳述式:DeleteRecoveryPoint、備份:UpdateRecoveryPointLifecycle和備份:PutBackupVaultAccessPolicy 許可) 的政策,則規則為 NON_COMPLIANT。 | |
| 8.2.7 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS執行個體未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 8.2.8 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策不允許其他 AWS 帳戶的主體對儲存貯體中的資源進行封鎖清單的儲存貯體層級和物件層級動作。例如,規則會檢查 Amazon S3 儲存貯體政策是否不允許另一個 AWS 帳戶在儲存貯體中的任何DeleteObject 物件上執行任何 s3:GetBucket* 動作和 s3:。如果 Amazon S3 儲存貯體政策允許任何封鎖清單動作,則規則為 NON_COMPLIANT。 | |
| 8.2.8 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 請確定您的 Amazon Simple Storage Service (S3) 儲存貯體政策不允許您提供的控制項 Amazon S3 儲存貯體政策以外的其他帳戶間許可。 | |
| 8.2.8 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保 Shield Response Team (SRT) 可以存取 AWS 您的帳戶。如果已啟用 AWS Shield Advanced,但未設定SRT存取角色,則規則為 NON_COMPLIANT。 | |
| 8.2.8 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個信任實體IAM的角色。 | |
| 8.2.8 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已啟用 AWS Identity and Access Management (IAM) 資料庫身分驗證。如果 Amazon Neptune 叢集未啟用IAM資料庫身分驗證,則規則為 NON_COMPLIANT。 | |
| 8.2.8 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 叢集已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS叢集未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 8.2.8 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體中繼資料版本已使用執行個體中繼資料服務第 2 版 () 設定IMDSv2。如果 設為選用,則規則 HttpTokens 為 NON_COMPLIANT。 | |
| 8.2.8 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保EC2執行個體已連接 AWS Identity and Access Management (IAM) 設定檔。如果沒有IAM設定檔連接到EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 8.2.8 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保僅啟用 IMDSv2 。如果啟動組態中未包含中繼資料版本,或同時啟用中繼資料 V1 和 V2,則此規則為 NON_COMPLIANT。 | |
| 8.2.8 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保備份保存庫具有連接的資源型政策,以防止刪除復原點。如果 Backup Vault 沒有資源型政策,或沒有適當的「Deny」陳述式 (包含備份的陳述式:DeleteRecoveryPoint、備份:UpdateRecoveryPointLifecycle和備份:PutBackupVaultAccessPolicy 許可) 的政策,則規則為 NON_COMPLIANT。 | |
| 8.2.8 | 使用者和管理員的使用者識別和相關帳戶會在帳戶生命週期中受到嚴格管理。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS執行個體未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 8.3.10.1 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保作用中IAM存取金鑰在 maxAccessKeyAge 中指定的天數內輪換 (變更)。如果存取金鑰未在指定的期間內輪換,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 8.3.10.1 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 AWS Secrets Manager 秘密已根據輪換排程成功輪換。Secrets Manager 可計算輪換應該進行的日期。如果日期超過且秘密未輪換,則規則為 NON_COMPLIANT。 | |
| 8.3.10.1 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 AWS Secrets Manager 秘密在過去指定的天數內輪換。如果秘密的輪換天數超過 maxDaysSince天,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 8.3.11 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個受信任實體IAM的角色。 | |
| 8.3.11 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保執行中的 Amazon Elastic Compute Cloud (EC2) 執行個體不會使用 amazon 金鑰對啟動。如果使用金鑰對啟動執行中的EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 Amazon Athena 工作群組靜態加密。如果 Athena 工作群組未啟用靜態資料加密,則規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 Amazon Neptune 資料庫叢集已加密快照。如果 Neptune 叢集未加密快照,則規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 Amazon Redshift 叢集使用指定的 AWS 金鑰管理服務 (AWS KMS) 金鑰進行加密。規則是COMPLIANT啟用加密,並使用 kmsKeyArn 參數中提供的金鑰加密叢集。如果叢集未加密或使用其他金鑰加密,則規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 AWS CodeBuild 專案已為其所有成品啟用加密。對於任何主要或次要 (如果有) 成品組態,如果 'encryptionDisabled' 設定為 'true',則規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保使用 Amazon S3 Logs 設定的 AWS CodeBuild 專案已為其日誌啟用加密。在 CodeBuild 專案的 S3LogsConfig 中,規則為 NON_COMPLIANT ifencryptionDisabled'' 設為「true」。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 Amazon DynamoDB Accelerator (DAX) 叢集已加密。如果DAX叢集未加密,則規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 Redis 資料存放區的 AWS 資料庫遷移服務 (AWS DMS) 端點已啟用與其他端點通訊的資料TLS/SSL加密。如果未啟用 TLS/SSL 加密,則規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service 叢集設定為使用 AWS Key Management Service (KMS) 金鑰加密 Kubernetes 秘密。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 Amazon API Gateway 階段中的所有方法都已啟用快取並加密快取。如果 Amazon API Gateway 階段中的任何方法未設定為快取或快取未加密,則規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保已為您的 Amazon DocumentDB (與 MongoDB 相容) 叢集啟用儲存加密。如果未啟用儲存加密,則規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確定 Amazon DynamoDB 資料表已使用 AWS Key Management Service () 加密KMS。如果 Amazon DynamoDB 資料表未加密,則規則為 NON_COMPLIANT AWS KMS。如果 kmsKeyArns 輸入參數中不存在加密 AWS KMS金鑰,則規則也是 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 Amazon DynamoDB 資料表已加密並檢查其狀態。規則是COMPLIANT是否已啟用或啟用 狀態。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 CloudFront 分發未使用已棄用SSL通訊協定在 CloudFront 邊緣位置和自訂原始伺服器之間進行HTTPS通訊。如果有任何'OriginSslProtocols' 包含'',則此規則為 CloudFront 分佈SSLv3的 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈正在加密流量到自訂原始伺服器。規則為 NON_COMPLIANT if'OriginProtocolPolicy' is'http-only' or ifOriginProtocolPolicy' is'match-viewer' and'ViewerProtocolPolicy' is'allow-all'。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保您的 Amazon CloudFront 分佈使用 HTTPS(直接或透過重新導向)。如果 或 的值 ViewerProtocolPolicy 設定為「允許全部」 DefaultCacheBehavior ,則規則為 NON_COMPLIANT CacheBehaviors。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保專案DOESNOT包含環境變數 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY。當專案環境變數包含純文字憑證時,規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保您的 Amazon DynamoDB Accelerator (DAX) 叢集已 ClusterEndpointEncryptionType 設定為 TLS。如果DAX叢集未由傳輸層安全性加密 (),則規則為 NON_COMPLIANTTLS。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 Amazon EKS叢集未設定為使用 加密 Kubernetes 秘密 AWS KMS。如果EKS叢集沒有 encryptionConfig 資源,或 encryptionConfig 沒有將秘密命名為資源,則規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 Amazon Kinesis 串流使用伺服器端加密進行靜態加密。如果 'StreamEncryption' 不存在,則 Kinesis 串流的規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的嚴格身分驗證。(PCI-DSS-v4.0) | 確保 Amazon MSK叢集使用 HTTPS(TLS) 與叢集的代理程式節點強制執行傳輸中的加密。如果叢集內代理程式節點連線已啟用純文字通訊,則規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 請確定您的 Amazon Neptune 資料庫叢集已啟用儲存加密。如果未啟用儲存加密,則規則為 NON_COMPLIANT。 | |
| 8.3.2 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保 AWS 資料庫遷移服務 (AWS DMS) 端點已設定SSL連線。如果 AWS DMS未設定SSL連線,則規則為 NON_COMPLIANT。 | |
| 8.3.4 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策不允許其他 AWS 帳戶的主體對儲存貯體中的資源進行封鎖清單的儲存貯體層級和物件層級動作。例如,規則會檢查 Amazon S3 儲存貯體政策是否不允許另一個 AWS 帳戶在儲存貯體中的任何物件DeleteObject 上執行任何 s3:GetBucket* 動作和 s3:。如果 Amazon S3 儲存貯體政策允許任何封鎖清單動作,則規則為 NON_COMPLIANT。 | |
| 8.3.4 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 請確定您的 Amazon Simple Storage Service (S3) 儲存貯體政策不允許您提供的控制項 Amazon S3 儲存貯體政策以外的其他帳戶間許可。 | |
| 8.3.4 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保 Shield Response Team (SRT) 可以存取 AWS 您的帳戶。如果已啟用 AWS Shield Advanced,但未設定SRT存取角色,則規則為 NON_COMPLIANT。 | |
| 8.3.4 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保IAM政策ARN連接至IAM使用者、具有一或多個IAM使用者的群組,或具有一或多個受信任實體IAM的角色。 | |
| 8.3.4 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已啟用 AWS Identity and Access Management (IAM) 資料庫身分驗證。如果 Amazon Neptune 叢集未啟用IAM資料庫身分驗證,則規則為 NON_COMPLIANT。 | |
| 8.3.4 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 叢集已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS叢集未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 8.3.4 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保EC2執行個體已連接 AWS Identity and Access Management (IAM) 設定檔。如果沒有IAM設定檔連接到EC2執行個體,則規則為 NON_COMPLIANT。 | |
| 8.3.4 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保備份保存庫具有連接的資源型政策,以防止刪除復原點。如果 Backup Vault 沒有資源型政策,或沒有適當的「Deny」陳述式 (包含備份的陳述式:DeleteRecoveryPoint、備份:UpdateRecoveryPointLifecycle和備份:PutBackupVaultAccessPolicy 許可) 的政策,則規則為 NON_COMPLIANT。 | |
| 8.3.4 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用 AWS Identity and Access Management (IAM) 身分驗證。如果 Amazon RDS執行個體未啟用IAM身分驗證,則規則為 NON_COMPLIANT。 | |
| 8.3.5 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保作用中IAM存取金鑰在 maxAccessKeyAge 中指定的天數內輪換 (變更)。如果存取金鑰未在指定的期間內輪換,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 8.3.5 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保 AWS Secrets Manager 秘密已根據輪換排程成功輪換。Secrets Manager 可計算輪換應該進行的日期。如果日期超過且秘密未輪換,則規則為 NON_COMPLIANT。 | |
| 8.3.5 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保 AWS Secrets Manager 秘密在過去指定的天數內輪換。如果秘密的輪換天數超過 maxDaysSince天數,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 8.3.7 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保作用中IAM存取金鑰在 maxAccessKeyAge 中指定的天數內輪換 (變更)。如果存取金鑰未在指定的期間內輪換,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 8.3.7 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保 AWS Secrets Manager 秘密已根據輪換排程成功輪換。Secrets Manager 可計算輪換應該進行的日期。如果日期超過且秘密未輪換,則規則為 NON_COMPLIANT。 | |
| 8.3.7 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保 AWS Secrets Manager 秘密在過去指定的天數內輪換。如果秘密的輪換天數超過 maxDaysSince天數,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 8.3.9 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保作用中IAM存取金鑰在 maxAccessKeyAge 中指定的天數內輪換 (變更)。如果存取金鑰未在指定的期間內輪換,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 8.3.9 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保 AWS Secrets Manager 秘密已根據輪換排程成功輪換。Secrets Manager 可計算輪換應該進行的日期。如果日期超過且秘密未輪換,則規則為 NON_COMPLIANT。 | |
| 8.3.9 | 已建立並管理使用者和管理員的強大身分驗證。(PCI-DSS-v4.0) | 確保 AWS Secrets Manager 秘密在過去指定的天數內輪換。如果秘密的輪換天數超過 maxDaysSince天數,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 8.4.1 | 實作多重要素身分驗證 (MFA),以確保對 的存取安全CDE。(PCI-DSS-v4.0) | 確定已在 Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制組態中啟用 MFA Delete。如果未啟用MFA刪除,則規則為 NON_COMPLIANT。 | |
| 8.4.2 | 實作多重要素身分驗證 (MFA),以確保對 的存取安全CDE。(PCI-DSS-v4.0) | 確定已在 Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制組態中啟用 MFA Delete。如果未啟用MFA刪除,則規則為 NON_COMPLIANT。 | |
| 8.4.3 | 實作多重要素身分驗證 (MFA),以確保對 的存取安全CDE。(PCI-DSS-v4.0) | 確定已在 Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制組態中啟用 MFA Delete。如果未啟用MFA刪除,則規則為 NON_COMPLIANT。 | |
| 8.6.3 | 嚴格管理應用程式和系統帳戶的使用,以及相關聯的身分驗證因素。(PCI-DSS-v4.0) | 確保作用中IAM存取金鑰在 maxAccessKeyAge 中指定的天數內輪換 (變更)。如果存取金鑰未在指定的期間內輪換,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| 8.6.3 | 嚴格管理應用程式和系統帳戶的使用,以及相關聯的身分驗證因素。(PCI-DSS-v4.0) | 確保 AWS Secrets Manager 秘密已根據輪換排程成功輪換。Secrets Manager 可計算輪換應該進行的日期。如果日期超過且秘密未輪換,則規則為 NON_COMPLIANT。 | |
| 8.6.3 | 嚴格管理應用程式和系統帳戶的使用,以及相關聯的身分驗證因素。(PCI-DSS-v4.0) | 確保 AWS Secrets Manager 秘密在過去指定的天數內輪換。如果秘密的輪換天數超過 maxDaysSince天,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| A1.1.2 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Amazon Neptune 手動資料庫叢集快照不是公開的。如果任何現有和新的 Neptune 叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| A1.1.2 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Amazon DocumentDB 手動叢集快照不是公開的。如果任何 Amazon DocumentDB 手動叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| A1.1.2 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保備份保存庫具有連接的資源型政策,以防止刪除復原點。如果 Backup Vault 沒有資源型政策,或具有沒有適當 'Deny' 陳述式 (具有備份:DeleteRecoveryPoint、備份: 和備份:PutBackupVaultAccessPolicy 許可的陳述式) 的政策UpdateRecoveryPointLifecycle,則規則為 NON_COMPLIANT。 | |
| A1.1.2 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Amazon 帳戶EMR已啟用封鎖公有存取設定。NON如果為 false,或者如果 BlockPublicSecurityGroupRules 為 true,則COMPLIANT連接埠 22 以外的連接埠會列在 中 PermittedPublicSecurityGroupRuleRanges。 | |
| A1.1.2 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Amazon S3 存取點已啟用封鎖公有存取設定。如果 S3 存取點未啟用區塊公有存取設定,則規則為 NON_COMPLIANT。 | |
| A1.1.2 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保從帳戶層級設定必要的公有存取區塊設定。只有在下列設定的欄位與組態項目中的對應欄位不相符時,規則才為 NON_COMPLIANT。 | |
| A1.1.2 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確定已在 Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制組態中啟用 MFA Delete。如果未啟用MFA刪除,則規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Amazon API Gateway APIs 屬於規則參數 'endpointConfigurationType' 中指定的類型。如果 與規則參數中設定的端點類型RESTAPI不相符,則規則會傳回 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈與 Web 應用程式防火牆 (WAF) 或 WAFv2 Web 存取控制清單 () 相關聯ACLs。如果 CloudFront 分佈未與 WAF Web 相關聯,則規則為 NON_COMPLIANTACL。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保與 Amazon CloudFront 分佈相關聯的憑證不是預設SSL憑證。如果 CloudFront 分佈使用預設SSL憑證,則規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保使用使用者定義的無狀態預設動作設定 AWS Network Firewall 政策,以用於分段封包。如果分段封包的無狀態預設動作與使用者定義的預設動作不相符,則規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保預設的 Amazon Relational Database Service (Amazon RDS) 資料庫安全群組。如果有任何資料庫安全群組不是預設資料庫安全群組,則規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Amazon Elastic Compute Cloud (Amazon EC2) Transit Gateways 未啟用 'AutoAcceptSharedAttachments'。如果 '' 設定為 'enableAutoAcceptSharedAttachments',則 Transit Gateway 的規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 端點不可公開存取。如果端點可公開存取,則規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (INCOMING_SSH_DISABLED) 和規則名稱 (限制 SSH) 不同。確保可存取安全群組的傳入SSH流量。規則是COMPLIANT如果安全群組中傳入SSH流量的 IP 地址受到限制 (CIDR 0.0.0.0/0 或 ::/0 除外)。否則,NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 AWS AppSync APIs與 AWS WAFv2 Web 存取控制清單 () 相關聯ACLs。如果規則未與 Web 建立關聯,則規則為 NON_COMPLIANT AWS AppSync APIACL。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Amazon DocumentDB 手動叢集快照不是公開的。如果任何 Amazon DocumentDB 手動叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Bitbucket 來源儲存庫是否URLDOESNOT包含登入憑證。如果 URL包含任何登入資訊,而COMPLIANT如果不包含,則規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Classic Load Balancer 使用 AWS Certificate Manager 提供的SSL憑證。若要使用此規則,請將 SSL或HTTPS接聽程式與 Classic Load Balancer 搭配使用。注意 - 此規則僅適用於 Classic Load Balancer。此規則不會檢查 Application Load Balancer 和網路負載平衡器。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Amazon 帳戶EMR已啟用封鎖公有存取設定。NON如果 BlockPublicSecurityGroupRules 為 false,或者如果為 true,則連接埠 COMPLIANT22 以外的連接埠會列在 中 PermittedPublicSecurityGroupRuleRanges。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保網路存取控制清單 (NACLs) SSH/RDP 輸入流量的預設連接埠受到限制。如果NACL傳入項目允許連接埠 22 TCP或 3389 的來源或UDPCIDR區塊,則規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保WAF全域 Web ACL包含一些WAF規則或規則群組。如果 Web ACL 不包含任何WAF規則或規則群組,則此規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Classic AWS WAF規則群組包含一些規則。如果規則群組中沒有規則,則規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 AWS WAF全域規則包含一些條件。如果WAF全域規則中沒有條件,則規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 AWS 用戶端VPN授權規則不會授權所有用戶端的連線存取。如果 'AccessAll' 存在並設為 true,則規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確定網際網路閘道已連接至授權的虛擬私有雲端 (Amazon VPC)。如果網際網路閘道連接到未經授權的 ,則規則為 NON_COMPLIANTVPC。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保 Amazon S3 存取點已啟用封鎖公有存取設定。如果 S3 存取點未啟用區塊公開存取設定,則規則為 NON_COMPLIANT。 | |
| A1.1.3 | 多租戶服務供應商會保護並分隔所有客戶環境和資料。(PCI-DSS-v4.0) | 確保從帳戶層級設定必要的公有存取區塊設定。只有在下列設定的欄位與組態項目中的對應欄位不相符時,規則才為 NON_COMPLIANT。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確保 Amazon API Gateway V2 階段已啟用存取記錄。如果階段組態中不存在 'accessLogSettings',則規則為 NON_COMPLIANT。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否已啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確保 Amazon CloudFront 分佈設定為將存取日誌傳遞至 Amazon S3 儲存貯體。如果 CloudFront 分佈未設定記錄,則規則為 NON_COMPLIANT。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確保至少有一個定義了安全最佳實務的 AWS CloudTrail 線索。COMPLIANT 如果至少有一個追蹤符合下列所有條件,則表示此規則: | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確保 Amazon Neptune 叢集已針對稽核 CloudWatch 日誌啟用日誌匯出。如果 Neptune 叢集未針對稽核日誌啟用 CloudWatch 日誌匯出,則規則為 NON_COMPLIANT。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確保 logConfiguration 已在作用中ECS任務定義上設定 。如果作用中 ECSTaskDefinition未在至少一個容器定義中定義 logConfiguration 資源,或 的值 logConfiguration 為 null,則此規則為 NON_COMPLIANT。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (CLOUD_TRAIL_ENABLED) 和規則名稱 (啟用雲端) 不同。確保 AWS 已在您的帳戶中啟用 AWS CloudTrail 追蹤。如果未啟用追蹤,則規則為 NON_COMPLIANT。或者,規則會檢查特定 S3 儲存貯體、Amazon Simple Notification Service (AmazonSNS) 主題和 CloudWatch 日誌群組。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 注意:對於此規則,規則識別碼 (MULTI_REGION_CLOUD_TRAIL_ENABLED) 和規則名稱 (multi-region-cloudtrail-enabled) 不同。確保至少有一個多區域 AWS CloudTrail。如果追蹤不符合輸入參數,則規則為 NON_COMPLIANT。如果 ExcludeManagementEventSources 欄位不是空的,或者 AWS CloudTrail 設定為排除事件或 Amazon RDS Data 事件等 AWS KMS管理API事件,則規則為 NON_COMPLIANT。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確定 AWS AppSync API已啟用記錄。如果未啟用記錄,則規則為 NON_COMPLIANT,或者 'fieldLogLevel' 既不是 ERROR也不是 ALL。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確保已在傳統全域 Web 存取控制清單 (web ACLs) 上 AWS WAF啟用記錄。如果尚未啟用記錄ACL,則全域 Web 的規則為 NON_COMPLIANT。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 Amazon CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確保 Amazon MQ 代理程式已啟用 CloudWatch 稽核記錄。如果代理程式未啟用稽核記錄,則規則為 NON_COMPLIANT。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確保 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集已設定為啟用記錄。如果未針對所有日誌類型啟用 Amazon EKS叢集的日誌記錄,則規則為 NON_COMPLIANT。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確保 AWS Elastic Beanstalk 環境設定為將日誌傳送至 Amazon CloudWatch Logs。如果 `StreamLogs` 的值為 false,則規則為 NON_COMPLIANT。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確保 AWS Step Functions 機器已啟用記錄。如果狀態機器未啟用日誌記錄,或日誌記錄組態未處於提供的最低層級,則規則為 NON_COMPLIANT。 | |
| A1.2.1 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 確保 AWS Network Firewall 防火牆已啟用記錄功能。如果未設定記錄類型,則規則為 NON_COMPLIANT。您可以指定要規則檢查的日誌記錄類型。 | |
| A1.2.3 | 多租戶服務供應商可為所有客戶協助記錄和事件回應。(PCI-DSS-v4.0) | 請確定您已提供 AWS 帳戶聯絡人的安全聯絡資訊。如果未提供帳戶中的安全聯絡資訊,則規則為 NON_COMPLIANT。 | |
| A3.2.5.1 | PCI DSS 記錄並驗證範圍。(PCI-DSS-v4.0) | 確保已為 Amazon Macie 啟用自動敏感資料探索。如果停用自動敏感資料探索,則規則為 NON_COMPLIANT。規則APPLICABLE適用於管理員帳戶,APPLICABLE而NOT適用於成員帳戶。 | |
| A3.2.5.1 | PCI DSS 記錄並驗證範圍。(PCI-DSS-v4.0) | 確保在每個區域的帳戶啟用 Amazon Macie。如果 'status' 屬性未設定為 'ENABLED',則規則為 NON_COMPLIANT。 | |
| A3.2.5.2 | PCI DSS 記錄並驗證範圍。(PCI-DSS-v4.0) | 確保已為 Amazon Macie 啟用自動敏感資料探索。如果停用自動敏感資料探索,則規則為 NON_COMPLIANT。規則APPLICABLE適用於管理員帳戶,APPLICABLE而NOT適用於成員帳戶。 | |
| A3.2.5.2 | PCI DSS 記錄並驗證範圍。(PCI-DSS-v4.0) | 確保在每個區域的帳戶啟用 Amazon Macie。如果 'status' 屬性未設定為 'ENABLED',則規則為 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 會併入 business-as-usual (BAU) 活動。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否已啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 會併入 business-as-usual (BAU) 活動。(PCI-DSS-v4.0) | 確保您的 CloudFormation 堆疊將事件通知傳送至 Amazon SNS主題。選擇性地確保使用指定的 Amazon SNS主題。如果 CloudFormation 堆疊未傳送通知,則規則為 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 會併入 business-as-usual (BAU) 活動。(PCI-DSS-v4.0) | 確保已針對EC2執行個體啟用詳細的監控。如果未啟用詳細監控,則規則為 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 會併入 business-as-usual (BAU) 活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 會併入 business-as-usual (BAU) 活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 會併入 business-as-usual (BAU) 活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 會併入 business-as-usual (BAU) 活動。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 會併入 business-as-usual (BAU) 活動。(PCI-DSS-v4.0) | 確保資源類型具有具名指標的 CloudWatch 警示。對於資源類型,您可以指定EBS磁碟區、EC2執行個體、Amazon RDS叢集或 S3 儲存貯體。規則是COMPLIANT命名指標是否具有資源 ID 和 CloudWatch 警示。 | |
| A3.3.1 | PCI DSS 會併入 business-as-usual (BAU) 活動。(PCI-DSS-v4.0) | 確保具有指定指標名稱的 CloudWatch 警示具有指定的設定。 | |
| A3.3.1 | PCI DSS 會併入 business-as-usual (BAU) 活動。(PCI-DSS-v4.0) | 確保規則群組上的 AWS WAFv2 Amazon CloudWatch 安全指標集合已啟用。如果 'VisibilityConfig.CloudWatchMetricsEnabled' 欄位設定為 false,則規則為 NON_COMPLIANT。 | |
| A3.3.1 | PCI DSS 會併入 business-as-usual (BAU) 活動。(PCI-DSS-v4.0) | 確保已啟用 Amazon Simple Notification Service (SNS) 記錄,以取得傳送至端點主題的通知訊息交付狀態。如果未啟用訊息的交付狀態通知,則規則為 NON_COMPLIANT。 | |
| A3.4.1 | 對持卡人資料環境的邏輯存取受到控制和管理。(PCI-DSS-v4.0) | 確保 Amazon Neptune 手動資料庫叢集快照不是公開的。如果任何現有和新的 Neptune 叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| A3.4.1 | 對持卡人資料環境的邏輯存取受到控制和管理。(PCI-DSS-v4.0) | 確保 Amazon DocumentDB 手動叢集快照不是公開的。如果任何 Amazon DocumentDB 手動叢集快照是公開的,則規則為 NON_COMPLIANT。 | |
| A3.4.1 | 對持卡人資料環境的邏輯存取受到控制和管理。(PCI-DSS-v4.0) | 確保備份保存庫具有連接的資源型政策,以防止刪除復原點。如果 Backup Vault 沒有資源型政策,或沒有適當的「Deny」陳述式 (包含備份的陳述式:DeleteRecoveryPoint、備份:UpdateRecoveryPointLifecycle和備份:PutBackupVaultAccessPolicy 許可) 的政策,則規則為 NON_COMPLIANT。 | |
| A3.4.1 | 對持卡人資料環境的邏輯存取受到控制和管理。(PCI-DSS-v4.0) | 確保 Amazon 帳戶EMR已啟用封鎖公有存取設定。NON如果 BlockPublicSecurityGroupRules 為 false,或者如果為 true,則連接埠 COMPLIANT22 以外的連接埠會列在 中 PermittedPublicSecurityGroupRuleRanges。 | |
| A3.4.1 | 對持卡人資料環境的邏輯存取受到控制和管理。(PCI-DSS-v4.0) | 確保已在指定的天數內存取 AWS Secrets Manager 秘密。如果未在 'unusedForDays' 天數內存取秘密,則規則為 NON_COMPLIANT。預設值為 90 天。 | |
| A3.4.1 | 對持卡人資料環境的邏輯存取受到控制和管理。(PCI-DSS-v4.0) | 確保 Amazon S3 存取點已啟用封鎖公有存取設定。如果 S3 存取點未啟用區塊公開存取設定,則規則為 NON_COMPLIANT。 | |
| A3.4.1 | 對持卡人資料環境的邏輯存取受到控制和管理。(PCI-DSS-v4.0) | 確保從帳戶層級設定必要的公有存取區塊設定。只有在下列設定的欄位與組態項目中的對應欄位不相符時,規則才為 NON_COMPLIANT。 | |
| A3.4.1 | 對持卡人資料環境的邏輯存取受到控制和管理。(PCI-DSS-v4.0) | 確定已在 Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制組態中啟用 MFA Delete。如果未啟用MFA刪除,則規則為 NON_COMPLIANT。 | |
| A3.5.1 | 識別和回應可疑事件。(PCI-DSS-v4.0) | 確保已在 Amazon API Gateway 上啟用 AWS X-Ray REST 追蹤APIs。規則是COMPLIANT是否已啟用 X-Ray 追蹤,否則為 NON_COMPLIANT。 | |
| A3.5.1 | 識別和回應可疑事件。(PCI-DSS-v4.0) | 確保您的 CloudFormation 堆疊將事件通知傳送至 Amazon SNS主題。選擇性地確保使用指定的 Amazon SNS主題。如果 CloudFormation 堆疊未傳送通知,則規則為 NON_COMPLIANT。 | |
| A3.5.1 | 識別和回應可疑事件。(PCI-DSS-v4.0) | 確保已針對EC2執行個體啟用詳細的監控。如果未啟用詳細監控,則規則為 NON_COMPLIANT。 | |
| A3.5.1 | 識別和回應可疑事件。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| A3.5.1 | 識別和回應可疑事件。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| A3.5.1 | 識別和回應可疑事件。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| A3.5.1 | 識別和回應可疑事件。(PCI-DSS-v4.0) | 確保 CloudWatch 警示已針對 ALARM、INSUFFICIENT_ DATA或 OK 狀態設定動作。選擇性地確保任何動作都與名為 的 相符ARN。如果沒有為警示或選用參數指定動作,則規則為 NON_COMPLIANT。 | |
| A3.5.1 | 識別和回應可疑事件。(PCI-DSS-v4.0) | 確保資源類型具有具名指標的 CloudWatch 警示。對於資源類型,您可以指定EBS磁碟區、EC2執行個體、Amazon RDS叢集或 S3 儲存貯體。規則是COMPLIANT命名指標是否具有資源 ID 和 CloudWatch 警示。 | |
| A3.5.1 | 識別和回應可疑事件。(PCI-DSS-v4.0) | 確保具有指定指標名稱的 CloudWatch 警示具有指定的設定。 | |
| A3.5.1 | 識別和回應可疑事件。(PCI-DSS-v4.0) | 確保規則群組上的 AWS WAFv2 Amazon CloudWatch 安全性指標集合已啟用。如果 'VisibilityConfig.CloudWatchMetricsEnabled' 欄位設定為 false,則規則為 NON_COMPLIANT。 | |
| A3.5.1 | 識別和回應可疑事件。(PCI-DSS-v4.0) | 確保已啟用 Amazon Simple Notification Service (SNS) 記錄,以取得傳送至端點主題的通知訊息交付狀態。如果未啟用訊息的交付狀態通知,則規則為 NON_COMPLIANT。 |
範本
範本可在 上取得 GitHub:4.0 的操作最佳實務 PCI DSS (包括全域資源類型)。
